DOSDDOS原理及攻擊防御方法淺談

1、DoS的英文全稱是DenialofService,也就是“拒絕服務(wù)”的意思。廣義的DOS攻擊是指：“任何導(dǎo)致被攻擊的服務(wù)器不能正常提供服務(wù)的攻擊方式”。DoS攻擊和其他類型的攻擊不大一樣攻擊者并不是去尋找進(jìn)入內(nèi)部網(wǎng)絡(luò)的入口而是去阻止合法的用戶訪問(wèn)資源或路由器。DOS攻擊的基本原理是設(shè)法使被攻擊服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。DoS攻擊一般是采用一對(duì)一方式的，當(dāng)被攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高時(shí)攻擊的效果就更明顯。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展

2、，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這些變化都使得目標(biāo)計(jì)算機(jī)有足夠的資源來(lái)應(yīng)付這些DoS攻擊報(bào)文，這使得DoS攻擊的困難程度加大，效果減小。在這種情況下，DDoS攻擊方法就應(yīng)運(yùn)而生，DDoS是英文DistributedDenialofService的縮寫(xiě)，即“分布式拒絕服務(wù)”，它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊。前面已經(jīng)提到了，當(dāng)今的計(jì)算機(jī)和網(wǎng)絡(luò)速度都普遍比較快，尤其是大型服務(wù)器和數(shù)據(jù)中心，那數(shù)據(jù)處理能力和網(wǎng)絡(luò)速度簡(jiǎn)直令人嘆為觀止，因此傳統(tǒng)的基于一對(duì)一的DoS攻擊效果已不再那么明顯。于是，我們偉大的IT高手們秉承“辦法總比困難多”的勵(lì)志理念，汲取街頭打

3、架斗毆場(chǎng)景中的精髓，既然一個(gè)人打不過(guò)，那就來(lái)群毆。DDoS攻擊便是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，這樣來(lái)勢(shì)迅猛的攻擊令，即使性能再高的服務(wù)器也無(wú)法應(yīng)付，因此產(chǎn)生的破壞性極大。主要目標(biāo)是較大的站點(diǎn)，像商業(yè)公司、搜索引擎和政府部門(mén)的站點(diǎn)。DDoS攻擊的4個(gè)組成部分：.攻擊者攻擊者所用的主機(jī)，也稱為攻擊主控臺(tái).主控端攻擊者侵入并控制的一些主機(jī)，分別控制大量代理攻擊主機(jī)；3).代理攻擊端攻擊者侵入并控制的一批主機(jī)，其上面運(yùn)行攻擊程序，接收和運(yùn)行主控端發(fā)來(lái)的命令，代理攻擊端俗稱“肉雞”；.受害者被攻擊的目標(biāo)主機(jī)。DDoS攻擊示意圖如下：代理攻擊端擊端主控端主控端七冃J受害者攻擊者代理政擊端代理攻

4、擊端擊端主控端主控端七冃J受害者攻擊者代理政擊端代理政擊端I&代理攻擊端主控端e上圖為DDoS直接攻擊方式，另外還有一種威力更大、更隱蔽的DDoS間接攻擊方式，其原理是攻擊者偽造源地址為受害者地址的SYN連接請(qǐng)求包發(fā)送給大量服務(wù)器，隨后，服務(wù)器群會(huì)向源IP(也就是受害者)發(fā)出大量的SYN+ACK或RST包來(lái)進(jìn)行響應(yīng)，大量服務(wù)器的響應(yīng)數(shù)據(jù)包最終在受害者處匯集為洪水，使受害者網(wǎng)絡(luò)癱瘓，甚至死機(jī)，此攻擊方式隱蔽性非常強(qiáng)，受害方很難找到攻擊來(lái)源。其攻擊示意圖如下所示。攻擊者主控端代理攻擊端主控端代理攻擊端代理攻擊端d弋理攻擊端L代理攻擊端代理攻擊端攻擊者主控端代理攻擊端主控端代理攻擊端代理攻擊端d弋理

