《网络运维管理》/实验17:在园区网中部署防火墙 通常合法的ICMP报文长度都不会很大,如果网络中出现长度太大的ICMP报文,那么很可能 是攻击。 ②ICMP不可达报文控制攻击 部分系统在收到网络或主机不可达的ICMP报文后,对于后续发往此目的地址的报文直接认 为不可达,从而切断了目的地与主机的连接。攻击者伪造不可达ICMP报文,切断受害者与目的 地的连接,造成攻击。 ③ICMP重定向报文控制 网络设备通常通过向同一个子网的主机发送ICMP重定向报文来请求主机改变路由。一般情 况下,设备仅向同一个子网的主机而不向其他设备发送ICMP重定向报文。通过攻击手段跨越网 段向另外一个网络的主机发送虚假的重定向报文,以改变主机的路由表,从而干扰主机正常的IP 报文发送。 ④ Tracert 攻击者利用TTL为0时返回的ICMP超时报文,和达到目的地址时返回的ICMP端口不可达 报文来发现报文到达目的地所经过的路径,窥探网络结构。 ⑤源站选路选项P报文控制 IP路由技术中,一个P报文的传递路径是由网络中的路由器根据报文的目的地址来决定的, 但也提供了一种由报文的发送方决定报文传递路径的方法,就是源站选路选项。源站选路选项允 许源站明确指定一条到目的地的路由,覆盖掉中间路由器的路由选项。源站选路选项通常用于网 络路径的故障诊断和某种特殊业务的临时传送。由于IP源站选路选项忽略了报文传输路径中的各 个设备的中间转发过程,而不管转发接口的工作状态,可能被恶意攻击者利用,窥探网络结构 ⑥路由记录选项IP报文控制攻击原理: IP路由技术中,提供了路由记录选项,用来记录IP报文从源地址到目的地址过程中所经过的 路径,即处理此报文的路由器的列表。IP路由记录选项通常用于网络路径的故障诊断,可能被恶 意攻击者利用,窥探网络结构 ⑦时间戳选项P报文控制 IP路由技术中,提供了时间戳选项,记录IP报文从源到目的过程中所经过的路径和时间,即 处理过此报文的路由器的列表。IP时间戳选项通常用于网络路径的故障诊断,可能被恶意攻击者 利用,窥探网络结构 (2)流量型攻击 常见流量型攻击有: SYN Flood、 UDP Flood、 ICMP Flood、 Http Flood、 Https Flood、DNS SYN Flood攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务攻击的目 的。攻击者向服务器发送含SYN包,其中源IP地址被改为伪造的不可达的IP地址。服务器向伪 造的P地址发出回应,并等待连接已建立的确认信息。但由于该PP地址是伪造的,服务器无法等 到确认信息,只有保持半开连接状态直至超时。由于服务器允许的半开连接数目有限,如果攻击 者发送大量这样的连接请求,服务器的半开连接资源很快就会消耗完毕,无法再接受来自正常用 户的TCP连接请求。 UDP Flood:攻击者向同一IP地址发送大量的UDP包使得该IP地址无法响应其它UDP请求 CMP Flood:当 ICMP PING产生的大量回应请求超出了系统的最大限度,以至于系统耗费 所有资源来进行响应直至再也无法处理有效的网络信息。 HttpflOod:攻击者通过代理或僵尸主机向目标服务器发起大量的HTTP请求报文,请求涉 及数据库操作的URI( Universal Resource Identifier)或其它消耗系统资源的UR,造成服务器资源 耗尽,无法响应正常请求 Https Flood:攻击者通过代理、僵尸网络或者直接向目标服务器发起大量的 Https连接, 造成服务器资源耗尽,无法响应正常的请求。《网络运维管理》/实验 17：在园区网中部署防火墙 4 通常合法的 ICMP 报文长度都不会很大，如果网络中出现长度太大的 ICMP 报文，那么很可能 是攻击。 ②ICMP 不可达报文控制攻击 部分系统在收到网络或主机不可达的 ICMP 报文后，对于后续发往此目的地址的报文直接认 为不可达，从而切断了目的地与主机的连接。攻击者伪造不可达 ICMP 报文，切断受害者与目的 地的连接，造成攻击。 ③ICMP 重定向报文控制 网络设备通常通过向同一个子网的主机发送 ICMP 重定向报文来请求主机改变路由。一般情 况下，设备仅向同一个子网的主机而不向其他设备发送 ICMP 重定向报文。通过攻击手段跨越网 段向另外一个网络的主机发送虚假的重定向报文，以改变主机的路由表，从而干扰主机正常的 IP 报文发送。 ④Tracert 攻击者利用 TTL 为 0 时返回的 ICMP 超时报文，和达到目的地址时返回的 ICMP 端口不可达 报文来发现报文到达目的地所经过的路径，窥探网络结构。 ⑤源站选路选项 IP 报文控制 IP 路由技术中，一个 IP 报文的传递路径是由网络中的路由器根据报文的目的地址来决定的， 但也提供了一种由报文的发送方决定报文传递路径的方法，就是源站选路选项。源站选路选项允 许源站明确指定一条到目的地的路由，覆盖掉中间路由器的路由选项。源站选路选项通常用于网 络路径的故障诊断和某种特殊业务的临时传送。由于 IP 源站选路选项忽略了报文传输路径中的各 个设备的中间转发过程，而不管转发接口的工作状态，可能被恶意攻击者利用，窥探网络结构。 ⑥路由记录选项 IP 报文控制攻击原理: IP 路由技术中，提供了路由记录选项，用来记录 IP 报文从源地址到目的地址过程中所经过的 路径，即处理此报文的路由器的列表。IP 路由记录选项通常用于网络路径的故障诊断，可能被恶 意攻击者利用，窥探网络结构。 ⑦时间戳选项 IP 报文控制 IP 路由技术中，提供了时间戳选项，记录 IP 报文从源到目的过程中所经过的路径和时间，即 处理过此报文的路由器的列表。IP 时间戳选项通常用于网络路径的故障诊断，可能被恶意攻击者 利用，窥探网络结构。 （2）流量型攻击 常见流量型攻击有：SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood。 SYN Flood：攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务攻击的目 的。攻击者向服务器发送含 SYN 包，其中源 IP 地址被改为伪造的不可达的 IP 地址。服务器向伪 造的 IP 地址发出回应，并等待连接已建立的确认信息。但由于该 IP 地址是伪造的，服务器无法等 到确认信息，只有保持半开连接状态直至超时。由于服务器允许的半开连接数目有限，如果攻击 者发送大量这样的连接请求，服务器的半开连接资源很快就会消耗完毕，无法再接受来自正常用 户的 TCP 连接请求。 UDP Flood：攻击者向同一 IP 地址发送大量的 UDP 包使得该 IP 地址无法响应其它 UDP 请求。 ICMP Flood：当 ICMP PING 产生的大量回应请求超出了系统的最大限度，以至于系统耗费 所有资源来进行响应直至再也无法处理有效的网络信息。 HTTP Flood：攻击者通过代理或僵尸主机向目标服务器发起大量的 HTTP 请求报文，请求涉 及数据库操作的 URI（Universal Resource Identifier）或其它消耗系统资源的 URI，造成服务器资源 耗尽，无法响应正常请求。 HTTPS Flood：攻击者通过代理、僵尸网络或者直接向目标服务器发起大量的 HTTPS 连接， 造成服务器资源耗尽，无法响应正常的请求