計(jì)算機(jī)網(wǎng)絡(luò)資料：?jiǎn)伟粼砼c防御

單包攻擊原理與防御單包攻擊簡(jiǎn)介在DDoS攻擊中最常見(jiàn)的攻擊便是單包攻擊。單包攻擊防御是防火墻具備的最基本的方法功能。單包攻擊主要分為三類：掃描窺探攻擊畸形報(bào)文攻擊特殊報(bào)文攻擊簡(jiǎn)要筆記：SUMRF攻擊：偽造ICMPEHCO-REQUEST，把源地址設(shè)置為被攻擊服務(wù)器地址，目的地址設(shè)置受害者的廣播地址LAND攻擊：利用系統(tǒng)的BUG，自己跟自己建立大量的TCP的空連接，消耗資源。fraggle攻擊：類似SMURF,利用UDP7和19兩個(gè)端口，回應(yīng)大量無(wú)用報(bào)文IP分片攻擊：利用DF(分片）MF(更多的分片）OFFSET(偏移量）長(zhǎng)度不一致性，造成設(shè)備無(wú)法處理IP欺騙攻擊：利用的是設(shè)備只根據(jù)路由表轉(zhuǎn)發(fā)目的地址，不去檢測(cè)源地址，源地址可以偽裝。ping-of-death：發(fā)送大于65535的ICMP包，讓設(shè)備不能正常處理。TCPFLAG攻擊：利用經(jīng)典FLAG位SYNACKFINRSTURGPUSH的不一致性teardrop攻擊：利用分片的重疊，造成重組合的問(wèn)題winnuke：利用TCP139造成BIOS片段重疊，以及IGMP不能分片掃描窺探攻擊掃描型攻擊是一種潛在的攻擊行為，并不具有直接的破壞行為，通常是攻擊者發(fā)動(dòng)真正攻擊前的網(wǎng)絡(luò)探測(cè)行為。IP地址掃描攻擊：IP地址掃描攻擊，即攻擊者運(yùn)用ICMP報(bào)文（如Ping和Tracert命令）探測(cè)目標(biāo)地址，或者使用TCP/UDP報(bào)文對(duì)一定地址發(fā)起連接（如TCPping），通過(guò)判斷是否有應(yīng)答報(bào)文，以確定哪些目標(biāo)系統(tǒng)確實(shí)存活著并且連接在目標(biāo)網(wǎng)絡(luò)上。防御方式：Anti-DDoS設(shè)備或NGFW對(duì)進(jìn)入的TCP、UDP、ICMP報(bào)文進(jìn)行檢測(cè)，當(dāng)某源IP地址發(fā)送報(bào)文的目的IP地址與此源IP地址發(fā)送的前一個(gè)報(bào)文的目的IP地址不同時(shí)，則記為一次異常，當(dāng)異常次數(shù)超過(guò)預(yù)定義的閾值時(shí)，則認(rèn)為該源IP地址的報(bào)文為IP地址掃描攻擊，并將該源IP地址加入黑名單。配置命令：firewallblacklistenablefirewalldefendip-sweepenablefirewalldefendip-sweepmax-rate1000firewalldefendip-sweepblacklist-timeout20端口掃描攻擊：端口掃描攻擊，攻擊者通常使用PortScan攻擊軟件，向網(wǎng)絡(luò)中存活主機(jī)的一系列TCP/UDP端口發(fā)起連接，根據(jù)應(yīng)答報(bào)文判斷主機(jī)是否使用這些端口提供服務(wù)。防御方式：Anti-DDoS或NGFW設(shè)備對(duì)進(jìn)入的TCP、UDP、ICMP報(bào)文進(jìn)行檢測(cè)，根據(jù)源IP地址獲取統(tǒng)計(jì)表項(xiàng)的索引，**如果目的端口與前一報(bào)文不同，將表項(xiàng)中的報(bào)文個(gè)數(shù)加1.**如果報(bào)文的個(gè)數(shù)超過(guò)設(shè)置的閾值，記錄日志，并根據(jù)配置決定是否將源IP地址加入黑名單。