几种常见的网络黑客攻击手段原理分析.
网络黑客攻击的常见手法有哪些
网络黑客攻击的常见手法有哪些在当今数字化的时代,网络已经成为我们生活中不可或缺的一部分。
然而,伴随着网络的广泛应用,网络黑客攻击也日益猖獗,给个人、企业和国家带来了严重的威胁。
了解网络黑客攻击的常见手法,对于提高我们的网络安全意识和防范能力至关重要。
一、网络钓鱼网络钓鱼是黑客们常用的一种手法。
他们会伪装成合法的机构或个人,通过发送看似真实的电子邮件、短信或即时消息,诱导受害者点击链接或提供个人敏感信息,如用户名、密码、银行卡号等。
这些链接通常会指向虚假的网站,其页面设计与真实网站极其相似,让人难以分辨。
比如,黑客可能会冒充银行发送邮件,告知用户账户存在异常,需要点击链接进行验证。
一旦用户点击了链接并输入了个人信息,黑客就能够获取这些信息,进而实施进一步的欺诈行为。
二、恶意软件恶意软件包括病毒、蠕虫、特洛伊木马、间谍软件等。
黑客们会通过各种途径将恶意软件传播到用户的计算机或移动设备上。
病毒是一种能够自我复制并感染其他文件的程序,它可能会破坏系统文件,导致计算机运行缓慢甚至死机。
蠕虫则可以在网络中自行传播,无需用户干预,大量消耗网络资源,造成网络拥堵。
特洛伊木马看似是有用的程序,但实际上隐藏着恶意功能。
一旦用户安装运行,黑客就能远程控制用户的设备,窃取信息或进行其他破坏活动。
间谍软件则主要用于窃取用户的个人信息、浏览习惯等隐私数据。
三、SQL 注入攻击对于许多网站和应用程序,数据通常存储在数据库中。
SQL 注入攻击就是利用网站或应用程序中对用户输入数据的验证漏洞,将恶意的SQL 代码注入到数据库查询中,从而获取、修改或删除数据库中的数据。
例如,如果一个网站的登录页面没有对用户输入的用户名和密码进行充分的验证和过滤,黑客就可以输入特定的恶意代码,绕过正常的登录验证,获取系统的访问权限。
四、拒绝服务攻击(DoS 和 DDoS)拒绝服务攻击旨在使目标系统或网络资源无法正常提供服务。
DoS (拒绝服务)攻击通常由单个攻击者发起,通过向目标发送大量的请求,使其资源耗尽,无法处理正常的用户请求。
几种常见的网络黑客攻击手段原理分析
常见网络攻击手段原理分析1.1TCP SYN拒绝服务攻击一般情况下,一个TCP连接的建立需要经过三次握手的过程,即:1、建立发起者向目标计算机发送一个TCP SYN报文;2、目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB),然后向发起者回送一个TCP ACK报文,等待发起者的回应;3、发起者收到TCP ACK报文后,再回应一个ACK报文,这样TCP连接就建立起来了。
利用这个过程,一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击:1、攻击者向目标计算机发送一个TCP SYN报文;2、目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应;3、而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。
可以看出,目标计算机如果接收到大量的TCP SYN报文,而没有收到发起者的第三次ACK回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB控制结构,TCB,一般情况下是有限的)耗尽,而不能响应正常的TCP连接请求。
1.2ICMP洪水正常情况下,为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应请求报文(ICMP ECHO),接收计算机接收到ICMP ECHO后,会回应一个ICMP ECHO Rep1y报文。
而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。