5、攻擊端L代理攻擊端代理攻擊端攻擊步驟1).搜集攻擊目標(biāo)信息。包括目標(biāo)主機(jī)的地址、配置、性能、帶寬等。并根據(jù)目標(biāo)主機(jī)的相關(guān)參數(shù)設(shè)計(jì)合理的攻擊強(qiáng)度，做到知己知彼，百戰(zhàn)不殆；.占領(lǐng)傀儡機(jī)。攻擊者通過(guò)工具掃描互聯(lián)網(wǎng)上那些有漏洞的機(jī)器，隨后就是嘗試攻擊。攻擊成功后，就可以占領(lǐng)和控制被攻擊的主機(jī)，即“肉雞”。攻擊者可以利用FTP/TFTP等協(xié)議把DDoS攻擊用的程序上傳到“肉雞”中。“肉雞”包括主控端和代理端主機(jī)，其中一部分主機(jī)充當(dāng)攻擊的主控端，一部分主機(jī)充當(dāng)攻擊的代理端。不過(guò)，攻擊者如果想省事的話，可以直接從網(wǎng)絡(luò)上購(gòu)買(mǎi)“肉雞”，一般是幾角錢(qián)一只，量多優(yōu)惠。這些“肉雞”就是被黑客成功控制的計(jì)算機(jī)，并用于出

6、售目的。.實(shí)施攻擊。攻擊者登錄到作為控制臺(tái)的“肉雞”中，向所有做為代理端主機(jī)的“肉雞”發(fā)出命令，這時(shí)候埋伏在“肉雞”中的DDoS攻擊程序就會(huì)響應(yīng)控制臺(tái)的命令，同時(shí)向受害主機(jī)以高速度發(fā)送大量的數(shù)據(jù)包，導(dǎo)致受害主機(jī)死機(jī)或是無(wú)法響應(yīng)正常的請(qǐng)求。在DOS/DDOS原理及攻擊防御方法淺談（一）中我們已經(jīng)了解了DOS/DDOS攻擊的原理及步驟，下面我們接著介紹DOS/DDOS的常用攻擊方法及防御手段。Dos攻擊種類有很多，主要有：IPSpoofing攻擊、Land攻擊、Smurf攻擊、Fraggle攻擊、WinNuke攻擊、SYNFlood攻擊、ICMPFlood攻擊、UDPFlood攻擊、ICMP-Re

7、direct攻擊及ICMP-Unreachable攻擊等。1）.IPSpoofing攻擊IPSpoofing也叫IP欺騙，其原理是攻擊者機(jī)器A利用軟件構(gòu)造一個(gè)虛假不存在的IP地址，并以此不存在地址為源IP地址向受害者機(jī)器B發(fā)送SYN報(bào)文，請(qǐng)求建立TCP/IP連接。目標(biāo)機(jī)器B接收到這個(gè)SYN報(bào)文后，會(huì)將收到的SYN報(bào)文中的源IP地址提取出來(lái)，并將此IP作為目的IP，回復(fù)一個(gè)ACK/SYN確認(rèn)報(bào)文給B，并等待接收來(lái)自B的確認(rèn)報(bào)文。由于這個(gè)目的IP是攻擊者A偽造的，實(shí)際網(wǎng)絡(luò)中根本不存在，所以這個(gè)ACK/SYN確認(rèn)報(bào)文也就無(wú)法到達(dá)，B也就不可能接收到它的確認(rèn)報(bào)文。但是，根據(jù)TCP/IP協(xié)議規(guī)范，受害者

8、B必須一直等待接收A回復(fù)的確認(rèn)報(bào)文，直到受害者B內(nèi)部的定時(shí)器超時(shí)才放棄等待。這就是一次IPSpoofing攻擊，假如攻擊者A使用軟件以每秒幾百次幾千次乃至幾萬(wàn)次的速度向同一個(gè)受害者B發(fā)送虛假SYN報(bào)文，那么受害者機(jī)器B上就會(huì)產(chǎn)生大量的TCP/IP半連接，并且都要等待這些半連接超時(shí)（在等待的時(shí)候要專心，不能干別的事情的，呵呵），從而使系統(tǒng)資源耗盡，不能及時(shí)響應(yīng)正常的服務(wù)請(qǐng)求。如果攻擊者A控制幾百幾千臺(tái)乃至幾萬(wàn)臺(tái)機(jī)器同時(shí)使用軟件分別以每秒幾百次幾千次乃至幾萬(wàn)次的速度向同一個(gè)受害者B發(fā)送虛假SYN報(bào)文，這樣，受害者B所建立的TCP/IP半連接數(shù)量會(huì)呈指數(shù)上升，即使B的處理能力再?gòu)?qiáng)，網(wǎng)絡(luò)帶寬再寬，系統(tǒng)

