622泪滴( teardrop) 1泪滴攻击的攻击特征、检测方法和反攻击 方法总结如下: ■攻击特征: Teardrop工作原理是向被攻击者 发送多个分片的IP包,某些操作系统收到含有 重 重叠偏移的伪造分片数据包时将会出现系统崩 溃、重启等现象 ■检测方法:对接收到的分片数据包进行分析 计算数据包的片偏移量( offset)是否有误。 反攻击方法:添加系统补丁程序,丢弃收到的 病态分片数据包并对这种攻击进行审计 2021/2/1 网络入侵与防范讲义
2021/2/1 网络入侵与防范讲义 26 6.2.2 泪滴(teardrop) 泪滴攻击的攻击特征、检测方法和反攻击 方法总结如下: ◼ 攻击特征:Teardrop工作原理是向被攻击者 发送多个分片的IP包,某些操作系统收到含有 重叠偏移的伪造分片数据包时将会出现系统崩 溃、重启等现象。 ◼ 检测方法:对接收到的分片数据包进行分析, 计算数据包的片偏移量(Offset)是否有误。 ◼ 反攻击方法:添加系统补丁程序,丢弃收到的 病态分片数据包并对这种攻击进行审计
623IP欺骗DoS攻击 口这种攻击利用RST位来实现。 口假设现在有一个合法用户(61616161)已经同 服务器建立了正常的连接,政击者构造攻击的TCP 数据,伪装自己的IP为61616161,并向服务 器发送一个带有RST位的TCP数据段。服务器接收 到这样的数据后,认为6161.6161发送的连接 有错误,就会清空缓冲区中建立好的连接。 口这时,如果合法用户61.616161再发送合法数 据,服务器就已经没有这样的连接了,该用户就必 须从新开始建立连接。 2021/2/1 网络入侵与防范讲义
2021/2/1 网络入侵与防范讲义 27 6.2.3 IP欺骗DoS攻击 这种攻击利用RST位来实现。 假设现在有一个合法用户(61.61.61.61)已经同 服务器建立了正常的连接,攻击者构造攻击的TCP 数据,伪装自己的IP为61.61.61.61,并向服务 器发送一个带有RST位的TCP数据段。服务器接收 到这样的数据后,认为61.61.61.61发送的连接 有错误,就会清空缓冲区中建立好的连接。 这时,如果合法用户61.61.61.61再发送合法数 据,服务器就已经没有这样的连接了,该用户就必 须从新开始建立连接
623IP欺骗DoS攻击 口攻击时,攻击者会伪造大量的工P地址, 向目标发送RST数据,使服务器不对合 法用户服务,从而实现了对受害服务器 的拒绝服务攻击 2021/2/1 网络入侵与防范讲义
2021/2/1 网络入侵与防范讲义 28 6.2.3 IP欺骗DoS攻击 攻击时,攻击者会伪造大量的IP地址, 向目标发送RST数据,使服务器不对合 法用户服务,从而实现了对受害服务器 的拒绝服务攻击
624UDP洪水 口UDP洪水( UDP flood)主要是利用主机能自动 进行回复的服务(例如使用UDP协议的 chargen 服务和echo服务)来进行攻击。 口很多提供WWW和Ma等服务设备通常是使用 Unix的服务器,它们默认打开一些被黑客恶意利 用的UDP服务。如echo服务会显示接收到的每一 个数据包,而原本作为测试功能的 chargen服务 会在收到每一个数据包时随机反馈一些字符。 2021/2/1 网络入侵与防范讲义
2021/2/1 网络入侵与防范讲义 29 6.2.4 UDP洪水 UDP洪水(UDP flood)主要是利用主机能自动 进行回复的服务(例如使用UDP协议的chargen 服务和echo服务)来进行攻击。 很多提供WWW和Mail等服务设备通常是使用 Unix的服务器,它们默认打开一些被黑客恶意利 用的UDP服务。如echo服务会显示接收到的每一 个数据包,而原本作为测试功能的chargen服务 会在收到每一个数据包时随机反馈一些字符
624UDP洪水 口当我们向echo服务的端口发送一个数据时, echo服务会将同样的数据返回给发送方,而 chargen服务则会随机返回字符。 口当两个或两个以上系统存在这样的服务时,攻击者 利用其中一台主机向另一台主机的echo或者 chargen服务端口发送数据,echo和 chargen 服务会自动进行回复,这样开启echo和 chargen服务的主机就会相互回复数据。 口由于这种做法使一方的输出成为另一方的输入,两 主杌间会形成大量的UDP数据包。当多个系统 之间互相产生UDP数据包时,最终将导致整个网 络瘫痪。 2021/2/1 网络入侵与防范讲义
2021/2/1 网络入侵与防范讲义 30 6.2.4 UDP洪水 当我们向echo服务的端口发送一个数据时, echo服务会将同样的数据返回给发送方,而 chargen服务则会随机返回字符。 当两个或两个以上系统存在这样的服务时,攻击者 利用其中一台主机向另一台主机的echo或者 chargen服务端口发送数据,echo和chargen 服务会自动进行回复,这样开启echo和 chargen服务的主机就会相互回复数据。 由于这种做法使一方的输出成为另一方的输入,两 台主机间会形成大量的UDP数据包。当多个系统 之间互相产生UDP数据包时,最终将导致整个网 络瘫痪