这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP 洪水),则目标计算机会忙于处理这些ECHO报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)。
1.3UDP洪水原理与ICMP洪水类似,攻击者通过发送大量的UDP报文给目标计算机,导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。
1.4端口扫描根据TCP协议规范,当一台计算机收到一个TCP连接建立请求报文(TCP SYN)的时候,做这样的处理:1、如果请求的TCP端口是开放的,则回应一个TCP ACK报文,并建立TCP连接控制结构(TCB);2、如果请求的TCP端口没有开放,则回应一个TCP RST(TCP头部中的RST标志设为1)报文,告诉发起计算机,该端口没有开放。
网络黑客攻击类型解析
网络黑客攻击类型解析网络安全是当今信息社会中至关重要的一个领域,随着互联网的发展和普及,网络黑客攻击也日益猖獗。
本文将对网络黑客攻击的几种常见类型进行解析,以帮助读者更好地了解网络安全威胁,并提供一些防范措施。
1. 木马病毒攻击木马病毒是一种潜伏在计算机系统中的恶意软件,它通常通过电子邮件附件、下载软件、插件等方式传播。
一旦感染,黑客就可以通过木马病毒远程控制受害者的计算机,获取敏感信息或者进行其他恶意操作。
防范木马病毒攻击的措施包括定期更新杀毒软件、不随意下载和安装软件、谨慎打开电子邮件附件等。
2. 网络钓鱼攻击网络钓鱼是一种通过伪装成合法机构或个人的方式,诱骗用户提供个人敏感信息的攻击手段。
黑客通常会通过电子邮件、社交媒体、假冒网站等途径发送虚假信息,引诱用户点击链接并输入账号密码、银行卡号等信息。
为了防范网络钓鱼攻击,用户需要保持警惕,不轻易相信来自陌生人的信息,同时注意检查网站的安全性。
3. DDoS攻击分布式拒绝服务(DDoS)攻击是一种通过同时向目标服务器发送大量请求,使其无法正常工作的攻击手段。
黑客通常利用僵尸网络(由大量已感染的计算机组成)发起DDoS攻击,导致目标服务器过载。
为了防范DDoS攻击,服务器管理员可以采取一些措施,如增加带宽、设置防火墙规则、使用反向代理等。
4. SQL注入攻击SQL注入是一种通过在Web应用程序中插入恶意SQL代码,从而绕过身份验证、获取数据库信息或者修改数据的攻击手段。
黑客通常通过输入恶意代码来利用应用程序的漏洞,获取敏感信息。
为了防范SQL注入攻击,开发人员应该对输入数据进行严格的验证和过滤,使用参数化查询等安全措施。
5. 社交工程攻击社交工程是一种通过欺骗、煽动情绪或者其他手段获取敏感信息的攻击方式。
黑客可以通过电话、电子邮件、社交媒体等方式伪装成合法机构或个人,诱骗用户提供密码、银行卡号等信息。
为了防范社交工程攻击,用户需要保持警惕,不轻易透露个人信息,同时注意验证对方身份的真实性。
网络安全中黑客主要手段和攻击方法
网络安全中黑客主要手段和攻击方法(一)黑客常用手段1、网络扫描--在Internet上进行广泛搜索,以找出特定计算机或软件中的弱点。
2、网络嗅探程序--偷偷查看通过Internet的数据包,以捕获口令或全部内容。
通过安装侦听器程序来监视网络数据流,从而获取连接网络系统时用户键入的用户名和口令。
3、拒绝服务 -通过反复向某个Web站点的设备发送过多的信息请求,黑客可以有效地堵塞该站点上的系统,导致无法完成应有的网络服务项目(例如电子邮件系统或联机功能),称为“拒绝服务”问题。
4、欺骗用户--伪造电子邮件地址或Web页地址,从用户处骗得口令、信用卡号码等。
欺骗是用来骗取目标系统,使之认为信息是来自或发向其所相信的人的过程。
欺骗可在IP层及之上发生(地址解析欺骗、IP源地址欺骗、电子邮件欺骗等)。
当一台主机的IP地址假定为有效,并为Tcp和Udp服务所相信。
利用IP地址的源路由,一个攻击者的主机可以被伪装成一个被信任的主机或客户。
5、特洛伊木马--一种用户察觉不到的程序,其中含有可利用一些软件中已知弱点的指令。
6、后门--为防原来的进入点被探测到,留几个隐藏的路径以方便再次进入。