配置命令：firewallblacklistenablefirewalldefendport-scanenablefirewalldefendport-scanmax-rate1000firewalldefendport-scanblacklist-timeout20畸形報(bào)文攻擊畸形報(bào)文攻擊通常指攻擊者發(fā)送大量有缺陷的報(bào)文，從而造成主機(jī)或服務(wù)器在處理這類報(bào)文時(shí)系統(tǒng)崩潰。Smurf攻擊：攻擊者向網(wǎng)絡(luò)中的廣播地址發(fā)送源IP偽造為受害者的ICMP請(qǐng)求報(bào)文，使得網(wǎng)絡(luò)中的所有主機(jī)向受害者回應(yīng)ICMP應(yīng)答報(bào)文，這樣造成受害者系統(tǒng)繁忙，鏈路擁塞。**防御方式：**Anti-DDoS\NGFW設(shè)備檢查ICMP請(qǐng)求報(bào)文的目的地址是否為網(wǎng)絡(luò)的A、B、C類廣播地址，如果是則丟棄。并記錄攻擊日志。配置命令：firewalldefendsmurfenable Land攻擊：Land攻擊即環(huán)回攻擊。Land攻擊是指攻擊者向受害者發(fā)送TCP報(bào)文，此TCP報(bào)文的源地址和目的地址同為受害者的IP地址。這將導(dǎo)致受害者向它自己的地址發(fā)送SYN-ACK回應(yīng)報(bào)文，結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接。從而造成資源的消耗。防御方式：檢查T(mén)CP報(bào)文的源地址和目的地址是否相同，或者TCP報(bào)文的源地址是否為環(huán)回地址，如果是則丟棄。配置命令：firewalldefendlandenableFraggle攻擊：Fraggle攻擊類似于Smurf攻擊，**使用UDP應(yīng)答消息而非ICMP。UDP端口7（ECHO）和端口19（Chargen）**在收到UDP報(bào)文后，會(huì)產(chǎn)生大量無(wú)用的應(yīng)答報(bào)文，占滿網(wǎng)絡(luò)帶寬。當(dāng)運(yùn)行Chargen服務(wù)的UDP端口（通常為19）收到一個(gè)數(shù)據(jù)包后，會(huì)產(chǎn)生一個(gè)字符串作為回應(yīng)。當(dāng)運(yùn)行Echo服務(wù)的UDP端口（通常為7）收到一個(gè)數(shù)據(jù)包后，會(huì)簡(jiǎn)單地返回該包的數(shù)據(jù)內(nèi)容作為回應(yīng)。這兩種服務(wù)可以被攻擊者利用進(jìn)行循環(huán)攻擊。這樣造成受害者系統(tǒng)繁忙，鏈路擁塞。攻擊者可以向攻擊目標(biāo)所在的網(wǎng)絡(luò)發(fā)送UDP報(bào)文，報(bào)文的源地址為被攻擊主機(jī)的地址，目的地址為被攻擊主機(jī)所在子網(wǎng)的廣播地址或子網(wǎng)網(wǎng)絡(luò)地址，目的端口號(hào)為7或19。子網(wǎng)中啟用了此功能的每個(gè)系統(tǒng)都會(huì)向被攻擊主機(jī)發(fā)送回應(yīng)報(bào)文，從而產(chǎn)生大量的流量，占滿帶寬，導(dǎo)致受害網(wǎng)絡(luò)的阻塞或受害主機(jī)的崩潰。即使子網(wǎng)上沒(méi)有啟動(dòng)這些功能的系統(tǒng)也將產(chǎn)生一個(gè)ICMP不可達(dá)消息，因而仍然消耗帶寬。若攻擊者將UDP報(bào)文的源端口改為19，目的端口為7，這樣會(huì)不停地產(chǎn)生大量回應(yīng)報(bào)文，其危害性更大。防御方式：設(shè)備對(duì)進(jìn)入的UDP報(bào)文進(jìn)行檢測(cè)，若目的端口號(hào)為7或19，則直接拒絕，并將攻擊記錄到日志。配置命令：firewalldefendfraggleenable IPFragment攻擊(IP分片報(bào)文檢測(cè))：IP報(bào)文頭中的不分段（DF）位和更多分段（MF）位用于分片控制，攻擊者通過(guò)發(fā)送分片控制非法的報(bào)文，從而導(dǎo)致主機(jī)接收?qǐng)?bào)文時(shí)產(chǎn)生故障，報(bào)文處理異常，甚至導(dǎo)致主機(jī)崩潰。