裝置與主機的攻擊日誌型別分析總結

隨著網路技術的普及，網路攻擊行為出現得越來越頻繁。另外，由於網路應用的多樣性和複雜性，使得各種網路病毒氾濫，更加劇了網路被攻擊的危險。

目前，internet上常見的網路安全威脅分為以下三類：

1.掃瞄窺探攻擊

掃瞄窺探攻擊利用ping掃瞄（包括icmp和tcp）標識網路上存在的活動主機，從而可以準確地定位潛在目標的位置；利用tcp和udp埠掃瞄檢測出目標作業系統和啟用的服務型別。攻擊者通過掃瞄窺探就能大致了解目標系統提供的服務種類和潛在的安全漏洞，為進一步侵入目標系統做好準備。

2.ip報文攻擊

ip報文攻擊是通過向目標系統傳送有缺陷的ip報文，如分片重疊的ip報文、tcp標誌位非法的報文，使得目標系統在處理這樣的ip報文時崩潰，給目標系統帶來損失。主要的報文攻擊有ping of death、teardrop等。

3.dos攻擊

dos攻擊是使用大量的資料報攻擊目標系統，使目標系統無法接受正常使用者的請求，或者使目標主機掛起不能正常工作。主要的dos攻擊有syn flood、fraggle等。dos攻擊和其它型別的攻擊不同之處在於，攻擊者並不是去尋找進入目標網路的入口，而是通過擾亂目標網路的正常工作來阻止合法使用者訪問網路資源。

在多種網路攻擊型別中，dos攻擊是最常見的一種，因為這種攻擊方式對攻擊技能要求不高，攻擊者可以利用各種開放的攻擊軟體實施攻擊行為，所以dos攻擊的威脅逐步增大。成功的dos攻擊會導致伺服器效能急劇下降，造成正常客戶訪問失敗；同時，提供服務的企業的信譽也會蒙受損失，而且這種危害是長期性的.

1.掃瞄攻擊：

1）位址掃瞄攻擊

運用ping型別的程式探測目標位址，對此做出響應的系統表示其存在，該探測可以用來確定哪些目標系統確實存在並且是連線在目標網路上的。也可以使用tcp/udp報文對一定位址發起連線（如tcp ping），通過判斷是否有應答報文來探測目標網路上有哪些系統是開放的。

檢測進入防火牆的icmp、tcp和udp報文，統計從同乙個源ip位址發出報文的不同目的ip位址個數。如果在一定的時間內，目的ip位址的個數達到設定的閾值，則直接丟棄報文，並記錄日誌，然後根據配置決定是否將源ip位址加入黑名單。

2）埠掃瞄攻擊

埠掃瞄攻擊通常使用一些軟體，向目標主機的一系列tcp/udp埠發起連線，根據應答報文判斷主機是否使用這些埠提供服務。利用tcp報文進行埠掃瞄時，攻擊者向目標主機傳送連線請求（tcp syn）報文，若請求的tcp埠是開放的，目標主機回應乙個tcp ack報文，若請求的服務未開放，目標主機回應乙個tcp rst報文，通過分析回應報文是ack報文還是rst報文，攻擊者可以判斷目標主機是否啟用了請求的服務。利用udp報文進行埠掃瞄時，攻擊者向目標主機傳送udp報文，若目標主機上請求的目的埠未開放，目標主機回應icmp不可達報文，若該埠是開放的，則不會回應icmp報文，通過分析是否回應了icmp不可達報文，攻擊者可以判斷目標主機是否啟用了請求的服務。這種攻擊通常在判斷出目標主機開放了哪些埠之後，將會針對具體的埠進行更進一步的攻擊。

檢測進入防火牆的tcp和udp報文，統計從同乙個源ip位址發出報文的不同目的埠個數。如果在一定的時間內，埠個數達到設定的閾值，則直接丟棄報文，並記錄日誌，然後根據配置決定是否將源ip位址加入黑名單。

2.ip源站選路選項攻擊

ip報文中的源站選路選項（source route）通常用於網路路徑的故障診斷和某些特殊業務的臨時傳送。攜帶ip源站選路選項的報文在**過程中會忽略傳輸路徑中各個裝置的**表項，比如，若要指定乙個ip報文必須經過三颱路由器r1、r2、r3，則可以在該報文的源路由選項中明確指明這三個路由器的介面位址，這樣不論三颱路由器上的路由表如何，這個ip報文就會依次經過r1、r2、r3。而且這些帶源站選路選項的ip報文在傳輸的過程中，其源位址和目標位址均在不斷改變，因此，通過設定特定的源路由選項，攻擊者便可以偽造一些合法的ip位址，從而蒙混進入目標網路。

檢測進入防火牆的報文是否設定ip源站選路選項，如果是，則根據使用者配置選擇對報文進行丟棄或**，並記錄日誌。

路由記錄選項攻擊

與ip源站路由功能類似，在ip路由技術中，還提供了路由記錄選項（route record）。攜帶路由記錄選項的ip報文在**過程中，會在路由記錄選項欄位中記錄它從源到目的過程中所經過的路徑，也就是記錄乙個處理過此報文的路由器的列表。ip路由記錄選項通常用於網路路徑的故障診斷，但若被攻擊者利用，攻擊者可以通過提取選項中攜帶的路徑資訊探測出網路結構。