7、恶意小程序--微型程序,修改硬盘上的文件,发送虚假电子邮件或窃取口令。
8、竞争拨号程序--能自动拨成千上万个电话号码以寻找进入调制解调器连接的路径。
逻辑炸弹计算机程序中的一条指令,能触发恶意操作。
9、缓冲器溢出-- 向计算机内存缓冲器发送过多的数据,以摧毁计算机控制系统或获得计算机控制权。
10、口令破译--用软件猜出口令。
通常的做法是通过监视通信信道上的口令数据包,破解口令的加密形式。
11、社交工程--与公司雇员谈话,套出有价值的信息。
12、垃圾桶潜水--仔细检查公司的垃圾,以发现能帮助进入公司计算机的信息。
(二)黑客攻击的方法:1、隐藏黑客的位置典型的黑客会使用如下技术隐藏他们真实的IP地址:利用被侵入的主机作为跳板;在安装Windows 的计算机内利用Wingate 软件作为跳板;利用配置不当的Proxy作为跳板。
了解网络黑客的手段与防御策略
了解网络黑客的手段与防御策略网络黑客是指利用计算机技术和网络通信方式,通过非法手段获取他人计算机系统的信息,从而实施违法活动的人。
网络黑客技术不断发展,威胁日益增加,因此我们有必要了解网络黑客的手段,并且采取相应的防御策略来保护个人和机构的信息安全。
一、网络黑客的手段网络黑客利用各种技术手段攻击计算机系统,以下是几种常见的网络黑客手段:1. 木马病毒:木马病毒是一种隐藏在正常程序中的恶意代码,它可以在用户不知情的情况下获取计算机系统的控制权,并且可以远程控制受感染的计算机。
2. 钓鱼攻击:钓鱼攻击是指黑客通过伪造合法网站或者电子邮件来骗取用户的个人信息,如密码、银行账号等。
3. 拒绝服务攻击(DDoS):拒绝服务攻击是指黑客利用大量的恶意请求占用目标服务器的资源,以达到让合法用户无法正常访问的目的。
4. SQL注入攻击:黑客通过在输入框等用户可以输入数据的地方,注入恶意的SQL语句,从而获取后台数据库中的敏感信息。
5. 社交工程:黑客通过伪装成信任的人或机构,通过社交技巧来获取用户的敏感信息或者进行其他欺骗活动。
二、网络黑客的防御策略为了保护个人和机构的信息安全,我们需要采取一些有效的防御策略:1. 更新和维护软件:及时更新操作系统、浏览器和其他应用程序的补丁和安全更新,避免因为软件漏洞而被黑客攻击。
2. 使用强密码:设置复杂的密码,并定期更换密码。
密码应由字母、数字和特殊字符组成,并且不要使用容易被猜测的个人信息作为密码。
3. 防火墙的设置:通过配置防火墙来限制网络访问,阻止未经授权的访问和恶意流量进入系统。
4. 数据加密:对重要的数据进行加密处理,即使黑客获取到数据,也无法直接读取和使用。
5. 定期备份数据:定期备份重要数据,并将备份数据存储在安全的地方,以便在遭受黑客攻击或数据损坏时可以及时恢复。
6. 培训与意识教育:加强员工的网络安全意识教育,教授基本的网络安全知识和防范黑客攻击的方法。
网络公共安全中的黑客攻击手段解析
网络公共安全中的黑客攻击手段解析随着互联网的快速发展和普及,网络公共安全问题日益凸显。
黑客攻击作为一种常见的网络安全威胁,给个人、组织和国家带来了巨大的损失和风险。
本文将对黑客攻击手段进行解析,以增强公众的网络安全意识和防范能力。
一、社会工程学攻击社会工程学攻击是黑客入侵的一种常见手段,通过利用人们的信任心理和社交工具,获取目标系统的敏感信息。
常见的社会工程学攻击手段包括钓鱼邮件、钓鱼网站、电话诈骗等。
黑客通常伪装成可信的实体,引诱用户点击恶意链接、下载病毒文件,从而窃取账号密码、银行卡信息等。
二、密码攻击密码攻击是黑客获取系统权限的一种常见手段。
黑客通过暴力破解、字典攻击、彩虹表等方式,尝试猜测或获取用户的密码。
弱密码、重复使用密码、未及时更改密码等行为都会增加密码攻击的风险。
为防范密码攻击,用户应采用强密码,定期更改密码,并避免在不可信的网络环境下输入密码。
三、恶意软件攻击恶意软件攻击是黑客入侵系统并控制目标设备的一种手段。
常见的恶意软件包括病毒、木马、蠕虫等。
黑客通过植入恶意软件,获取用户敏感信息、控制系统、发起拒绝服务攻击等。