防御方式：設(shè)備檢測(cè)到報(bào)文控制位是下列情況之一時(shí)，則直接丟棄并記錄攻擊日志：DF位為1（表示不能對(duì)數(shù)據(jù)包分段），而MF位也為1（表示還有更多的分段）。DF位為1，而分段偏移（Offset）>0。DF位為0，而分片Offset+Length>65535。配置命令：firewalldefendip-fragmentenableIPSnoopfing攻擊（IP欺騙）：IP欺騙攻擊是一種常用的攻擊方法，同時(shí)也是其他攻擊方法的基礎(chǔ)。這是由IP協(xié)議自身的特點(diǎn)決定的，IP協(xié)議依據(jù)IP頭中的目的地址來(lái)發(fā)送IP報(bào)文，如果IP報(bào)文是本網(wǎng)絡(luò)內(nèi)的地址，則被直接發(fā)送到目的地址；如果該IP地址不是本網(wǎng)絡(luò)地址，則被發(fā)送到網(wǎng)關(guān)，而不對(duì)IP包中提供的源地址做任何檢查，默認(rèn)為IP包中的源地址就是發(fā)送IP包主機(jī)的地址。攻擊者通過(guò)向目標(biāo)主機(jī)發(fā)送源IP地址偽造的報(bào)文，欺騙目標(biāo)主機(jī)，從而獲取更高的訪問(wèn)和控制權(quán)限。該攻擊導(dǎo)致危害目標(biāo)主機(jī)的資源，信息泄漏。處理方式：設(shè)備對(duì)報(bào)文的源IP地址進(jìn)行路由表反查，檢查路由表中到源IP地址的出接口和報(bào)文的入接口是否一致。如果不一致，則丟棄該報(bào)文，并記錄攻擊日志。配置命令：firewalldefendip-spoofingenablePingofDeath攻擊:路由器對(duì)包的大小是有限制的，IP報(bào)文的長(zhǎng)度字段為16位，即IP報(bào)文的最大長(zhǎng)度為65535。如果遇到大小超過(guò)65535的報(bào)文，會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，從而使接收方的計(jì)算機(jī)系統(tǒng)崩潰。攻擊者只需不斷的通過(guò)Ping命令向攻擊目標(biāo)發(fā)送超過(guò)65535的報(bào)文，就可以使目標(biāo)計(jì)算機(jī)的TCP/IP堆棧崩潰，致使接收方系統(tǒng)崩潰。防御方式：設(shè)備會(huì)檢測(cè)報(bào)文的大小是否大于65535字節(jié)，對(duì)大于65535字節(jié)的報(bào)文直接丟棄，并記錄攻擊日志。配置命令：firewalldefendping-of-deathenableTCPFlag攻擊（TCP報(bào)文標(biāo)志位攻擊）：TCP報(bào)文標(biāo)志位包括URG、ACK、PSH、RST、SYN、FIN。攻擊者通過(guò)發(fā)送非法TCPflag組合的報(bào)文，受害主機(jī)收到后進(jìn)行判斷識(shí)別，消耗其性能，甚至?xí)斐捎行┎僮飨到y(tǒng)報(bào)文處理異常，主機(jī)崩潰。不同的系統(tǒng)對(duì)這些標(biāo)志位組和的應(yīng)答是不同的，可用于操作系統(tǒng)探測(cè)。防御方式：檢查T(mén)CP報(bào)文的各個(gè)標(biāo)志位，若出現(xiàn)以下情況，則視為攻擊，予以丟棄并記錄攻擊日志：6個(gè)標(biāo)志位全為1。6個(gè)標(biāo)志位全為0。SYN和FIN位同時(shí)為1。SYN和RST位同時(shí)為1。FIN位為1，而ACK位為0。