9、也會(huì)在瞬間崩潰，這就是DDoS攻擊。為了大家更好的理解IPSpoofing攻擊方法，這里再補(bǔ)充介紹下TCP鏈接的建立過(guò)程。大家都知道，目前網(wǎng)絡(luò)中的絕大部分上層應(yīng)用程序都是基于TCP協(xié)議的。TCP是TransmissionControlProtocol的縮寫(xiě)，即傳輸控制協(xié)議。TCP是一種面向連接的高可靠性協(xié)議，它的建立過(guò)程包括三個(gè)過(guò)程，簡(jiǎn)稱“三次握手”。如下圖所示。如上圖所示，客戶A想要從服務(wù)器B取得服務(wù)，首先需要向B發(fā)送一個(gè)SYN報(bào)文，請(qǐng)求建立TCP鏈接，這就是“第一次握手”。服務(wù)器B收到SYN報(bào)文后，會(huì)將SYN的源IP地址提取出來(lái)作為目的IP地址，回復(fù)一個(gè)SYN/ACK報(bào)文給客戶A，這就是“

10、第二次握手”?？蛻鬉收到來(lái)自服務(wù)器B的SYN/ACK報(bào)文后，再將此報(bào)文的源IP地址提取出來(lái)作為目的IP地址，回復(fù)一個(gè)ACK確認(rèn)報(bào)文給服務(wù)器B,這就是“第三次握手”。服務(wù)器B收到這個(gè)ACK報(bào)文后，立即啟動(dòng)對(duì)客戶A的相應(yīng)服務(wù)。上面介紹的IPSpoofing就是因?yàn)锳偽造了自己的IP，使得“第二次握手”的SYN/ACK報(bào)文不能到達(dá)A，A也不會(huì)發(fā)ACK報(bào)文進(jìn)行“第三次握手”，但是B卻一直在苦苦等待“第三次握手”報(bào)文ACK的到來(lái)。在網(wǎng)絡(luò)安全設(shè)備中，是通過(guò)如下方法來(lái)防御IPSpoofing攻擊的：檢測(cè)每個(gè)接口流入的IP報(bào)文的源IP地址和目的IP地址,并對(duì)報(bào)文的源IP地址反查路由表，如果該IP報(bào)文的的入接口

11、與以該地址為目的地址的最佳出接口不相同的話，則視為IPSpoofing攻擊報(bào)文，將禁止其通過(guò)，并進(jìn)行攻擊日志記錄。.Land攻擊Land攻擊其實(shí)是IPSpoofing攻擊的一個(gè)變種。其原理是攻擊者機(jī)器A向受害者機(jī)器B發(fā)送一個(gè)偽造的SYN報(bào)文，此SYN報(bào)文的源IP地址和目的IP地址都被設(shè)成受害者機(jī)器B的IP地址，源端口號(hào)和目的端口號(hào)也相同。受害者機(jī)器B接收到此SYN報(bào)文后，提取報(bào)文的源IP地址（其實(shí)是B機(jī)器自己的IP地址），并將其作為目的IP地址發(fā)送一個(gè)SYN/ACK報(bào)文（其實(shí)是向它自己發(fā)送了一個(gè)SYN/ACK報(bào)文），結(jié)果這個(gè)地址又發(fā)回ACK確認(rèn)報(bào)文，從而創(chuàng)建了一個(gè)空連接，每一個(gè)這樣的空連接都將

12、保留到內(nèi)部定時(shí)器超時(shí)后才釋放，從而消耗掉大量的系統(tǒng)資源。對(duì)于Land攻擊，各種操作系統(tǒng)的反應(yīng)也有所不同，UNIX系統(tǒng)將會(huì)崩潰，而NT系統(tǒng)將變的極其緩慢，時(shí)間大約持續(xù)五分鐘。在網(wǎng)絡(luò)安全設(shè)備中，是通過(guò)如下方法來(lái)防御Land攻擊的：檢測(cè)每個(gè)接口流入的IP報(bào)文的源IP地址和目的IP地址，阻止那些源IP地址落在所保護(hù)網(wǎng)絡(luò)IP地址段內(nèi)的報(bào)文進(jìn)入。但是，此方法也具有局限性，即不能防御那些從所保護(hù)網(wǎng)絡(luò)內(nèi)部發(fā)起的Land攻擊。3）.SYNFlood攻擊SYNFlood是當(dāng)前最流行的DoS/與DDoS攻擊方式之一，其原理原理跟上面介紹過(guò)的IPSpoofing攻擊是一樣的，都是利用TCP協(xié)議的缺陷，偽造不存在的源I