为防范恶意软件攻击,用户应定期更新操作系统和应用程序,安装可信的杀毒软件,并谨慎下载和安装来历不明的软件。
四、拒绝服务攻击拒绝服务攻击是黑客通过向目标系统发送大量无效请求,使其无法正常提供服务的一种手段。
黑客通过攻击目标系统的网络带宽、计算资源等,造成系统崩溃或运行缓慢。
为防范拒绝服务攻击,系统管理员应加强网络流量监控和入侵检测,及时发现异常流量和攻击行为,并采取相应的防御措施。
五、网络钓鱼攻击网络钓鱼攻击是黑客通过伪造合法网站或应用程序,诱使用户输入个人敏感信息的一种手段。
黑客通过仿冒网站、欺骗用户点击恶意链接等方式,获取用户的账号密码、银行卡信息等。
为防范网络钓鱼攻击,用户应提高警惕,谨慎点击来历不明的链接,避免在不可信的网站输入个人敏感信息。
六、无线网络攻击无线网络攻击是黑客通过窃听、伪造、干扰等手段,获取无线网络中的敏感信息或入侵目标设备的一种手段。
如何对网络攻击进行防范与应对
如何对网络攻击进行防范与应对随着互联网技术的不断发展,网络安全问题也愈加突出。
网络攻击的形式多种多样,如病毒、木马、黑客攻击等,给个人、企业甚至国家的网络安全带来了威胁。
因此,对于网络攻击的防范和应对变得越来越重要。
一、常见网络攻击类型及原理1. 病毒攻击病毒攻击属于一种植入式攻击,是指通过在计算机内部植入病毒程序,实现攻击者的恶意目的。
此类攻击主要通过电子邮件、P2P下载、网络聊天、存储介质感染等方式进行传播,一旦感染成功,病毒就会利用计算机的资源破坏或篡改计算机文件,甚至窃取用户的个人信息和重要文件。
2. 黑客攻击黑客攻击一般指采取非法手段,侵入他人计算机系统,获取或篡改相关资料的行为。
这种攻击方式通常通过钓鱼和网络针对性扫描等方式实现。
3. DDoS攻击DDoS (Distributed Denial of Service)攻击是一种分布式拒绝服务攻击,它通过向目标服务器发送海量的请求,耗尽目标服务器的网络带宽或系统资源,从而使其无法正常提供服务。
二、防范与应对网络攻击的方法1. 安装杀毒软件安装有效的杀毒软件可有效协助用户从源头上拦截病毒、木马等恶意程序的入侵,并快速消除已有恶意程序对计算机的侵害。
2. 建立防火墙防火墙不仅可以防止网络流量的入侵,还可以限制特定流量的传输。
网络管理员可以根据实际情况设置防火墙规则,对黑客攻击、入侵等进行限制。
3. 进行安全加固对网络进行安全加固可以有效降低系统被攻击的可能性。
网络管理员可以通过修改系统的一些设置,如修改默认密码、关闭不必要的服务端口等来提高系统的安全性。
4. 保持系统更新及时对系统进行更新,可以保证系统拥有最新的安全补丁和修复漏洞。
同时,对于网络攻击新手法的及时了解和学习也可以有效提高系统的安全防范能力。
5. 建立数据备份建立数据备份可以在系统遭受攻击时提供有效救助。
通过将数据及时备份,用户可以在系统数据损坏或遭受攻击时快速恢复数据,减少信息泄露和数据丢失的损失。
网络攻击的主要原理是什么
网络攻击的主要原理是什么网络攻击指的是利用互联网和计算机网络进行非法入侵、破坏、获取信息或者扰乱网络服务的行为。
网络攻击的主要原理可以分为以下几类:漏洞利用、密码破解、拒绝服务攻击、木马和病毒等等。
第一,漏洞利用是网络攻击的主要手段之一。
计算机软件和系统中存在着各种漏洞,黑客利用这些漏洞进入目标系统,窃取或者篡改目标系统中的信息。
漏洞可以是软件设计和编码上的错误、系统设置的不安全或者未修补的补丁等。
黑客可以通过分析系统漏洞和编写专门的程序代码,以达到非法入侵目标系统的目的。
第二,密码破解是网络攻击的另一种常见手段。
密码是保护用户数据和系统安全的重要手段。
黑客利用各种技术手段,通过猜测密码、暴力破解等方式来获取目标系统的登录凭证,从而获取目标系统中的敏感信息或者控制目标系统。
第三,拒绝服务攻击(DDoS)是指攻击者通过多台机器发起大量网络请求,占用目标系统的网络带宽和计算资源,导致目标系统无法正常提供服务。
攻击者通过控制大量僵尸网络(Botnet),发起大量合法的请求并向目标网络发送大量假请求,使得目标系统无法处理正常用户的请求。
