《网络运维管理》/实验17:在园区网中部署防火墙3 WinNuke、Land和TCP报文标志合法性检测。 ①P欺骗 IP欺骗一种常用的攻击方法,也是其他攻击方法的基础。IP协议依据I数据包包头中的目的 地址来发送IP报文,如果IP报文是本网络内的地址,则被直接发送到目的地址;如果该IP地址 不是本网络地址,则被发送到网关,而不对IP数据包中提供的源地址做任何检查,默认为IP数据 包中的源地址就是发送IP包主机的地址。攻击者通过向目标主机发送源P地址伪造的报文,欺骗 目标主机,从而获取更高的访问和控制权限。PP欺骗攻击可导致目标主机的资源,信息泄漏 ②IP分片报文 IP报文头中的DF和MF标志位用于分片控制,通过发送分片控制非法的报文,可导致主机接 收时产生故障。IP分片报文攻击导致报文处理异常,主机崩溃。 ③ Teardrop 对于一些大的P数据包,为了满足链路层的MTU( Maximum transmission unit,最大传输单 元)的要求,需要传送过程中对其进行分片,分成几个PP包。在每个IP报头中有一个偏移字段和 一个拆分标志(MF),其中偏移字段指出了这个片段在整个P包中的位置。如果攻击者截取PP数 据包后,把偏移字段设置成不正确的值,接收端在收到这些分拆的数据包后,就不能按数据包中 的偏移字段值正确组合岀被拆分的数据包,接收端会不停的进行尝试,以至操作系统因资源耗尽 而崩溃。 ④ Smurf 攻击者发送ICMP应答请求,该请求包的目标地址设置网络的广播地址或子网主机段为全0的 地址,该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞 ⑤ Ping of death 利用长度超大的ICMP报文对系统进行攻击。IP报文的长度字段为16位,P报文的最大长度 为65535。对于 ICMP ECHO报文,如果数据长度大于65515,就会使ICMP数据+IP头长度(20) +ICMP头长度(8)>65535。有些路由器或系统,在接收到一个这样的报文后,就会发生处理发 生错误,造成系统崩溃、死机或重启。 ⑥ Fraggle UDP端口收到一个数据包后,会产生一个字符串作为回应。当运行ECHO服务的UDP端口 收到一个数据包后,会简单地返回该包的数据内容作为回应,攻击者进行循环攻击造成系统繁忙, 链路拥塞。 攻击目标端口,且端口URG位设为1。 ⑧Land攻击 攻击者发送源地址和目的地址相同,或者源地址为环回地址的SYN报文给目标主机(源端口 和目的端口相同),导致被攻击者向其自己的地址发送SYN-ACK消息,生成并存在大量的空连 接。 ⑨TCP报文标志合法性检测 TCP报文标志位包括URG、ACK、PSH、RST、SYN、FN。攻击者通过发送非法 TCP flag组 合的报文,受害主机收到后进行判断识别,消耗其性能,甚至会造成有些操作系统报文处理异常, 主机崩溃。 特殊报文控制类攻击:包含有超大ICMP报文控制、ICMP不可达报文控制、ICMP重定向报 文控制、 Tracert、源站选路选项酽报文控制、路由记录选项IP报文控制和时间戳选项I报文控 ①超大ICMP报文控制《网络运维管理》/实验 17：在园区网中部署防火墙 3 WinNuke、Land 和 TCP 报文标志合法性检测。 ①IP 欺骗 IP 欺骗一种常用的攻击方法，也是其他攻击方法的基础。IP 协议依据 IP 数据包包头中的目的 地址来发送 IP 报文，如果 IP 报文是本网络内的地址，则被直接发送到目的地址；如果该 IP 地址 不是本网络地址，则被发送到网关，而不对 IP 数据包中提供的源地址做任何检查，默认为 IP 数据 包中的源地址就是发送 IP 包主机的地址。攻击者通过向目标主机发送源 IP 地址伪造的报文，欺骗 目标主机，从而获取更高的访问和控制权限。IP 欺骗攻击可导致目标主机的资源，信息泄漏。 ②IP 分片报文 IP 报文头中的 DF 和 MF 标志位用于分片控制，通过发送分片控制非法的报文，可导致主机接 收时产生故障。IP 分片报文攻击导致报文处理异常，主机崩溃。 ③Teardrop 对于一些大的 IP 数据包，为了满足链路层的 MTU（Maximum Transmission Unit，最大传输单 元）的要求，需要传送过程中对其进行分片，分成几个 IP 包。在每个 IP 报头中有一个偏移字段和 一个拆分标志（MF），其中偏移字段指出了这个片段在整个 IP 包中的位置。如果攻击者截取 IP 数 据包后，把偏移字段设置成不正确的值，接收端在收到这些分拆的数据包后，就不能按数据包中 的偏移字段值正确组合出被拆分的数据包，接收端会不停的进行尝试，以至操作系统因资源耗尽 而崩溃。 ④Smurf 攻击者发送 ICMP 应答请求，该请求包的目标地址设置网络的广播地址或子网主机段为全 0 的 地址，该网络的所有主机都对此 ICMP 应答请求作出答复，导致网络阻塞。 ⑤Ping of Death 利用长度超大的 ICMP 报文对系统进行攻击。IP 报文的长度字段为 16 位，P 报文的最大长度 为 65535。对于 ICMP ECHO 报文，如果数据长度大于 65515，就会使 ICMP 数据＋IP 头长度(20) ＋ICMP 头长度（8）>65535。有些路由器或系统，在接收到一个这样的报文后，就会发生处理发 生错误，造成系统崩溃、死机或重启。 ⑥Fraggle UDP 端口收到一个数据包后，会产生一个字符串作为回应。当运行 ECHO 服务的 UDP 端口 收到一个数据包后，会简单地返回该包的数据内容作为回应，攻击者进行循环攻击造成系统繁忙， 链路拥塞。 ⑦WinNuke 攻击目标端口，且端口 URG 位设为 1。 ⑧Land 攻击 攻击者发送源地址和目的地址相同，或者源地址为环回地址的 SYN 报文给目标主机（源端口 和目的端口相同），导致被攻击者向其自己的地址发送 SYN-ACK 消息，生成并存在大量的空连 接。 ⑨TCP 报文标志合法性检测 TCP 报文标志位包括 URG、ACK、PSH、RST、SYN、FIN。攻击者通过发送非法 TCP flag 组 合的报文，受害主机收到后进行判断识别，消耗其性能，甚至会造成有些操作系统报文处理异常， 主机崩溃。 特殊报文控制类攻击：包含有超大 ICMP 报文控制、ICMP 不可达报文控制、ICMP 重定向报 文控制、Tracert、源站选路选项 IP 报文控制、路由记录选项 IP 报文控制和时间戳选项 IP 报文控 制。 ①超大 ICMP 报文控制