Teardrop攻擊（淚滴攻擊）：對(duì)于一些大的IP數(shù)據(jù)包，為了迎合鏈路層的MTU（MaximumTransmissionUnit）的要求，需要傳送過(guò)程中對(duì)其進(jìn)行拆分，分成幾個(gè)IP包。在每個(gè)IP報(bào)頭中有一個(gè)偏移字段和一個(gè)拆分標(biāo)志（MF），其中偏移字段指出了這個(gè)片段在整個(gè)IP包中的位置。如果攻擊者截取IP數(shù)據(jù)包后，把偏移字段設(shè)置成不正確的值，接收端在收到這些分拆的數(shù)據(jù)包后，就不能按數(shù)據(jù)包中的偏移字段值正確組合出被拆分的數(shù)據(jù)包，這樣，接收端會(huì)不停的嘗試，以至操作系統(tǒng)因資源耗盡而崩潰。防御方式：對(duì)接收到的分片數(shù)據(jù)包進(jìn)行分析，計(jì)算數(shù)據(jù)包的偏移量是否有誤，如果有誤則丟棄，并記錄攻擊日志。配置命令：firewalldefendteardropenableWinNuke攻擊：WinNuke攻擊又稱“帶外傳輸攻擊”，它的特征是**攻擊目標(biāo)端口，被攻擊的目標(biāo)端口通常是139，而且URG位設(shè)為1，即緊急模式。**WinNuke攻擊是利用Windows操作系統(tǒng)的漏洞，向端口發(fā)送一些攜帶TCP帶外（OOB）數(shù)據(jù)報(bào)文，但這些攻擊報(bào)文與正常攜帶OOB數(shù)據(jù)報(bào)文不同，其指針字段與數(shù)據(jù)的實(shí)際位置不符，即存在重合，這樣Windows操作系統(tǒng)在處理這些數(shù)據(jù)時(shí)，就會(huì)崩潰。還有一種是IGMP（InternetGroupManagementProtocol）分片報(bào)文。一般情況下IGMP報(bào)文是不會(huì)分片的，很多系統(tǒng)對(duì)IGMP分片報(bào)文的處理也都存在問(wèn)題。防御方式：設(shè)備將丟棄目的端口為139、URG位為1且URG指針不為空的報(bào)文，并記錄攻擊日志。另外，如果收到IGMP分片報(bào)文也會(huì)認(rèn)為受到了WinNuke攻擊，而丟棄報(bào)文并記錄攻擊日志。ARP欺騙：攻擊者為了改變網(wǎng)關(guān)設(shè)備上的ARP表項(xiàng)，會(huì)向網(wǎng)關(guān)設(shè)備發(fā)送虛假ARP請(qǐng)求報(bào)文。如果設(shè)備將該報(bào)文中的IP地址與MAC地址對(duì)應(yīng)關(guān)系學(xué)習(xí)至ARP表項(xiàng)，則會(huì)誤將其他主機(jī)的報(bào)文轉(zhuǎn)發(fā)給攻擊源。防御方式：?jiǎn)⒂肁RP欺騙攻擊防范后，只在自己主動(dòng)向其他主機(jī)發(fā)起ARP請(qǐng)求并得到回應(yīng)的情況下才更改ARP表項(xiàng)，而不會(huì)學(xué)習(xí)主機(jī)主動(dòng)發(fā)來(lái)的ARP請(qǐng)求報(bào)文。特殊報(bào)文攻擊特殊控制報(bào)文攻擊也是一種潛在的攻擊行為，不具直接的破壞行為，攻擊者通過(guò)發(fā)送特殊控制報(bào)文探測(cè)網(wǎng)絡(luò)結(jié)構(gòu)，為后續(xù)發(fā)送真正的攻擊做準(zhǔn)備。超大ICMP報(bào)文攻擊：超大ICMP報(bào)文攻擊是指利用長(zhǎng)度超大的ICMP報(bào)文對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊。對(duì)于有些系統(tǒng)，在接收到超大ICMP報(bào)文后，由于處理不當(dāng)，會(huì)造成系統(tǒng)崩潰或重啟。防御方式：當(dāng)啟用“超大ICMP報(bào)文控制”時(shí)，還需要設(shè)置報(bào)文長(zhǎng)度，當(dāng)設(shè)備收到的ICMP報(bào)文長(zhǎng)度超過(guò)該值時(shí)將丟棄該報(bào)文，并記錄攻擊日志。