13、P向受害者發(fā)送SYN報(bào)文，使得受害者機(jī)器建立大量TCP半連接，每個(gè)半連接差不多等待30秒2分鐘后才超時(shí)釋放?！癋lood”的中文意思是“洪水”，顧名思義，SYNFlood攻擊時(shí)，無(wú)數(shù)偽造的SYN攻擊報(bào)文就像洪水一樣涌向受害者機(jī)器，如果受害者機(jī)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出而使系統(tǒng)崩潰，即使其系統(tǒng)足夠強(qiáng)大，也會(huì)因忙于處理偽造的SYN報(bào)文而無(wú)法響應(yīng)客戶的正常請(qǐng)求，此時(shí)從正?？蛻舻慕嵌瓤磥?lái)，服務(wù)器失去響應(yīng)。針對(duì)SYNFlood攻擊，一種有效的防御方法是限制系統(tǒng)TCP半連接的數(shù)量,并且在TCP半連接超過(guò)一定數(shù)量后，在防火墻端啟動(dòng)TCP代理功能。所謂TCP代理功能，就是在客戶發(fā)起T

14、CP連接時(shí)，防火墻不把SYN報(bào)文發(fā)給目標(biāo)機(jī)器而是自己偽裝成目標(biāo)機(jī)器對(duì)SYN報(bào)文做出SYN/ACK應(yīng)答。.UDPFlood攻擊為了更好的介紹UDPFlood攻擊，我們先來(lái)看一下UDP協(xié)議與TCP協(xié)議的區(qū)別。TCP(TransmissionControlProtocol)是一種面向連接、可靠的字節(jié)流服務(wù)。當(dāng)客戶和服務(wù)器彼此交換數(shù)據(jù)前，必須先在雙方之間建立一個(gè)TCP連接，之后才能傳輸數(shù)據(jù)OTCP提供超時(shí)重發(fā)，丟棄重復(fù)數(shù)據(jù)，檢驗(yàn)數(shù)據(jù)，流量控制等功能，保證數(shù)據(jù)能從一端傳到另一端。UDP(UserDatagramProtocol，用戶數(shù)據(jù)報(bào)協(xié)議)是一個(gè)簡(jiǎn)單的面向數(shù)據(jù)報(bào)的運(yùn)輸層協(xié)議。UDP不提供可靠性，它只

15、是把應(yīng)用程序傳給IP層的數(shù)據(jù)報(bào)發(fā)送出去，但是并不能保證它們能到達(dá)目的地。由于UDP在傳輸數(shù)據(jù)報(bào)前不用在客戶和服務(wù)器之間建立一個(gè)連接，且沒(méi)有超時(shí)重發(fā)等機(jī)制，故而傳輸速度很快。從專業(yè)的角度說(shuō)，TCP的可靠保證，是它的三次握手機(jī)制，這一機(jī)制保證校驗(yàn)了數(shù)據(jù)，保證了他的可靠性。而UDP就沒(méi)有了，所以不可靠。不過(guò)UDP的速度是TCP比不了的，而且UDP的反應(yīng)速度更快，QQ就是用UDP協(xié)議傳輸?shù)?，HTTP是用TCP協(xié)議傳輸?shù)?。UDPFlood攻擊的原理是攻擊者機(jī)器A偽造一個(gè)并不存在的IP地址，并以此為源IP地址向受害者機(jī)器B發(fā)送一個(gè)UDP報(bào)文，B收到UDP報(bào)文后，發(fā)現(xiàn)上層沒(méi)有任何應(yīng)用程序在等待UDP端口，于

16、是B就會(huì)生成一個(gè)ICMP報(bào)文發(fā)給該偽造的源IP地址，告訴對(duì)方剛才所發(fā)的UDP報(bào)文無(wú)法連接。如果A向B發(fā)送的足夠多的UPD報(bào)文，受害者B將忙于處理這些無(wú)用的UDP報(bào)文，造成系統(tǒng)資源耗盡，導(dǎo)致癱瘓。.ICMPFlood攻擊ICMP是InternetControlMessageProtocol的縮寫(xiě)，即因特網(wǎng)控制消息協(xié)議的意思。ICMP協(xié)議是TCP/IP協(xié)議族的一個(gè)子協(xié)議，它是一種面向連接的網(wǎng)絡(luò)層協(xié)議，用于傳輸出錯(cuò)報(bào)告控制信息，主要用于在主機(jī)與路由器之間傳遞控制信息，包括報(bào)告錯(cuò)誤、交換受限控制和狀態(tài)信息等。當(dāng)遇到IP數(shù)據(jù)無(wú)法訪問(wèn)目標(biāo)、IP路由器無(wú)法按當(dāng)前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)包等情況時(shí)，會(huì)自動(dòng)發(fā)送ICM