这种攻击方式利用了网络服务的瓶颈和系统资源有限的特点,造成系统服务不可用。
第四,木马是一种允许攻击者在目标系统上获得远程控制权限或者窃取信息的恶意软件。
木马往往通过网络传播,利用用户对某些恶意程序的信任进行安装,然后暗中在目标系统中运行,等待攻击者的远程控制。
木马具有隐蔽性强、占用资源少、不容易被发现和清除等特点,可以给系统安全和用户隐私造成严重威胁。
第五,病毒是一种自我复制和传播的恶意软件,通过感染其他文件或者系统来传播。
病毒可以通过邮件附件、共享文件、下载文件等途径进入目标系统,一旦感染成功,病毒会破坏文件、窃取信息,甚至传播给其他系统。
病毒的传播速度和影响范围往往很大,给个人用户和组织系统带来了严重的安全问题。
最后,社会工程学是一种利用人的心理弱点进行攻击的方式。
黑客通过伪装成可信任的实体或者利用社交工具进行欺骗,诱使用户提供敏感信息、点击恶意链接或者下载恶意文件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
常见网络攻击手段原理分析1.1TCP SYN拒绝服务攻击一般情况下,一个TCP连接的建立需要经过三次握手的过程,即:1、建立发起者向目标计算机发送一个TCP SYN报文;2、目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB,然后向发起者回送一个TCP ACK报文,等待发起者的回应;3、发起者收到TCP ACK报文后,再回应一个ACK报文,这样TCP连接就建立起来了。
利用这个过程,一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击:1、攻击者向目标计算机发送一个TCP SYN报文;2、目标计算机收到这个报文后,建立TCP连接控制结构(TCB,并回应一个ACK,等待发起者的回应;3、而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。
可以看出,目标计算机如果接收到大量的TCP SYN报文,而没有收到发起者的第三次ACK回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB控制结构,TCB,一般情况下是有限的耗尽,而不能响应正常的TCP连接请求。
1.2ICMP洪水正常情况下,为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应请求报文(ICMP ECHO,接收计算机接收到ICMP ECHO后,会回应一个ICMP ECHO Rep1y报文。
而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。
这样如果攻击者向目标计算机发送大量的ICMPECHO报文(产生ICMP 洪水,则目标计算机会忙于处理这些ECHO报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS。
1.3UDP洪水原理与ICMP洪水类似,攻击者通过发送大量的UDP报文给目标计算机,导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。
1.4端口扫描根据TCP协议规范,当一台计算机收到一个TCP连接建立请求报文(TCP SYN 的时候,做这样的处理:1、如果请求的TCP端口是开放的,则回应一个TCP ACK报文,并建立TCP连接控制结构(TCB;2、如果请求的TCP端口没有开放,则回应一个TCP RST(TCP头部中的RST标志设为1报文,告诉发起计算机,该端口没有开放。
相应地,如果IP协议栈收到一个UDP报文丵,做如下处理:1、如果该报文的目标端口开放,则把该UDP报文送上层协议(UDP处理,不回应任何报文(上层协议根据处理结果而回应的报文例外;2、如果该报文的目标端口没有开放,则向发起者回应一个ICMP不可达报文,告诉发起者计算机该UDP报文的端口不可达。
