死亡之Ping(ping of death)
1.原理
不用我多說了,大名鼎鼎的Ping早已經家喻戶曉了。早期的Ping之所以能稱為死亡之Ping,那是因為在早期階段路由器對包的最大尺寸都有限制,很多操作系統對TCP/IP棧的實現在ICMP包上都是規定為64KB,并且在對包的標題頭進行讀取之后,要根據該標題頭里包含的信息為有效載荷生成緩沖區。當產生畸形的包——加載尺寸超過64KB上限的包時,就會出現內存分配錯誤,從而導致TCP/IP堆棧崩潰,使系統死機。理論上Ping發出的ICMP數據包最大為65507字節,如果超過這個限度,就會導致目標系統緩沖區溢出,TCP/IP堆棧崩潰而死機。
2.攻擊
Ping命令的-l參數可以定制包的大小,-t參數可以循環發送無數包,但是僅有這些是不夠的,黑客們通常使用自己的Ping工具,甚至可以調動眾多肉雞進行分布式攻擊。
Tosser是一款很實用的網絡測試工具,提供了Ping和Trace功能,如圖1所示。
![]("http://soft.yesky.com/imagelist/06/03/tp9siworem6l.gif")
圖1
3.防御
現在所有標準的TCP/IP都已經具備對付超大尺寸包的能力了,各種操作系統(Windows 98之后的Windows NT,Linux,Unix和Mac OS)都能抵抗一般的死亡之Ping,并且大多數防火墻都能夠自動過濾這些攻擊,所以現在的普通Ping是很難形成Death之勢了。針對Ping攻擊只需利用路由器,防火墻對ICMP進行有效的篩選即可。
古老的Smurf
1.原理
Smurf是一種很古老的DoS攻擊。這種方法使用了廣播地址,廣播地址的尾數通常為0,比如:192.168.1.0。在一個有N臺計算機的網絡中,當其中一臺主機向廣播地址發送了1KB大小的ICMP Echo Requst時,那么它將收到N KB大小的ICMP Reply,如果N足夠大它將淹沒該主機,最終導致該網絡的所有主機都對此ICMP Echo Requst作出答復,使網絡阻塞!利用此攻擊時,假冒受害主機的IP,那么它就會收到應答,形成一次拒絕服務攻擊。Smurf攻擊的流量比Ping of death洪水的流量高出一兩個數量級,而且更加隱蔽。
2.攻擊
Smurf2K是一個強大的攻擊工具,它通過一個儲存廣播列表地址的文件,記錄下Internet上可用的主機,然后利用這些主機發起進攻。如圖2所示:
![]("http://soft.yesky.com/imagelist/06/03/3iv43vg22g5u.gif")
圖2
3.防御
為了防止黑客利用你的網絡進行Smurf攻擊,關閉外部路由器或防火墻的廣播地址特性;為了防止被攻擊,在防火墻上設置規則丟棄掉ICMP包。
Fraggle攻擊
1.原理
Fraggle攻擊與Smurf攻擊類似,只是利用UDP協議;雖然標準的端口是7,但是大多數使用Fraggle攻擊的程序允許你指定其它的端口。Fraggle攻擊是這樣實現的:攻擊者掌握著大量的廣播地址,并向這些地址發送假冒的UDP包,通常這些包是直接到目標主機的7號端口——也就是Echo端口,而另一些情況下它卻到了Chargen端口,攻擊者可以制造一個在這兩個端口之間的循環來產生網絡阻塞。
2.攻擊
編寫Fraggle攻擊程序時只要把Smurf攻擊程序的代碼作一下修改就可以了。
3.防御
最好的防止系統受到Smurf和Fraggle攻擊的方法是在防火墻上過濾掉ICMP報文,或者在服務器上禁止Ping,并且只在必要時才打開Ping服務。
原子彈——OOB Nuke
1.原理
OOB Nuke又名Windows nuke,是在1997年5月被發現的,這種攻擊將導致Windows 95/98藍屏,在當時的IRC聊天用戶中很流行。OOB Nuke攻擊的實現是由于Windows 95/98不能正確的處理帶外數據。在TCP協議中提供了“緊急方式”,是傳輸的一端告訴另一端有些具有某種方式的“緊急數據”已經放到普通的數據流中,如何處理由接受方決定。通過設置TCP首部中的兩個字段發出這種通知,URG比特被設置為1,并且一個16比特的緊急指針被設置為一個正的偏移量,某些實現將TCP的緊急方式稱之為帶外數據。問題在于Windows 95/98不知道如何處理帶外數據。OOB Nuke一般使用139端口。