配置命令：firewalldefendlarge-icmpenablefirewalldefendlager-icmpmax-length10000ICMP報(bào)文不可達(dá)攻擊：不同的主機(jī)對(duì)ICMP不可達(dá)報(bào)文的處理方式不同，有的主機(jī)在收到網(wǎng)絡(luò)或主機(jī)不可達(dá)的ICMP報(bào)文后，對(duì)于后續(xù)發(fā)往此目的地址的報(bào)文直接認(rèn)為不可達(dá)，從而切斷了目的地與主機(jī)的連接。攻擊者利用這一點(diǎn)，偽造不可達(dá)ICMP報(bào)文，切斷受害者與目的地的連接，造成攻擊。防御方式：?jiǎn)⒂肐CMP重定向報(bào)文攻擊防范后，設(shè)備將直接丟棄ICMP重定向報(bào)文，并記錄攻擊日志。配置命令：firewalldefendicmp-unreachableenable1Tracert報(bào)文攻擊：Tracert報(bào)文攻擊是攻擊者利用TTL為0時(shí)返回的ICMP超時(shí)報(bào)文，和到達(dá)目的地址時(shí)返回的ICMP端口不可達(dá)報(bào)文來(lái)發(fā)現(xiàn)報(bào)文到達(dá)目的地所經(jīng)過(guò)的路徑，它可以窺探網(wǎng)絡(luò)的結(jié)構(gòu)。防御方式：?jiǎn)⒂肨racert報(bào)文攻擊防范后，設(shè)備將檢測(cè)到的超時(shí)的ICMP報(bào)文或UDP報(bào)文，或者目的端口不可達(dá)報(bào)文，直接丟棄，并記錄攻擊日志。配置命令：firewalldefendtracertenable1ICMP重定向報(bào)文攻擊：一般情況下，網(wǎng)絡(luò)設(shè)備會(huì)向同一個(gè)子網(wǎng)的主機(jī)發(fā)送ICMP重定向報(bào)文，請(qǐng)求主機(jī)改變路由，且設(shè)備僅向主機(jī)而不向其他設(shè)備發(fā)送ICMP重定向報(bào)文。但一些惡意的攻擊可能跨越網(wǎng)段向另外一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)送虛假的重定向報(bào)文，以改變主機(jī)的路由表，干擾主機(jī)正常的IP報(bào)文轉(zhuǎn)發(fā)。防御原理：?jiǎn)⒂肐CMP重定向報(bào)文攻擊防范后，設(shè)備將直接丟棄ICMP重定向報(bào)文，并記錄攻擊日志。配置命令：firewalldefendicmp-redirectenable1源站路由選項(xiàng)的IP報(bào)文攻擊：在IP路由技術(shù)中，一個(gè)IP報(bào)文的傳遞路徑是由網(wǎng)絡(luò)中的路由器根據(jù)報(bào)文的目的地址來(lái)決定的，但也提供了一種由報(bào)文的發(fā)送方?jīng)Q定報(bào)文傳遞路徑的方法，這就是源站選路選項(xiàng)。源站選路選項(xiàng)允許源站明確指定一條到目的地的路由，覆蓋掉中間路由器的路由選項(xiàng)。源站選路選項(xiàng)通常用于網(wǎng)絡(luò)路徑的故障診斷和某種特殊業(yè)務(wù)的臨時(shí)傳送。由于IP源站選路選項(xiàng)忽略了報(bào)文傳輸路徑中的各個(gè)設(shè)備的中間轉(zhuǎn)發(fā)過(guò)程，而不管轉(zhuǎn)發(fā)接口的工作狀態(tài)，可能被惡意攻擊者利用，刺探網(wǎng)絡(luò)結(jié)構(gòu)。防御方式：?jiǎn)⒂迷凑具x路選項(xiàng)IP報(bào)文控制后，設(shè)備會(huì)檢測(cè)收到的報(bào)文是否設(shè)置IP源站選路選項(xiàng)。如果是則丟棄該報(bào)文，并記錄攻擊日志。