利用这个原理,攻击者计算机便可以通过发送合适的报文,判断目标计算机哪些TCP 或UDP端口是开放的,过程如下:1、发出端口号从0开始依次递增的TCP SYN或UDP报文(端口号是一个16比特的数字,这样最大为65535,数量很有限;2、如果收到了针对这个TCP报文的RST报文,或针对这个UDP报文的ICMP 不可达报文,则说明这个端口没有开放;3、相反,如果收到了针对这个TCP SYN报文的ACK报文,或者没有接收到任何针对该UDP报文的ICMP报文,则说明该TCP端口是开放的,UDP端口可能开放(因为有的实现中可能不回应ICMP不可达报文,即使该UDP端口没有开放。
这样继续下去,便可以很容易的判断出目标计算机开放了哪些TCP或UDP端口,然后针对端口的具体数字,进行下一步攻击,这就是所谓的端口扫描攻击。
1.5分片IP报文攻击为了传送一个大的IP报文,IP协议栈需要根据链路接口的MTU对该IP报文进行分片,通过填充适当的IP头中的分片指示字段,接收计算机可以很容易的把这些IP 分片报文组装起来。
目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文,这个过程会消耗掉一部分内存,以及一些IP协议栈的数据结构。
如果攻击者给目标计算机只发送一片分片报文,而不发送所有的分片报文,这样攻击者计算机便会一直等待(直到一个内部计时器到时,如果攻击者发送了大量的分片报文,就会消耗掉目标计算机的资源,而导致不能相应正常的IP报文,这也是一种DOS攻击。
1.6SYN比特和FIN比特同时设置在TCP报文的报头中,有几个标志字段:1、SYN:连接建立标志,TCP SYN报文就是把这个标志设置为1,来请求建立连接2、ACK:回应标志,在一个TCP连接中,除了第一个报文(TCP SYN外,所有报文都设置该字段,作为对上一个报文的相应;3、FIN:结束标志,当一台计算机接收到一个设置了FIN标志的TCP报文后,会拆除这个TCP连接;4、RST:复位标志,当IP协议栈接收到一个目标端口不存在的TCP报文的时候,会回应一个RST标志设置的报文;5、PSH:通知协议栈尽快把TCP数据提交给上层程序处理。
正常情况下,SYN标志(连接请求标志和FIN标志(连接拆除标志是不能同时出现在一个TCP报文中的。
而且RFC也没有规定IP协议栈如何处理这样的畸形报文,因此,各个操作系统的协议栈在收到这样的报文后的处理方式也不同,攻击者就可以利用这个特征,通过发送SYN和FIN同时设置的报文,来判断操作系统的类型,然后针对该操作系统,进行进一步的攻击。
1.7没有设置任何标志的TCP报文攻击正常情况下,任何TCP报文都会设置SYN,FIN,ACK,RST,PSH五个标志中的至少一个标志,第一个TCP报文(TCP连接请求报文设置SYN标志,后续报文都设置AC K标志。
有的协议栈基于这样的假设,没有针对不设置任何标志的TCP报文的处理过程,因此,这样的协议栈如果收到了这样的报文,可能会崩溃。
攻击者利用了这个特点,对目标计算机进行攻击。
1.8设置了FIN标志却没有设置ACK标志的TCP报文攻击正常情况下,ACK标志在除了第一个报文(SYN报文外,所有的报文都设置,包括TCP连接拆除报文(FIN标志设置的报文。
但有的攻击者却可能向目标计算机发送设置了FIN标志却没有设置ACK标志的TCP报文,这样可能导致目标计算机崩溃。
1.9死亡之рINGTCP/IP规范要求IP报文的长度在一定范围内(比如,0-64K,但有的攻击计算机可能向目标计算机发出大于64K长度的PING报文,导致目标计算机IP协议栈崩溃。
1.10地址猜测攻击跟端口扫描攻击类似,攻击者通过发送目标地址变化的大量的ICMP ECHO报文,来判断目标计算机是否存在。
如果收到了对应的ECMP ECHO REP1Y报文,则说明目标计算机是存在的,便可以针对该计算机进行下一步的攻击。
1.11泪滴攻击对于一些大的IP包,需要对其进行分片传送,这是为了迎合链路层的MTU(最大传输单元的要求。
