【文章內(nèi)容簡介】 內(nèi)設(shè)備嘗試請求IP地址，攻擊者為了偽造IP地址與被攻擊目標(biāo)IP相同的Reply報文，搶先向請求設(shè)備應(yīng)答，造成請求設(shè)備的ARP表項中寫入錯誤的MAC地址。圖 ARP Spoof 原理圖這里舉一個Spoof例子：。（1）首先，計算機(jī)（被欺騙設(shè)備）向局域網(wǎng)廣播ARP Request報文，請求網(wǎng)關(guān)設(shè)備或者服務(wù)器的位置。（2）當(dāng)網(wǎng)關(guān)還沒來得及反應(yīng)的時候，攻擊設(shè)備搶先向計算機(jī)應(yīng)答，冒充自己是網(wǎng)關(guān)。（3）計算機(jī)將攻擊設(shè)備誤認(rèn)為是網(wǎng)關(guān)，之后計算機(jī)要向外發(fā)送的報文都發(fā)送給了攻擊設(shè)備。攻擊設(shè)備就可以截取計算機(jī)向外發(fā)出的報文。受到ARP欺騙攻擊的設(shè)備，無法正常連接網(wǎng)關(guān)設(shè)備。當(dāng)然，攻擊者最終的目標(biāo)并不是斷開被攻擊設(shè)備的網(wǎng)絡(luò)連接（部分惡意攻擊軟件除外），而是實現(xiàn)中間人攻擊。 中間人攻擊以前的網(wǎng)絡(luò)服務(wù)程序，如FTP和Telnet在實現(xiàn)原理和傳輸機(jī)制上是沒有考慮安全機(jī)制的，最初的設(shè)計都是為了方便通信和檢測網(wǎng)絡(luò)。它們都是不安全的服務(wù)：因為它們在網(wǎng)絡(luò)上用明文傳送數(shù)據(jù)、賬號和密碼，攻擊者通過竊聽等網(wǎng)絡(luò)攻擊手段是非常容易地就可以截獲這些數(shù)據(jù)報文、用戶帳號和密碼。而且，這些網(wǎng)絡(luò)服務(wù)程序的簡單安全驗證方式也有很多弱點，很容易受到“中間人”（maninthemiddle）的這種攻擊方式的攻擊。 之所謂“中間人”的攻擊方式，就是“中間人”冒充真正的服務(wù)器接收客戶端你傳給服務(wù)器的數(shù)據(jù)報文，然后再冒充客戶端把數(shù)據(jù)報文傳給真正的服務(wù)器。服務(wù)器和客戶端之間的數(shù)據(jù)傳送被“中間人”做了手腳之后，就會出現(xiàn)很嚴(yán)重的問題，比如報文內(nèi)容被竊聽或者篡改等等。通過ARP實現(xiàn)中間人攻擊，實際就相當(dāng)于雙向ARP Spoof。一方面，攻擊設(shè)備向所有客戶端欺騙自己是網(wǎng)關(guān)，所有上行流量轉(zhuǎn)發(fā)到攻擊設(shè)備；另外一方面，攻擊設(shè)備向網(wǎng)關(guān)欺騙自己是客戶端，將上行流量轉(zhuǎn)發(fā)到網(wǎng)關(guān)，然后將網(wǎng)關(guān)回應(yīng)的報文向客戶端轉(zhuǎn)發(fā)。 圖 ARP 中間人攻擊原理圖，在計算機(jī)A的ARP表項中，計算機(jī)A對應(yīng)的網(wǎng)關(guān)IP是攻擊設(shè)備的MAC；而真實網(wǎng)關(guān)的ARP表項中，普通用戶IP對應(yīng)的是攻擊設(shè)備的MAC。最終，普通用戶通過網(wǎng)關(guān)訪問外部網(wǎng)絡(luò)的所有業(yè)務(wù)報文，都需要經(jīng)過攻擊者進(jìn)行轉(zhuǎn)發(fā)。攻擊者通過對報文的控制，可以輕易獲取普通用戶的上網(wǎng)信息、賬號和密碼，或者對普通用戶權(quán)限和網(wǎng)絡(luò)連接速度進(jìn)行限制。 顯而易見，中間人攻擊才是ARP攻擊的精髓所在。[3] 病毒和木馬內(nèi)網(wǎng)用戶往往通過訪問不安全的網(wǎng)站或網(wǎng)頁而感染病毒或木馬，中了木馬的主機(jī)會執(zhí)行一些木馬和病毒的程序，有些會直接把用戶在銀行網(wǎng)站上的用戶名和密碼直接通過網(wǎng)絡(luò)發(fā)給用戶，有些病毒又會在在局域網(wǎng)中傳播，使網(wǎng)內(nèi)主機(jī)發(fā)生癱瘓。很多攻擊都是由局域網(wǎng)內(nèi)部發(fā)起的，有些攻擊者接入了局域網(wǎng)，利用非法的身份攻擊局域網(wǎng)內(nèi)的合法用戶，使其不能正常的訪問外網(wǎng)。怎么樣讓合法的用戶接入，讓非法的用戶接入不了局域網(wǎng)。控制用戶的服務(wù)，比如：只允許用戶上FTP服務(wù)器下載，不需內(nèi)網(wǎng)用戶訪問一些危險的網(wǎng)站?；蛘卟辉试S用戶連接特定的IP地址?？梢噪S心所欲的控制內(nèi)網(wǎng)的用戶的操作，使整個網(wǎng)絡(luò)環(huán)境更加安全。 