@CI
2年前 提问
1个回答

有哪些非法报文攻击

X0_0X
2年前

有以下这些非法报文攻击:

  • SMURF 攻击:SMURF 攻击方法事发 ICMP 请求,请求包的目标地址设置为受害网络的广播地址,这样该网络的所有主机都对此 ICMP 应答请求做出答复,导致网络拥塞。

  • LAND 攻击:把 TCP 的源地址和目标地址都设置成一个受害者 IP 地址,这将导致受害者向他自己的地址发送 SYN-ACK 消息,结果这个地址又发回 ACK 消息并创建一个空连接,占用系统资源或使目的主机崩溃。

  • Fraggle 攻击:Fraggle 类似 smurf 攻击,使用 UDP 应答消息而非 ICMP,udp 端口 7 和端口 19 在收到 UDP 报文后,大量无用的应答报文,沾满网络带宽。

  • IP Fragment 攻击:IP 报文中有几个字段跟分片有关 DF 位、MF 位,Fragment Offset、Length。如果上述字段的值出现矛盾,而设备处理不当,会对设备造成一定的影响,设置瘫痪。

  • IP spoofing 攻击:为了获得访问权,或隐藏入侵者身份信息,入侵者生成带有伪造源地址的报文。

  • Ping of death 攻击:ip 报文的长度字段为 16 位,这表明 IP 报文的最大长度位 65535,ping of death 利用一些超大尺寸的 ICMP 报文对系统进行的一种攻击。

预防非法报文攻击的方法有以下这些:

  • 检查 ICMP 应答请求包的目的地址是否为子网广播地址或子网的网络地址,若是,则直接拒绝,并将攻击记录到日志。

  • 对每一个 ip 报文进行检测,若其源地址与目的地址相同,或者源地址位环回地址(127.0.0.1),则直接拒绝,并将攻击记录到日志中。

  • 检查进入防火墙的 UDP 报文,如果目的端口号 7 或者 19,则直接拒绝,并将攻击记录到日志,负责允许通过。

  • 检查 IP 报文中与分片有关的字段是否有矛盾,若发现有如下矛盾,则直接丢弃。将攻击记录。

  • 检测每个接口流入的 ip 报文的源地址和目的地址,并对报文的源地址反查路由表,入接口与以该 IP 地址为目的地址的最佳出接口不相同的 ip 报文视为 IP spoofing 攻击,将被拒绝,并进行记录。

  • 检测 ICMP 请求报文长度是否超过 65535kb。