清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 网络漏洞主要是指网络产品或系统存在的缺陷给网 络带来的不安全因素,产生的主要原因是设计网络 产品或系统时考虑不周到。 由于网络系统的复杂性,网络漏洞产生不可避免, 现在主要做的是当发现网络漏洞后,应及时采取补 救措施。 根据网络漏洞或脆弱性给系统带来性危害的大小, 漏洞可分:允许拒绝服务的漏洞(C类)、允许有限 权限的本地用户未经授权提高其权限的漏洞(B类)、 允许外来团体(在远程主机上)未经授权访间网络的 漏洞(A类等3级类型 1.允许拒绝服务的漏洞(C类) 允许拒绝访问的漏洞属于C类,它不会破坏数据和 伸数据洲,具不十甫的漏洞
• 网络漏洞主要是指网络产品或系统存在的缺陷给网 络带来的不安全因素,产生的主要原因是设计网络 产品或系统时考虑不周到。 • 由于网络系统的复杂性,网络漏洞产生不可避免, 现在主要做的是当发现网络漏洞后,应及时采取补 救措施。 • 根据网络漏洞或脆弱性给系统带来性危害的大小, 漏洞可分:允许拒绝服务的漏洞(C类)、允许有限 权限的本地用户未经授权提高其权限的漏洞(B类)、 允许外来团体(在远程主机上)未经授权访问网络的 漏洞(A类)等3级类型。 1. 允许拒绝服务的漏洞(C类) • 允许拒绝访问的漏洞属于C类,它不会破坏数据和 使数据泄密,是不太重要的漏洞
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS ·黑客利用这类漏洞进行攻击几乎总是基于操作系统 的。也就是说,这些漏洞存在于网络操作系统中。 当存在这种漏洞时,必须通过软件开发者或销售商 的弥补予以纠正。 对于大的网络或站点,拒绝服务或攻击只是有限的 影响,最多不过是使人心烦而已。然而对于小的站 点,可能会受到拒绝服务的重创。特别对于站点只 是一台单独的机器(单独的邮件或新闻服务器更是 如此。 拒绝服务攻击是一类人或多人利用 nternet的核心 协议TCP/P的某些缺陷产生大量数据阻塞网络、 使服务器死机或因服务器负担过重使系统拒绝正常 用户对系统信息进行合法的访问
• 黑客利用这类漏洞进行攻击几乎总是基于操作系统 的。也就是说,这些漏洞存在于网络操作系统中。 当存在这种漏洞时,必须通过软件开发者或销售商 的弥补予以纠正。 • 对于大的网络或站点,拒绝服务或攻击只是有限的 影响,最多不过是使人心烦而已。然而对于小的站 点,可能会受到拒绝服务的重创。特别对于站点只 是一台单独的机器(单独的邮件或新闻服务器)更是 如此。 • 拒绝服务攻击是一类人或多人利用Internet的核心 协议TCP/IP的某些缺陷产生大量数据阻塞网络、 使服务器死机或因服务器负担过重使系统拒绝正常 用户对系统信息进行合法的访问
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS TCP/P协议的这一类缺陷主要有: (1)UDP攻击 UDP攻击的原理是使两个或两个以上的系统之间产 生巨大的UDP数据包。首先使这两种UDP服务都产 生输出,然后让这两种UDP服务之间互相通信,使 方的输出成为另一方的输入,在两个计算机之间 产生了循环,这样会形成很大的数据流量。当多个 系统之间互相产生UDP数据包时,最终将导致整个 网络瘫痪。如果涉及的主机数目少,那么只有这几 台主机会瘫痪。 (2) TCP/SYN攻击 TCPISYN作为一种拒绝服务攻击存在的时间已经 有20多年了,它是利用TCP/P的连接建立时的漏