檢測進入防火牆的報文是否設定ip路由記錄選項，如果是，則根據使用者配置選擇對報文進行丟棄或**，並記錄日誌。

land攻擊

land攻擊利用tcp連線建立的三次握手功能，通過將tcp syn包的源位址和目標位址都設定成某乙個受攻擊者的ip位址，導致受攻擊者向自己的位址傳送syn ack訊息。這樣，受攻擊者在收到syn ack訊息後，就會又向自己傳送ack訊息，並建立乙個空tcp連線，而每乙個這樣的連線都將保留直到超時。因此，如果攻擊者傳送了足夠多的syn報文，就會導致被攻擊者系統資源大量消耗。各種系統對land攻擊的反應不同，unix主機將崩潰，windows nt主機會變得極其緩慢。

檢測每乙個ip報文的源位址和目標位址，若兩者相同，或者源位址為環迴位址127.0.0.1，則根據使用者配置選擇對報文進行**或拒絕接收，並將該攻擊記錄到日誌。

syn flood攻擊

syn flood攻擊通過偽造乙個syn報文向伺服器發起連線，其源位址是偽造的或者乙個不存在的位址。伺服器在收到該報文後傳送syn ack報文應答，由於攻擊報文的源位址不可達，因此應答報文發出去後，不會收到ack報文，造成乙個半連線。如果攻擊者傳送大量這樣的報文，會在被攻擊主機上出現大量的半連線，從而消耗其系統資源，使正常的使用者無法訪問。

將防火牆作為客戶端與伺服器通訊的中繼，當客戶端發起連線時，防火牆並不把syn報文傳遞給伺服器，而是自己向客戶端傳送syn ack報文，之後如果防火牆收到客戶端的確認報文，才會與伺服器進行連線。

icmp flood攻擊

icmp flood攻擊通過短時間內向特定目標系統傳送大量的icmp訊息（如執行ping程式）來請求其回應，致使目標系統忙於處理這些請求報文而不能處理正常的網路資料報文。

通過智慧型流量檢測技術檢測通向特定目的位址的icmp報文速率，如果報文速率超過閾值上限，則認為攻擊開始，就根據使用者的配置選擇丟棄或者**後續連線請求報文，同時將該攻擊記錄到日誌。當速率低於設定的閾值下限後，檢測到攻擊結束，正常**後續連線請求報文。

udp flood攻擊

攻擊原理與icmp flood攻擊類似，攻擊者在短時間內通過向特定目標傳送大量的udp訊息，導致目標系統負擔過重而不能處理正常的資料傳輸任務。

通過智慧型流量檢測技術檢測通向特定目的位址的udp報文速率，如果報文速率超過閾值上限，則檢測到攻擊開始，就根據使用者的配置選擇丟棄或者**後續連線請求報文，同時將該攻擊記錄到日誌。當速率低於設定的閾值下限後，檢測到攻擊結束，正常**後續連線請求報文。

ping of death攻擊

ping of death攻擊通過傳送大於65536位元組的icmp包使作業系統崩潰；通常不可能傳送大於65536個位元組的icmp包，但可以把報文分割成片段，然後在目標主機上重組；最終會導致被攻擊目標緩衝區溢出，引起拒絕服務攻擊。有些時候導致telne和http服務停止，有些時候路由器重啟。

smurf攻擊

簡單的smurf攻擊是向目標網路主機發icmp應答請求報文，該請求報文的目的位址設定為目標網路的廣播位址，這樣目標網路的所有主機都對此icmp應答請求做出答覆，導致網路阻塞。高階的smurf攻擊是將icmp應答請求報文的源位址改為目標主機的位址，通過向目標主機持續傳送icmp應答請求報文最終導致其崩潰。

檢查icmp應答請求報文的目的位址是否為子網廣播位址或子網的網路位址，如是，則根據使用者配置選擇對報文進行**或拒絕接收，並將該攻擊記錄到日誌。

winnuke攻擊

winnuke攻擊是向windows系統的特定目標的netbios埠（139）傳送oob （out-of-band，帶外）資料報，這些攻擊報文的指標欄位與實際的位置不符，即存在重合，從而引起乙個netbios片斷重疊，致使已經與其它主機建立tcp連線的目標主機在處理這些資料的時候崩潰。

檢查進入防火牆的udp報文，如果報文的目的埠號為139，且tcp的緊急標誌被置位，而且攜帶了緊急資料區，則根據使用者配置選擇對報文進行**或拒絕接收，並將該攻擊記錄到日誌。

11.ip spoofing

ip資料報為偽造的源ip位址，以便冒充其他系統或發件人的身份。借用另外一台機器的ip位址,從而冒充另外一台機器與伺服器打交道，顯示的資訊源不是實際的**，就像這個資料報是從另一台計算機上傳送的。

ip欺騙的防範，一方面需要目標裝置採取更強有力的認證措施，不僅僅根據源ip就信任來訪者，更多的需要強口令等認證手段；另一方面採用健壯的互動協議以提高偽裝源ip的門檻。

裝置與主機的攻擊日誌型別分析總結

Oracle與MySQL的資料型別轉換總結

虛擬機器與主機的4種網路訪問型別

虛擬機器與主機的4種網路訪問型別

裝置與主機的攻擊日誌型別分析總結

Oracle與MySQL的資料型別轉換總結

虛擬機器與主機的4種網路訪問型別

虛擬機器與主機的4種網路訪問型別

相關推薦