几种常见的网络黑客攻击手段原理分析.pdf

常见网络攻击手段原理分析 1.1 TCP SYN 1.1 TCP SYN 11..11 TTCCPP SSYYNN拒绝服务攻击 一般情况下，一个TCP 连接的建立需要经过三次握手的过程，即： 1、 建立发起者向目标计算机发送一个TCP SYN 报文； 2、 目标计算机收到这个SYN 报文后，在内存中创建TCP 连接控制块（TCB），然后向发 起者回送一个TCP ACK报文，等待发起者的回应； 3、 发起者收到TCP ACK 报文后，再回应一个ACK报文，这样TCP 连接就建立起来了。 利用这个过程，一些恶意的攻击者可以进行所谓的TCP SYN 拒绝服务攻击： 1、 攻击者向目标计算机发送一个TCP SYN 报文； 2、 目标计算机收到这个报文后，建立TCP 连接控制结构（TCB），并回应一个ACK，等 待发起者的回应； 3、 而发起者则不向目标计算机回应ACK报文，这样导致目标计算机一致处于等待状态。 可以看出，目标计算机如果接收到大量的TCP SYN报文，而没有收到发起者的第三次 ACK回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源 （TCB 控制结构，TCB，一般情况下是有限的）耗尽，而不能响应正常的TCP 连接请求。 1.2 ICMP 1.2 ICMP 11..22 IICCMMPP洪水 正常情况下，为了对网络进行诊断，一些诊断程序，比如PING 等，会发出ICMP 响应 请求报文（ICMP ECHO），接收计算机接收到ICMP ECHO 后，会回应一个ICMP ECHO Rep1y报文。而这个过程是需要CPU 处理的，有的情况下还可能消耗掉大量的资源，比如 处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO 报文（产生ICMP 洪水），则目标计算机会忙于处理这些ECHO 报文，而无法继续处理其它的网络数据报文， 这也是一种拒绝服务攻击（DOS）。 1.3 UDP 1.3 UDP 11..33 UUDDPP洪水 原理与ICMP 洪水类似，攻击者通过发送大量的UDP报文给目标计算机，导致目标计 算机忙于处理这些UDP 报文而无法继续处理正常的报文。 1.4 端口扫描 2011新款韩版女式带帽卫衣 根据TCP 协议规范，当一台计算机收到一个TCP 连接建立请求报文（TCP SYN）的时 候，做这样的处理： 1、 如果请求的TCP 端口是开放的，则回应一个TCP ACK 报文，并建立TCP 连接控 制结构（TCB）； 2、 如果请求的TCP 端口没有开放，则回应一个TCP RST（TCP 头部中的RST标志 设为1）报文，告诉发起计算机，该端口没有开放。 相应地，如果IP 协议栈收到一个UDP 报文丵，做如下处理： 1、 如果该报文的目标端口开放，则把该UDP 报文送上层协议（UDP）处理，不回应 任何报文（上层协议根据处理结果而回应的报文例外）； 2、 如果该报文的目标端口没有开放，则向发起者回应一个ICMP 不可达报文，告诉发 起者计算机该UDP 报文的端口不可达。 利用这个原理，攻击者计算机便可以通过发送合适的报文，判断目标计算机哪些TCP 或UDP 端口是开放的，过程如下： 1、 发出端口号从0开始依次递增的TCP SYN 或UDP 报文（端口号是一个16比特的 数字，这样最大为65535，数量很有限）； 2、 如果收到了针对这个TCP 报文的RST 报文，或针对这个UDP 报文的ICMP 不可 达报文，则说明这个端口没有开放； 3、 相反，如果收到了针对这个TCP SYN 报文的ACK 报文，或者没有接收到任何针 对该UDP 报文的ICMP 报文，则说明该TCP 端口是开放的，UDP 端口可能开放（因为有的 实现中可能不回应ICMP 不可达报文，即使该UDP 端口没有开放）。 这样继续下去，便可以很容易的判断出目标计算机开放了哪些TCP 或UDP端口，然后 针对端口的具体数字，进行下一步攻击，这就是所谓的端口扫描攻击。 1.5 IP 1.5 IP 11..55 分片IIPP报文攻击 为了传送一个大的IP报文，IP协议栈需要根据链路接口的MTU对该IP报文进行分片， 通过填充适当的IP 头中的分片指示字段，接收计算机可以很容易的把这些IP 分片报文组装 起来。