• TCP/IP协议的这一类缺陷主要有: (1) UDP攻击 • UDP攻击的原理是使两个或两个以上的系统之间产 生巨大的UDP数据包。首先使这两种UDP服务都产 生输出,然后让这两种UDP服务之间互相通信,使 一方的输出成为另一方的输入,在两个计算机之间 产生了循环,这样会形成很大的数据流量。当多个 系统之间互相产生UDP数据包时,最终将导致整个 网络瘫痪。如果涉及的主机数目少,那么只有这几 台主机会瘫痪。 (2) TCP/SYN攻击 • TCP/SYN作为一种拒绝服务攻击存在的时间已经 有20多年了,它是利用TCP/IP的连接建立时的漏
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 洞进行攻击的,其原理简单介绍如下:当一台黑 客计算机A要与另外一台主机B建立连接时,它的 通信方式是先发一个SYN包告诉对方主机B说“我 要和你通信了”,当B收到时,就回复一个 ACKSYN确认请求包给A主机。如果A是合法地址, 就会再回复一个ACK包给B主机,然后两台主机就 可以建立一个通信渠道了。可是当黑客计算机A发 出的包的源地址是一个虚假的IP地址或者可以说是 实际上不存在的一个地址,于是主机B发出的那个 ACK/SYN包当然就找不到目标地址了。如果这个 ACK/SYN包一直没有找到目标地址,那么也就是 目标主机无法获得对方回复的ACK包。而在默认 超时的时间范围以内,主机的一部分资源要花在等 待这个ACK包的响应上,假如短时间内
洞进行攻击的,其原理简单介绍如下:当一台黑 客计算机A要与另外一台主机B建立连接时,它的 通信方式是先发一个SYN包告诉对方主机B说“我 要和你通信了”,当B收到时,就回复一个 ACK/SYN确认请求包给A主机。如果A是合法地址, 就会再回复一个ACK包给B主机,然后两台主机就 可以建立一个通信渠道了。可是当黑客计算机A发 出的包的源地址是一个虚假的IP地址或者可以说是 实际上不存在的一个地址,于是主机B发出的那个 ACK/SYN包当然就找不到目标地址了。如果这个 ACK/SYN包一直没有找到目标地址,那么也就是 目标主机无法获得对方回复的ACK包。而在默认 超时的时间范围以内,主机的一部分资源要花在等 待这个ACK包的响应上,假如短时间内
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 主机A接到大量来自虚假P地址的SYN包,它就要 占用大量的资源来处理这些错误的等待,最后的结 果就是系统资源耗尽以至瘫痪。这种攻击方式也是 分布式网络攻击DO.)的攻击原理之一。 (3) ICMP/PING攻击 ICMP/PⅠNG攻击是利用一些系统不能接受超大的 IP包或需要资源处理这一特性而进行的。ICMP协 议是TCPP协议的重要组成部分,它主要是在网 络上查询计算机的状态。但是在 Windows98下, ICMP协议不能接收大的I包,如在 Linux下输入 Ping-t-66510IP地址(未打补丁的 Windows 95 Windows98的计算机),计算机就会瘫痪。黑客 可以编写程序,产生大量的进程,每个进程都不停 地发送PING包,从而导致被攻击目标无法正常工
主机A接到大量来自虚假IP地址的SYN包,它就要 占用大量的资源来处理这些错误的等待,最后的结 果就是系统资源耗尽以至瘫痪。这种攻击方式也是 分布式网络攻击(D.O.S)的攻击原理之一。 (3) ICMP/PING攻击 • ICMP/PING攻击是利用一些系统不能接受超大的 IP包或需要资源处理这一特性而进行的。ICMP协 议是TCP/IP协议的重要组成部分,它主要是在网 络上查询计算机的状态。但是在Windows 98下, ICMP协议不能接收大的IP包,如在Linux下输入 Ping-t-l 66510 I P地址(未打补丁的Windows 95/Windows 98的计算机),计算机就会瘫痪。黑客 可以编写程序,产生大量的进程,每个进程都不停 地发送PING包,从而导致被攻击目标无法正常工 作