配置命令：firewalldefendsource-routeenable1路由記錄選項(xiàng)IP報(bào)文控制：在IP路由技術(shù)中，提供了路由記錄選項(xiàng)，用來(lái)記錄IP報(bào)文從源地址到目的地址過(guò)程中所經(jīng)過(guò)的路徑，也就是一個(gè)處理此報(bào)文的路由器的列表。IP路由記錄選項(xiàng)通常用于網(wǎng)絡(luò)路徑的故障診斷，但也會(huì)被惡意攻擊者利用，窺探網(wǎng)絡(luò)結(jié)構(gòu)。防御方式：?jiǎn)⒂寐酚捎涗涍x項(xiàng)IP報(bào)文控制后，設(shè)備將檢測(cè)收到的報(bào)文是否設(shè)置IP路由記錄選項(xiàng)。如果是則丟棄該報(bào)文，并記錄攻擊日志。配置命令：firewalldefendroute-recordenable1時(shí)間戳選項(xiàng)IP報(bào)文控制：在IP路由技術(shù)中，提供了時(shí)間戳選項(xiàng)，記錄IP報(bào)文從源到目的過(guò)程中所經(jīng)過(guò)的路徑和時(shí)間，也就是一個(gè)處理過(guò)此報(bào)文的路由器的列表。IP時(shí)間戳選項(xiàng)通常用于網(wǎng)絡(luò)路徑的故障診斷，但也會(huì)被惡意攻擊者利用，窺探網(wǎng)絡(luò)結(jié)構(gòu)。防御方式：?jiǎn)⒂脮r(shí)間戳選項(xiàng)的IP報(bào)文控制后，設(shè)備將檢測(cè)收到的報(bào)文是否設(shè)置IP時(shí)間戳記錄選項(xiàng)。如是則丟棄該報(bào)文，并記錄攻擊日志。配置命令：firewalldefendtime-stampenable1URPF技術(shù)簡(jiǎn)介URPF簡(jiǎn)介：URPF（UnicastReversePathForwarding）是單播逆向路徑轉(zhuǎn)發(fā)的簡(jiǎn)稱，其主要功能是防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。一般情況下，F(xiàn)W接收到報(bào)文，獲取報(bào)文的目的地址，針對(duì)目的地址查找轉(zhuǎn)發(fā)表，如果找到了就轉(zhuǎn)發(fā)報(bào)文，否則丟棄該報(bào)文。而URPF通過(guò)獲取報(bào)文的源地址和入接口，在轉(zhuǎn)發(fā)表中查找源地址對(duì)應(yīng)的接口是否與入接口匹配，如果不匹配，則認(rèn)為源地址是偽裝的，直接丟棄該報(bào)文。通過(guò)這種方式，URPF能夠有效地防范網(wǎng)絡(luò)中通過(guò)修改報(bào)文源IP地址而進(jìn)行惡意攻擊行為的發(fā)生。URFP實(shí)現(xiàn)原理：URPF有兩種模式：嚴(yán)格模式和松散模式。嚴(yán)格模式：

建議在路由對(duì)稱的環(huán)境下使用URPF嚴(yán)格模式，即：不僅要求在轉(zhuǎn)發(fā)表中存在相應(yīng)表項(xiàng)，還要求接口一定匹配才能通過(guò)URPF檢查。如果兩個(gè)網(wǎng)絡(luò)邊界路由器（此處為FW）之間只有一條路徑的話，這時(shí)，路由能夠保證是對(duì)稱的，使用嚴(yán)格模式能夠最大限度的保證網(wǎng)絡(luò)的安全性。**松散模式：**在不能保證路由對(duì)稱的環(huán)境下使用URPF的松散模式，即：不檢查接口是否匹配，只要存在針對(duì)源地址的路由，報(bào)文就可以通過(guò)。不能保證路由對(duì)稱的情況有兩種:多宿主單ISP客戶多宿主多ISP客戶另外，URPF應(yīng)用具有以下特點(diǎn)：如果用戶希望某些特殊報(bào)文在任何情況下都可以通過(guò)URPF的檢查，即不受URPF丟棄的控制，可以在ACL中指定這些特殊的源地址。許多用戶的FW可能只有一條缺省路由