17、P消息。我們經(jīng)常用來(lái)檢測(cè)網(wǎng)絡(luò)通不通的“Ping”命令就是使用ICMP協(xié)議。ICMPFlood攻擊的原理就在在較短時(shí)間內(nèi)向受害者機(jī)器發(fā)送大量的ICMP請(qǐng)求報(bào)文，使受害者機(jī)器忙于向外發(fā)送ICMP應(yīng)答報(bào)文，造成系統(tǒng)資源耗盡，導(dǎo)致癱瘓。在DOS/DDOS原理及攻擊防御方法淺談（二）中，我們已經(jīng)介紹了IPSpoofing、Land、SYNFlood、UDPFlood、ICMPFlood五中常用的DOS/DDOS攻擊方法及防御手段，下面我們繼續(xù)介紹剩下的五中DOS/DDOS攻擊方法及防御手段。6）.Smurf攻擊Smurf攻擊是以最初發(fā)動(dòng)這種攻擊的程序名“Smurf”來(lái)命名的。同ICMPFlood攻擊一樣

18、，Smurf攻擊也是利用了ICMP協(xié)議的漏洞。其原理是攻擊者A向廣播地址發(fā)送ICMP請(qǐng)求廣播報(bào)文，不過(guò)該廣播報(bào)文的源IP地址不是攻擊者A本身，而是偽造成受害者B的IP地址，這樣，廣播域內(nèi)所有收到該ICMP請(qǐng)求報(bào)文的機(jī)器都會(huì)給受害者B回復(fù)ICMP應(yīng)答報(bào)文，因而產(chǎn)生大量的通信業(yè)務(wù)，從而導(dǎo)致受害者B的網(wǎng)絡(luò)擁塞及系統(tǒng)癱瘓。對(duì)于Smurf攻擊，廣播域內(nèi)的機(jī)器數(shù)量越多，攻擊效果就越明顯。在網(wǎng)絡(luò)安全設(shè)備中，是通過(guò)如下方法來(lái)防御Smurf攻擊的：對(duì)通過(guò)設(shè)備的所有ICMP請(qǐng)求報(bào)文的目的地址進(jìn)行檢查，如果是子網(wǎng)廣播地址或者子網(wǎng)的網(wǎng)絡(luò)地址，則認(rèn)為是Smurf攻擊，直接拒絕通過(guò)。.Fraggle攻擊Fraggle攻擊

19、的原理與Smurf攻擊的原理類似，不過(guò)，F(xiàn)raggle攻擊發(fā)送的是UDP報(bào)文而非ICMP報(bào)文。因?yàn)榘l(fā)送的是UDP報(bào)文，F(xiàn)raggle攻擊可以穿過(guò)一些阻止ICMP報(bào)文進(jìn)入的防火墻。Fraggle攻擊的原理是攻擊者A向廣播地址發(fā)送UDP報(bào)文，目的端口號(hào)為7(ECH0)或19(Chargen)，報(bào)文的源IP地址偽裝成受害者B的IP地址。這樣，廣播域中所有啟用了此功能的計(jì)算機(jī)都會(huì)向受害者B發(fā)送回應(yīng)報(bào)文，從而產(chǎn)生大量的流量，導(dǎo)致受害網(wǎng)絡(luò)的阻塞或受害主機(jī)崩潰。如果廣播域中的主機(jī)沒(méi)有啟動(dòng)這些功能，這些主機(jī)將產(chǎn)生一個(gè)ICMP不可達(dá)消息發(fā)給B,仍然消耗帶寬。Fraggle攻擊時(shí)，也可將源端口改為端口19(Cha

20、rgen)，目的端口為7(ECH0),這樣會(huì)自動(dòng)不停地產(chǎn)生回應(yīng)報(bào)文，其危害性更大。防御方法：關(guān)閉路由器或防火墻的廣播地址特性，并在防火墻上過(guò)濾掉UDP報(bào)文，阻止所有目的端口或源端口號(hào)為7或19的UDP報(bào)文通過(guò)。補(bǔ)充下計(jì)算機(jī)端口方便的知識(shí)，大家都知道通信網(wǎng)絡(luò)的上層應(yīng)用程序都是通過(guò)端口號(hào)來(lái)識(shí)別傳輸層協(xié)議的，比如常用的HTTP協(xié)議就使用了80端口，用于郵件的SMTP協(xié)議使用的是25端口。比如某傳輸層報(bào)文的端口號(hào)標(biāo)識(shí)位為“80”，那么計(jì)算機(jī)收到報(bào)文后一看端口號(hào)就知道該報(bào)文是給HTTP協(xié)議的，直接轉(zhuǎn)交給它處理。同樣的，TCP/UDP協(xié)議是IP的上層協(xié)議，IP可能會(huì)被系統(tǒng)中多個(gè)應(yīng)用程序應(yīng)用，如何來(lái)區(qū)分多個(gè)

