畸形报文攻击有哪些攻击手段
畸形报文攻击有以下这些攻击手段:
SMURF攻击:SMURF攻击方法事发ICMP请求,请求包的目标地址设置为受害网络的广播地址,这样该网络的所有主机都对此ICMP应答请求做出答复,导致网络拥塞。
LAND 攻击:把TCP的源地址和目标地址都设置成一个受害者IP地址,这将导致受害者向他自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,占用系统资源或使目的主机崩溃。
Fraggle 攻击:Fraggle类似smurf攻击,使用UDP应答消息而非ICMP,udp端口7和端口19在收到UDP报文后,大量无用的应答报文,沾满网络带宽。
IP Fragment攻击:IP报文中有几个字段跟分片有关DF位、MF位,Fragment Offset、Length。如果上述字段的值出现矛盾,而设备处理不当,会对设备造成一定的影响,设置瘫痪。
IP spoofing攻击:为了获得访问权,或隐藏入侵者身份信息,入侵者生成带有伪造源地址的报文。
Ping of death攻击:ip报文的长度字段为16位,这表明IP报文的最大长度位65535,ping of death利用一些超大尺寸的ICMP报文对系统进行的一种攻击。
预防畸形报文攻击的方法有以下这些:
检查ICMP应答请求包的目的地址是否为子网广播地址或子网的网络地址,若是,则直接拒绝,并将攻击记录到日志。
对每一个ip报文进行检测,若其源地址与目的地址相同,或者源地址位环回地址(127.0.0.1),则直接拒绝,并将攻击记录到日志中。
检查进入防火墙的UDP报文,如果目的端口号7或者19,则直接拒绝,并将攻击记录到日志,负责允许通过。
检查IP报文中与分片有关的字段是否有矛盾,若发现有如下矛盾,则直接丢弃。将攻击记录。
检测每个接口流入的ip报文的源地址和目的地址,并对报文的源地址反查路由表,入接口与以该IP地址为目的地址的最佳出接口不相同的ip报文视为IP spoofing攻击,将被拒绝,并进行记录。
检测ICMP请求报文长度是否超过65535kb。