《网络攻防与协议分析》课件——2.异常包攻击.pptxVIP

异常包攻击原理

及入侵检测配置

常见报文攻击畸形报文攻击特殊报文攻击Smurf攻击Land攻击Fraggle攻击IP分片报文攻击IP欺骗攻击PingofDeath攻击TCP报文标志位攻击Teardrop攻击超大ICMP报文攻击ICMP重定向报文攻击ICMP不可达报文Tracert报文攻击带源路由选项的IP报文攻击带路由记录项的IP报文攻击带时间戳选项的IP报文攻击

1畸形报文攻击

IP欺骗攻击原理IP欺骗攻击是一种常用的攻击方法，同时也是其他攻击方法的基础。攻击者通过向目标主机发送源IP地址伪造的报文，欺骗目标主机，从而获取更高的访问和控制权限。该攻击危害目标主机的资源，造成信息泄漏。服务器1192.168.1.1服务器2192.168.1.2服务器3192.168.1.3攻击者外部网络伪造源IP地址，发起攻击，如伪造源IP地址为192.168.1.4。攻击者可非法获取权限，窃取企业机密信息。Router服务器4（真实源）192.168.1.4

IP欺骗攻击防范原理启用IP欺骗攻击防范后，设备对报文的源IP地址进行路由表反查，检查路由表中到源IP地址的出接口和报文的入接口是否一致。如果不一致，则视为IP欺骗攻击，并根据配置的动作处理该数据包。服务器1192.168.1.1服务器2192.168.1.2服务器3192.168.1.3攻击者外部网络IP欺骗攻击Router防火墙GE0/0/1GE0/0/2防火墙对报文的源IP进行路由表反查，假如攻击者伪造的源IP为192.168.1.4，则防火墙查找到的报文出接口为GE0/0/2，但实际的入接口为GE0/0/1，防火墙视为IP欺骗攻击，进行相应处理。服务器4（真实源）192.168.1.4

Teardrop攻击原理为满足链路层MTU的要求，一些大的IP报文在传送过程中需要进行分片，被分片的报文在IP报头中会携带分片标志位和分片偏移量。如果攻击者截取分片报文后，对其中的偏移量进行修改，则数据接收端在收到分片报文后，无法组装为完成的数据包。接收端会不断进行尝试，消耗大量系统资源。攻击者外部网络Router服务器攻击者截取合法的分片报文，修改偏移量。服务器收到分片报文，由于偏移量错误，无法完成组装，消耗大量系统资源。合法用户

Teardrop攻击防范原理启用Teardrop攻击防范后，设备会对接收到的分片报文进行分析，计算报文的偏移量是否有误。如果有误则直接丢弃该报文，并记录攻击日志。攻击者外部网络Router服务器攻击者截取合法的分片报文，修改偏移量。防火墙对分片报文进行分析，丢弃偏移量有误的报文。合法用户防火墙

Smurf攻击原理攻击者并不直接攻击目标服务器，而是通过伪造大量ICMP请求报文来实施网络攻击。伪造报文的源地址是被攻击服务器的地址，目的地址是某一个网络的广播地址，从而会造成大量主机向被攻击服务器发送ICMP应答报文，消耗网络带宽资源和服务器系统资源。此类攻击称为Smurf攻击。攻击者伪造ICMPRequest报文：源地址为10.1.2.99/24，目的地址为10.1.1.255/24。大量ICMPReply报文发送至服务器，占用带宽，造成网络拥塞。Router子网：10.1.1.0/24被攻击服务器10.1.2.99/24交换机10.1.2.0/2410.1.1.8/24服务器需要处理大量ICMP报文，占用系统资源。

Smurf攻击防范原理启用Smurf攻击防范后，防火墙会检查ICMP请求报文的目的地址是否为广播地址（即主机位全1）或网络地址（即主机位全0）。如果是则丢弃该报文，并记录攻击日志。攻击者攻击者伪造ICMPRequest报文：源地址：10.1.2.99目的地址：10.1.1.255Router子网：10.1.1.0/24被攻击服务器10.1.2.99/24交换机10.1.2.0/2410.1.1.8/24防火墙发现ICMPRequest报文的目标地址为广播地址，丢弃此报文。

Fraggle攻击原理类似于Smurf攻击，攻击者通过伪造大量UDP请求报文（目的端口号为7或19）来实施网络攻击。伪造报文的源地址是被攻击服务器地址，目的地址是某一个网络的广播地址，从而会造成大量主机向被攻击服务器发送UDP应答报文，消耗网络带宽资源和服务器系统资源。此类攻击称为Fraggle攻击。攻击者伪造UDP请求报文（目的端口号为7或19）：源地址为10.1.2.99，目的地址为10.1.1.255。大量UDP应答报文发送至服务器，占用带宽，造成网络拥塞。Router子网：10.1.1.0/24被攻击服务器10.1.2.99/24Switch10.1.2.0/2410.1.1.8/24服务器需要处理大量UDP报文，占用系统资源。

Fraggle攻击防范原理启用Fragg