2.攻擊
僅提供一款工具:WindowsNuke2,如下圖3所示:
![]("http://soft.yesky.com/imagelist/06/03/96km93a38gum.gif")
圖3
3.防御
打相關的補丁或者將你的Windows 95/98升級到2000或更高,不過連微軟都已經放棄了Windows 95/98,估計現在還在使用它的人少之又少了。
Land攻擊
1.原理
Land攻擊是由著名的黑客組織RootShell發現的,于1997年11月20日公布的,原理比較簡單,就是利用TCP連接三握手中的缺陷,向目標主機發送源地址與目標地址一樣的數據包,造成目標主機解析Land包占用太多的資源,從而使網絡功能完全癱瘓。具體說應該是,Land攻擊打造一個特別的SYN包,其源地址和目標地址被設置成同一個計算機的地址,這時將導致該計算機向它自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息并創建一個空連接,每個這樣的連接都將保留直到超時。
2.攻擊
Land攻擊對Windows 95很有效,但實際上,很多基于BSD的操作系統都有這個漏洞。不同的操作系統對Land攻擊反應不同,很多Unix將崩潰,而Windows NT會變得非常緩慢,而且對Linux,路由器,其它大量的Unix都具有相當的攻擊力。這里提供Land程序的源代碼(請見光盤)。
3.防御
打最新的相關的安全補丁,在防火墻上進行配置,將那些在外部接口上進入的含有內部源地址的包過濾掉,包括10域,127域,192.168域,172.16到172.31域。由于Land攻擊主要是構造IP包,使源IP和目標IP相同,源端口和目的端口相同,所以如果使用Tcpdump,可記錄到攻擊特征為:
23:45:13 815705 192.168.0.111 23>192.168.0.111 23:S 3868:3868(0) Windows 2048
淚滴——Teardrop攻擊
1.原理
Teardrop攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的那一段的信息,某些TCP/IP在收到含有重疊偏移的偽造分段時將崩潰。具體的講是這樣的,物理層通常給所能傳輸的幀加上一個尺寸上限,IP層將數據報的大小與物理層幀的上限相比較,如果需要就進行分段。在IP報頭中設置了一些域用于分段:標志域為發送者傳輸的每一個報文保留一個獨立的值,這個特定的值被拷貝到每個特定報文的每個分段,標志域中有一位作為“更多分段”位,除了最后一段之外,該位在組成一個數據報的所有分段中被置位;分段偏移域含有該分段自初始數據報開始位置的位移。對于存在Teardrop漏洞的操作系統,如果接受到畸形數據分段,則在某些情況下會破壞整個IP協議棧,因此,必須重啟計算機才能恢復。
2.攻擊
在早期的由BSD實現的網絡協議中,在處理數據包分段時存在漏洞,后來的一些操作系統都沿用了BSD的代碼,所以這個漏洞在Linux,Windows 98和Windows NT中都是存在的。網上有一個Linux上運行的Teardrop程序——Teardrop.c,它就是實現這樣的攻擊的。下載地址是:http://www.computec.ch/software/denial_of_service/teardrop/teardrop.c
3.防御:
安裝最新的服務包,設置防火墻時對分段進行重組,而不是轉發它們。
UDP Flood
1.原理