比如,一个4500字节的IP包,在MTU为1500的链路上传输的时候,就需要分成三个IP包。
在IP报头中有一个偏移字段和一个分片标志(MF,如果MF标志设置为1,则表面这个IP包是一个大IP包的片断,其中偏移字段指出了这个片断在整个IP包中的位置。
例如,对一个4500字节的IP包进行分片(MTU为1500,则三个片断中偏移字段的值依次为:0,1500,3000。
这样接收端就可以根据这些信息成功的组装该IP包。
如果一个攻击者打破这种正常情况,把偏移字段设置成不正确的值,即可能出现重合或断开的情况,就可能导致目标操作系统崩溃。
比如,把上述偏移设置为0,1300,3000。
这就是所谓的泪滴攻击。
1.12带源路由选项的IP报文为了实现一些附加功能,IP协议规范在IP报头中增加了选项字段,这个字段可以有选择的携带一些数据,以指明中间设备(路由器或最终目标计算机对这些IP报文进行额外的处理。
源路由选项便是其中一个,从名字中就可以看出,源路由选项的目的,是指导中间设备(路由器如何转发该数据报文的,即明确指明了报文的传输路径。
比如,让一个IP 报文明确的经过三台路由器R1,R2,R3,则可以在源路由选项中明确指明这三个路由器的接口地址,这样不论三台路由器上的路由表如何,这个IP报文就会依次经过R1,R2,R3。
而且这些带源路由选项的IP报文在传输的过程中,其源地址不断改变,目标地址也不断改变,因此,通过合适的设置源路由选项,攻击者便可以伪造一些合法的IP地址,而蒙混进入网络。
1.13带记录路由选项的IP报文记录路由选项也是一个IP选项,携带了该选项的IP报文,每经过一台路由器,该路由器便把自己的接口地址填在选项字段里面。
这样这些报文在到达目的地的时候,选项数据里面便记录了该报文经过的整个路径。
通过这样的报文可以很容易的判断该报文经过的路径,从而使攻击者可以很容易的寻找其中的攻击弱点。
1.14未知协议字段的IP报文在IP报文头中,有一个协议字段,这个字段指明了该IP报文承载了何种协议,比如,如果该字段值为1,则表明该IP报文承载了ICMP报文,如果为6,则是TCP,等等。
目前情况下,已经分配的该字段的值都是小于100的,因此,一个带大于100的协议字段的IP 报文,可能就是不合法的,这样的报文可能对一些计算机操作系统的协议栈进行破坏。
1.15IP地址欺骗一般情况下,路由器在转发报文的时候,只根据报文的目的地址查路由表,而不管报文的源地址是什么,因此,这样就可能面临一种危险:如果一个攻击者向一台目标计算机发出一个报文,而把报文的源地址填写为第三方的一个IP地址,这样这个报文在到达目标计算机后,目标计算机便可能向毫无知觉的第三方计算机回应。
这便是所谓的IP地址欺骗攻击。
比较著名的SQL Server蠕虫病毒,就是采用了这种原理。
该病毒(可以理解为一个攻击者向一台运行SQL Server解析服务的服务器发送一个解析服务的UDP报文,该报文的源地址填写为另外一台运行SQL Server解析程序(SQL Server2000以后版本的服务器,这样由于SQL Server解析服务的一个漏洞,就可能使得该UDP报文在这两台服务器之间往复,最终导致服务器或网络瘫痪。
1.16WinNuke攻击NetBIOS作为一种基本的网络资源访问接口,广泛的应用于文件共享,打印共享,进程间通信(IPC,以及不同操作系统之间的数据交换。
一般情况下,NetBIOS是运行在LLC 2链路协议之上的,是一种基于组播的网络访问接口。
为了在TCP/IP协议栈上实现NetBIO S,RFC规定了一系列交互标准,以及几个常用的TCP/UDP端口:139:NetBIOS会话服务的TCP端口;137:NetBIOS名字服务的UDP端口;136:NetBIOS数据报服务的UDP端口。
WINDOWS操作系统的早期版本(WIN95/98/NT的网络服务(文件共享等都是建立在NetBIOS之上的,因此,这些操作系统都开放了139端口(最新版本的WINDOWS2 000/XP/2003等,为了兼容,也实现了NetBIOS over TCP/IP功能,开放了139端口。