网络单包攻击有哪些攻击手段
网络单包攻击有以下攻击手段:
地址扫描攻击:运用ping程序探测目标地址,以用来确定目标系统是否存活的标识。也可以使用TCP/UDP报文对目标系统发起探测。
端口扫描攻击:Port Scan攻击通常使用一些软件,相大范围的主机的一系列TCP/UDP端口发起连接,根据应答报文判断主机是否使用这些端口提供服务。
SMURF攻击:SMURF攻击方法事发ICMP请求,请求包的目标地址设置为受害网络的广播地址,这样该网络的所有主机都对此ICMP应答请求做出答复,导致网络拥塞。
LAND 攻击:把TCP的源地址和目标地址都设置成一个受害者IP地址,这将导致受害者向他自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,占用系统资源或使目的主机崩溃。
Fraggle 攻击:Fraggle类似smurf攻击,使用UDP应答消息而非ICMP,udp端口7和端口19在收到UDP报文后,大量无用的应答报文,沾满网络带宽。
IP Fragment攻击:IP报文中有几个字段跟分片有关DF位、MF位,Fragment Offset、Length。如果上述字段的值出现矛盾,而设备处理不当,会对设备造成一定的影响,设置瘫痪。
IP spoofing攻击:为了获得访问权,或隐藏入侵者身份信息,入侵者生成带有伪造源地址的报文。
Ping of death攻击:ip报文的长度字段为16位,这表明IP报文的最大长度位65535,ping of death利用一些超大尺寸的ICMP报文对系统进行的一种攻击。
针对网络单包攻击的预防措施有以下这些:
检测进入防火墙的ICMP,TCP和UDP报文,由该报文的源IP地址获取统计表项中的索引,入目的IP地址与前一报文的IP地址不同,则将表项中的报文个数增。如果在一定时间内报文的个数达到设置的阈值,记录日志,并根据配置决定是否将源IP地址加入黑名单。
检查ICMP应答请求包的目的地址是否为子网广播地址或子网的网络地址,若是,则直接拒绝,并将攻击记录到日志。
对每一个ip报文进行检测,若其源地址与目的地址相同,或者源地址位环回地址(127.0.0.1),则直接拒绝,并将攻击记录到日志中。
检查进入防火墙的UDP报文,如果目的端口号7或者19,则直接拒绝,并将攻击记录到日志,负责允许通过。
检查IP报文中与分片有关的字段是否有矛盾,若发现有如下矛盾,则直接丢弃。将攻击记录。
检测每个接口流入的ip报文的源地址和目的地址,并对报文的源地址反查路由表,入接口与以该IP地址为目的地址的最佳出接口不相同的ip报文视为IP spoofing攻击,将被拒绝,并进行记录。