做個簡單的實驗,用Telnet連接到對方TCP chargen 19號端口,看看返回了什么?很吃驚的是,返回了大量的回應數據,如果能加以利用的話就能夠發動DoS攻擊了。先介紹一下Chargen服務, RFC0864中定義了這種服務,其UDP/TCP均使用了19號端口。UDP chargen server若收到一個封包,就會隨一個封包回去;而TCP chargen server若發現與Client的連線存在,就會不斷的發送封包給Client,所以TCP chargen可以直接誘發DoS攻擊。不過常用的還是UDP chargen,它常被用來作為DDoS中放大網絡流量之用,一般要結合Echo服務。Echo服務用的是UDP的7號端口,如果它收到一個包,就會把包中的負載按原樣返回,而如果你向UDP的19號端口Chargen發送一個任意字符,它將返回一個假的隨機字符串。UDP Flood攻擊就是通過偽造與某一臺主機的Chargen服務之間的UDP連接,回復地址指向開著Echo服務的一臺主機,這就能在兩臺主機之間產生無用的數據流,如果數據流足夠多就會導致DoS。
UDP Flood圖解(如圖4所示):
![]("http://soft.yesky.com/imagelist/06/03/6b399w865126.gif")
圖4
2.攻擊
一個典型的UDP Flood攻擊工具——UDP Flooder,如圖5所示:
![]("http://soft.yesky.com/imagelist/06/03/7l2466h615ig.gif")
圖5
3.防御
關掉一些不必要的TCP/IP服務,或者對防火墻進行配置,阻斷來自Internet的請求這些服務的UDP請求。
分布式拒絕服務——DDoS
1.原理
大名鼎鼎的DDoS在2000年的“電子珍珠港事件”中名聲大震,我也沒必要說很多。從名字中我們就能得知,它是利用很多臺機器一起發動攻擊。攻擊手法可能只是簡單的Ping,也可能是SYN Flood或其它,但是由于它調用了很多臺機器,所以規模很大,火力更猛,而且因為它利用了TCP/IP網絡協議的缺陷,所以很難防御這種進攻。
2.攻擊
2001年用來攻擊Yahoo等網站的程序——TFN,Trinoo,TFN2K等都堪稱是黑客技術的杰作,而且網上都有它們的源代碼。
3.防御
主要談一下防御。要阻止這種進攻關鍵是網絡出口反欺騙過濾器的功能是否強大,也就是說如果你的WEB服務器收到的數據包的源IP地址是偽造的話,你的邊界路由器或防火墻必須能夠識別出來并將其丟棄,最快速的方法是和ISP聯手通過丟包等方法一起來阻擋這種龐大的進攻。另外針對DDoS進攻是集中于某一個IP地址的特點,使用移動IP地址技術也是一種不錯的選擇。大多數的DDoS攻擊代碼是公開的,分析源代碼我們也可以根據其特點設計出有效的反擊方法,或者使用工具檢測這種進攻。現在已經出現了名為Ngrep的工具,它使用DNS來跟蹤TFN2K駐留程序。
分布式反射拒絕服務——DRDoS
1.原理
一種比DDoS更可怕的攻擊方式已經出現了!它就是DRDoS——分布式反射拒絕服務(Distributed Reflection Denial of Service)。DRDoS不同于以往的拒絕服務方式,它對DDoS作了改進,它是通過對正常的服務器進行網絡連接請求來達到攻擊目的的。從TCP的三次握手中我們知道了任何合法的TCP連接請求都會得到返回數據包,而這種攻擊方法就是將這個返回包直接返回到被攻擊的主機上,這里涉及到數據包內的源IP地址問題,就是利用數據包的IP地址欺騙方法,欺騙被利用的網絡服務器提供TCP服務,讓此服務器認為TCP請求連接都是被攻擊主機上發送的,接著它就會發送“SYN+ACK”數據包給被攻擊主機,惡意的數據包就從被利用的服務器“反射”到了被害主機上,形成洪水攻擊。
DRDoS圖解(如圖9所示):
![]("http://soft.yesky.com/imagelist/06/03/ez3q2e5ekcb7.gif")
圖9
2.攻擊
DRDoS很好地隱蔽了攻擊者的真實地址,利用時我們也可以使用威力更大的方式。
這里提供一款命令行攻擊工具——DRDoS(安全焦點有下載),使用很簡單,但是威力很大。慎用!
3.防御
防御這種攻擊需要相當高的專業技巧,一般來說應該讓網絡安全事件響應小組來取證分析,并請信息安全服務商來解決。