21、應(yīng)用程序呢？答案是TCP/UDP端口號(hào)。TCP和UDP的端口號(hào)的編號(hào)都是獨(dú)立的，都是065535。例如DNS，可以是TCP的53號(hào)端口，也可以是UDP的53號(hào)端口。端口號(hào)只具有本地意義，是拿來(lái)標(biāo)識(shí)程序的。只有01023是公認(rèn)的系統(tǒng)占用，其他在通信過(guò)程中是隨機(jī)生成，此次傳輸完成即撤消。在UDP的這些端口中，有兩個(gè)很特殊的端口7和19OUDP的7號(hào)端口收到報(bào)文后，會(huì)象ICMPEchoReply一樣回應(yīng)收到的內(nèi)容，而19號(hào)端口在收到報(bào)文后，會(huì)產(chǎn)生一串字符流。.WinNuke攻擊WinNuke攻擊是以最初發(fā)動(dòng)這種攻擊的程序名“WinNuke”來(lái)命名的。其攻擊原理是利用了WINDOWS操作系統(tǒng)的一個(gè)漏洞

22、，向139端口發(fā)送一些攜帶TCP帶外(00B)數(shù)據(jù)報(bào)文，但這些攻擊報(bào)文與正常攜帶OOB數(shù)據(jù)報(bào)文不同的是，其指針字段與數(shù)據(jù)的實(shí)際位置不符，即存在重疊，WINDOWS操作系統(tǒng)在處理這些數(shù)據(jù)的時(shí)候，就會(huì)崩潰。還有一種是IGMP(InternetGroupManagementProtocol)分片報(bào)文，一般情況下，IGMP報(bào)文是不會(huì)分片的，所以，不少系統(tǒng)對(duì)IGMP分片報(bào)文的處理有問(wèn)題。如果收到IGMP分片報(bào)文，則基本可判定受到了攻擊。NetBIOS作為一種基本的網(wǎng)絡(luò)資源訪問(wèn)接口，廣泛的應(yīng)用于文件共享，打印共享，進(jìn)程間通信(IPC)，以及不同操作系統(tǒng)之間的數(shù)據(jù)交換。一般情況下，NetBIOS是運(yùn)行在LL

23、C2鏈路協(xié)議之上的，是一種基于組播的網(wǎng)絡(luò)訪問(wèn)接口。為了在TCP/IP協(xié)議棧上實(shí)現(xiàn)NetBIOS，RFC規(guī)定了一系列交互標(biāo)準(zhǔn)，以及幾個(gè)常用的TCP/UDP端口，如下。.139：NetBIOS會(huì)話服務(wù)的TCP端口；.137：NetBIOS名字服務(wù)的UDP端口；.136：NetBIOS數(shù)據(jù)報(bào)服務(wù)的UDP端口。Windows操作系統(tǒng)實(shí)現(xiàn)了NetBIOSoverTCP/IP功能，并開(kāi)放了139端口WinNuke攻擊就是利用了WINDOWS操作系統(tǒng)的一個(gè)漏洞，向這個(gè)139端口發(fā)送一些攜帶TCP帶外(00B)數(shù)據(jù)報(bào)文,但這些攻擊報(bào)文與正常攜帶00B數(shù)據(jù)報(bào)文不同的是，其指針字段與數(shù)據(jù)的實(shí)際位置不符，即存在重疊，WINDOWS操作系統(tǒng)在處理這些數(shù)據(jù)的時(shí)候，就會(huì)崩潰。還有一種是IGMP(InternetGroupManagementProtocol)分片報(bào)文，一般情況下，IGMP報(bào)文是不會(huì)分片的，所以，不少系統(tǒng)對(duì)IGMP分片報(bào)文的處理有問(wèn)題。如果收到IGMP分片報(bào)文，則基本可判定受到了攻擊。補(bǔ)充下NetBIOS協(xié)議方面的知識(shí)