梦回2000年-单包攻击学习和总结 – 作者:BDXYG5

文章初衷：这篇总结编写目的是为了后人穿越到2000年后面对DDOS攻击有响应的解决办法而写的文章。

单包攻击种类 ：

扫描探测攻击

PING或者TCPPING

检测原理：通过统计源IP访问的次数，假如涉及到端口扫描我们可以检测是否端口变换频繁

攻击原理：通过发送ICMP包和TCP包检测主机存活或者端口存活
防御手段：通过设置端口变化的阈值和源地址阈值来限制该类工具

 

SMURF攻击 

检测原理：通过检查ICMP echo报文是否大量出现
攻击原理：伪造回复地址为广播地址，然后发包后会大家都会回复，导致网络拥塞
A（攻击者）-B（攻击协助者（被动））-C（受攻击者）
HOSTA source IP C DSP:B的子网广播地址
通过这样放大ICMP，导致阻塞
防御手段：判断ICMP目的IP是否为广播地址。如果是直接丢弃+.（新时代了不用担心这种攻击哈哈哈）

 

fraggle 攻击·

检测原理：检查端口号7和9设置阈值 超过则为攻击（这个就很微妙了啊哈哈哈哈）

攻击原理：使用UDP应答消息 端口号7或者19（原理接近SMURF攻击）

防御手段：封堵端口号7和19的UDP报文

LAND攻击

检测原理：检测数据包的目的地址和源地址是否相同即可。
攻击原理：发送目的地址和原地址相同的包，导致主机自己和自己建立连接消耗资源。

攻击处理方式：检查源地址是否和目的地址相同，相同则拒绝。

 

IP Fragment攻击

检测原理：检查DF位置 MF位置 片偏置量 总长度 是否矛盾。

攻击原理：不同设备处理分片方式不同，会对设备造成速度变慢或者瘫痪。

攻击处理方式：丢弃不合理分片。

IP spoofing 攻击

检测原理：反向路径转发验证IP真实性。

攻击原理：通过发送伪造源地址的包获取操作权限。

攻击处理方式：增强应用层的用户身份验证。
 

PING of death 攻击·

检测原理：发现超大号的报文

攻击原理：发送大号报文，触发分片消耗机器资源

处理方式 检查过大长度的 ping包丢弃，打好补丁不在处理ICMP分片。

 

TCP Flag攻击
检测原理： 通过不过组合应答检测操作系统

攻击原理：发送特殊构造的tcpFLAG让 机器处理缓慢（没啥用）

处理方式：
检查标记 是否为全0 是否为全1 或者是

syn rst 1
fin urg 1
rst fin 1  

然后丢弃该类型包

Teardrop攻击

检测原理：检测分片畸形的包（例如重叠）

攻击原理： 分片重叠导致崩溃（MF位和offset 字段 length字段）

处理方式： 一定时间重组IP不成功则丢弃

 

winNUKE攻击

检测原理：53\113\137-139等端口大量发送URG位为一的包

攻击原理： 往139端口发送紧急包（window系统）催促快

处理方式：使用新版本操作系统或者丢弃该类型的包

超大ICMP

检测原理：超过特定大小的ICMP包

攻击原理 ：比较大的报文和DFP不一样，他不需要超过65535

处理方式：限制ICMP带宽

ICMP不可达报文 Tracert 报文攻击

监测方式:TTL过小的报文

攻击原理：通过ICMP来检查网络结构

处理方式：丢弃TTL超时的报文URPF技术 单播逆向路径转发

来源：freebuf.com 2020-08-06 08:58:58 by: BDXYG5