【文章內(nèi)容簡介】 同的網(wǎng)絡類型都有一個上限值 。 以太網(wǎng)的 MTU是 1500， 可以用 stat i 命令查看 MTU。如果 IP層有數(shù)據(jù)包要傳，而且數(shù)據(jù)包的長度超過了 MTU，那么 IP層就要對數(shù)據(jù)包進行分片(Fragmentation)操作，使每一片的長度都小于或等于 MTU。假設要傳輸一個 UDP數(shù)據(jù)包，以太網(wǎng)的 MTU為 1500字節(jié)，一般 IP首部為 20字節(jié)， UDP首部為 8字節(jié)，數(shù)據(jù)的凈荷(Payload)部分預留是 1500－ 20－ 8=1472字節(jié)。如果數(shù)據(jù)部分大于 1472字節(jié)，就會出現(xiàn)分片現(xiàn)象。 IP首部包含了分片和重組所需的信息。 網(wǎng)絡協(xié)議攻擊 33 每一 IP分片都各自路由 ， 到達目的主機后在 IP層根據(jù)首部中的信息完成數(shù)據(jù)重組 。 但是在協(xié)議實現(xiàn)過程中 ， 對特定分片的重組會造成錯誤 。 利用這些錯誤可實現(xiàn)網(wǎng)絡攻擊 。 首先介紹的碎片攻擊方式為 Ping of Death。 在 IP首部中有兩個字節(jié)表示整個 IP數(shù)據(jù)包的長度 ， 所以 IP數(shù)據(jù)包最長只能為 0xFFFF， 即 65535字節(jié) 。 攻擊者發(fā)送一個長度超過 65535字節(jié)的 Echo Request數(shù)據(jù)包 ， 目標主機在重組分片的時候會造成事先分配的 65535字節(jié)緩沖區(qū)溢出 ， 系統(tǒng)通常會崩潰或掛起 。 另一種碎片攻擊方式：淚滴 (Teardrop)攻擊 。 網(wǎng)絡協(xié)議攻擊 34 3. ?ICMP路由欺騙 微軟的 Windows 98和 Windows NT系統(tǒng)都保持著一張已知的路由器列表 ， 列表中位于第一項的路由器是默認路由器 ， 如果默認路由器關(guān)閉 ， 則位于列表第二項的路由器成為缺省路由器 。 缺省路由可通過 ICMP重定向來向發(fā)送者報告另一條到特定主機的更短路由 。 除了路由器 ， 主機必須服從 ICMP重定向 。 攻擊者可利用 ICMP重定向報文破壞路由 ， 并以此增強其竊聽能力 。 如果一臺機器向網(wǎng)絡中的另一臺機器發(fā)送了一個 ICMP重定向消息 ， 就可能引起其他機器具有一張無效的路由表 。 如果一臺機器偽裝成路由器截獲所有到某些目標網(wǎng)絡或全部目標網(wǎng)絡的 IP數(shù)據(jù)包 ， 這樣就形成了竊聽 。 網(wǎng)絡協(xié)議攻擊 35 通過 ICMP重定向技術(shù)還可實現(xiàn)對防火墻后的機器進行攻擊和竊聽 。 在一些網(wǎng)絡協(xié)議中 ， IP源路徑選項允許IP數(shù)據(jù)報告自己選擇一條通往目的主機的路徑 。 攻擊者試圖與防火墻后面的一個不可到達的主機 A連接 ， 只需在送出的 ICMP報文中設置 IP源路徑選項 ， 使報文有一個目的地址指向防火墻 ， 而最終地址是主機 A。 當報文到達防火墻時被允許通過 ， 因為它指向防火墻而不是主機A。 防火墻的 IP層處理該報文的源路徑域并被發(fā)送到內(nèi)部網(wǎng)上 ， 報文就這樣到達了不可到達的主機 A了 。 網(wǎng)絡協(xié)議攻擊 36 4 傳輸層協(xié)議攻擊 簡介 傳輸層提供了兩種類型的服務： TCP協(xié)議和 UDP協(xié)議。如果 IP數(shù)據(jù)包中有已經(jīng)封好的 TCP數(shù)據(jù)包，那么 IP將把它們向“上”傳送到 TCP層。 TCP將包排序并進行錯誤檢查，同時實現(xiàn)虛電路間的連接。 TCP數(shù)據(jù)包中包含序列號和應答，所以未按照順序收到的包可以被排序，而損壞的包可以被重傳。如果 IP數(shù)據(jù)包中封裝的是 UDP數(shù)據(jù)包，則 IP將其向“上”傳送到 UDP層。UDP是一個簡單的協(xié)議，提供給應用程序的服務是一種不可靠的、無連接的分組傳輸服務。 網(wǎng)絡協(xié)議攻擊 37 傳輸層協(xié)議攻擊 1. ?SYN Flood攻擊 SYN Flood是當前最流行的 DoS攻擊與 DDoS(分布式拒絕服務 )攻擊的方式之一 ， 這是一種利用 TCP協(xié)議缺陷的方法 。 它通過發(fā)送大量偽造的 TCP連接請求 ， 從而使得被攻擊方資源耗盡 (CPU滿負荷或內(nèi)存不足 )的攻擊方式 。 當采用 TCP協(xié)議傳輸數(shù)據(jù)時 ， 在數(shù)據(jù)傳輸前 ， 需先建立連接 ， 這是通過所謂的 TCP三次握手過程來完成的： 第一步，請求端 (客戶端 )發(fā)送一個初始序號 ISNC的SYN報文； 網(wǎng)絡協(xié)議攻擊 38 第二步 ， 服務器在收到客戶端的 SYN報文后 ， 將給客戶端發(fā)送自己的初始序列號 ISNS， 同時將 ISNC＋ 1作為確認的 SYN＋ ACK報文 。 第三步 ， 客戶端對 SYN＋ ACK報文確認 ， 同時ISNS+1， ISNC+1到此一個 TCP連接完成 。 一次正常的三次握手過程可用圖 10來描述 。 網(wǎng)絡協(xié)議攻擊 39 客戶端客戶端通過發(fā)送隨機初始序列號發(fā)起連接客戶序列號＝ 1001偵聽連接服務器服務器通過發(fā)送自己的初始序列號并把客戶的序列號＋ 1 作為應答 服務器序列號＝ 4999 ，客戶序列號應答＝ 1002等待服務器應答以及序列號 服務器序列號應答＝ 5000客戶端驗證應答，把服務器序列號＋ 1 作為最終應答發(fā)回服務器連接建立數(shù)據(jù)傳輸可以開始第一步第二步第三步圖 10 正常 TCP三次握手過程 網(wǎng)絡協(xié)議攻擊 40 在 TCP連接的三次握手中 ， 假設一個用戶向服務器發(fā)送了SYN報文后突然死機或掉線 ， 那么服務器在發(fā)出 SYN+ACK應答報文后是無法收到客戶端的 ACK報文的 (第三次握手無法完成 )，這種情況下服務器端一般會重試 (再次發(fā)送 SYN+ACK給客戶端 )并等待一段時間后丟棄這個未完成的連接 ， 這段時間的長度我們稱為 SYN Timeout， 一般來說這個時間是分鐘的數(shù)量級 (大約為～ 2 min)；一個用戶出現(xiàn)異常導致服務器的一個線程等待 1分鐘并不是什么很大的問題 ， 但如果有一個惡意的攻擊者大量模擬這種情況 ， 服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源 。 最后的結(jié)果往往是堆棧溢出崩潰 。 即使服務器端的系統(tǒng)足夠強大 ， 服務器端也將忙于處理攻擊者偽造的 TCP連接請求而無暇理睬客戶的正常請求 (畢竟客戶端的正常請求比率非常之小 )， 此時從正?？蛻舻慕嵌瓤磥?， 服務器失去響應 。 這就是所謂的 SYN Flood攻擊 。 網(wǎng)絡協(xié)議攻擊 41 2. ?LAND攻擊 LAND攻擊是最簡單的一種 TCP攻擊方法：把 TCP包的源地址和目的地址 ， 源端口和目的端口都設置成相同即可 。 其中地址字段設置為目標機器的 IP地址 ，需要注意的是對應的端口所提供的服務器必須是激活的 。 LAND攻擊可以非常有效地使目標機器重新啟動或者死機 。 前面提到 ， TCP連接的可靠性是通過三次握手實現(xiàn)初始化連接和應答每個接收到的數(shù)據(jù)包 (如果在規(guī)定時間內(nèi)應答沒有被接收到 ， 包被重傳 )來實現(xiàn)的 。 網(wǎng)絡協(xié)議攻擊 42 LAND攻擊利用 TCP初始連接建立期間的應答方式存在的問題，攻擊的關(guān)鍵在于服務器端和客戶端有各自的序列號如圖 10所示。當目標機器把包發(fā)送給了自己 (源和目的 IP地址是相同的 )，目標機器等待自己的序列號得到應答，而這個應答卻是它自己剛剛才發(fā)送出去的，而且其應答序列號是攻擊者的序列號 (1002)。由于這個序列號同目標機器所期望的序列號差別太大 (不在接收窗口范圍內(nèi) )， TCP認為這個包有問題，被丟棄。這樣目標機器再次重發(fā)數(shù)據(jù)包。這對于 TCP來說，意味著“那不是我所期望的包，請重發(fā)”。這將導致無限循環(huán)：目標機器一直給自己發(fā)送錯誤應答，并希望能夠看到具有正確序列號的應答返回。圖 11形象地描繪了此情景。 網(wǎng)絡協(xié)議攻擊 43 攻擊者第一步攻擊者發(fā)起 L A N D攻擊，源地址和端口設置為服務器攻擊包的序列號＝ 1 0 0 1服務器偵聽連接服務器通過發(fā)送自己的初始序列號并把客戶的序列號＋ 1 作為應答服務器等待客戶端發(fā)送回服務器的序列號＋ 1 作為應答