外網(wǎng)的DOS攻擊和端口掃描 DOS攻擊背景DOS：即拒絕服務(wù)的縮寫，Denial Of Service，指故意的攻擊網(wǎng)絡(luò)協(xié)議實現(xiàn)的缺陷或者直接通過野蠻手段耗盡被攻擊對象的資源，目的是讓目標(biāo)計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問。從網(wǎng)絡(luò)攻擊的方法和所產(chǎn)生的破壞情況來看，DOS 算是一種很有效的很簡單的進(jìn)攻方式。它的目的就是拒絕客戶端的服務(wù)訪問，破壞系統(tǒng)的正常運(yùn)行，最終它會使客戶端的部分Internet 連接失敗。DOS 的攻擊方式有很多種，最基本的DOS 攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使CPU超負(fù)荷，合法用戶無法得到服務(wù)。 DOS最早可追述到1998年。2004年5月份，網(wǎng)易、eBay等著名網(wǎng)站遭受黑客攻擊，網(wǎng)易中斷服務(wù)達(dá)3個小時，eBay被迫關(guān)閉。2005年9月份，新浪遭受黑客攻擊長達(dá)19個小時，致使電子郵箱系統(tǒng)完全癱瘓。據(jù)美國聯(lián)邦調(diào)查局（FBI）和美國計算機(jī)犯罪調(diào)查（CSI）報告指出，2006年，美國有30%的網(wǎng)站遭受到拒絕服務(wù)攻擊，平均一次攻擊損失超過兩百萬美元。美國政府網(wǎng)站、白宮、百度、Yahoo，ZDNet、eBay、紐約時報等網(wǎng)站都遭受過拒絕服務(wù)攻擊。平均每星期有超過4000起的拒絕服務(wù)攻擊。商業(yè)公司的網(wǎng)站如eBay，在26個小時的攻擊之后，股票價格下降29%。[4] 典型DOS攻擊原理分析 TCP協(xié)議原理及連接過程TCP（transmission control protocol，傳輸控制協(xié)議），是用坐在不可靠的網(wǎng)絡(luò)Internet上提供可靠的、端到端的傳輸?shù)耐ㄓ崊f(xié)議。它的具體結(jié)構(gòu)已描述過了，這里就不再累贅，這里主要對它的協(xié)議機(jī)制再進(jìn)一步進(jìn)行描述，典型的DOS攻擊就是根據(jù)這些協(xié)議的設(shè)計缺陷來設(shè)計攻擊網(wǎng)絡(luò)中的設(shè)備。在TCP協(xié)議中有6個標(biāo)志比特中四個標(biāo)志位，其中URG 等六個FLAG 標(biāo)志位是兩個計算機(jī)數(shù)據(jù)交流的信息的標(biāo)志位。TCP 連接握手過程可以簡單地分為三個過程。在沒有連接中，服務(wù)器處于監(jiān)聽LISTEN 狀態(tài)，等待其他機(jī)器發(fā)送連接請求報文。第一步：客戶端發(fā)送一個帶SYN 位的請求報文，向服務(wù)器表示需要連接的請求，然后等待服務(wù)器的響應(yīng)報文。第二步：服務(wù)器接收到這樣的請求報文后，查看是否是指定的端口，不然，就發(fā)送RST=1報文應(yīng)答客戶端，拒絕建立連接服務(wù)。如果接收連接的報文，那么服務(wù)器發(fā)送確認(rèn)報文給客戶端，SYN請求為服務(wù)器的一個內(nèi)碼，ACK報文則是客戶端的請求序號加1，用這樣的數(shù)據(jù)報文發(fā)送給客戶端。向客戶端表示，服務(wù)器的連接已經(jīng)準(zhǔn)備好連接了，等待客戶端的確認(rèn)消息后，這時客戶端接收到消息后，分析得到的信息報文，以準(zhǔn)備發(fā)送確認(rèn)連接信號消息到服務(wù)器端。第三步：客戶端發(fā)送確認(rèn)建立連接的消息報文給服務(wù)器。確認(rèn)信息報文的SYN 位的報文是服務(wù)器發(fā)送的ACK 位報文，ACK位報文是服務(wù)器發(fā)送的SYN 位的報文加1。這時，連接的信息已經(jīng)建立好了。最后發(fā)送數(shù)據(jù)報文。這是一個基本的請求報文和連接報文過程。圖 TCP連接三次握手機(jī)制 如何利用TCP 協(xié)議缺陷實現(xiàn)DOS 攻擊SYN Flood 是當(dāng)前比較流行的DOS方式，它就是利用TCP 協(xié)議缺陷，發(fā)送大量偽造的TCP SYN連接請求報文，從而使得被攻擊的設(shè)備CPU資源耗盡，而無法轉(zhuǎn)發(fā)正常的數(shù)據(jù)報文。SYNACK 報文重傳次數(shù)：服務(wù)器發(fā)送完SYNACK報文后，如果一直沒有收到客戶確認(rèn)報文，服務(wù)器則會進(jìn)行首次重傳，等待一段時間后如果仍然未收到客戶確認(rèn)報文，則進(jìn)行第二次重傳，如果重傳的次數(shù)超過了系統(tǒng)規(guī)定的最大的重傳次數(shù)后，等待一段時間后系統(tǒng)將該連接信息從半連接的列表隊列中刪除。值得注意的是，每次重傳時候的等待的時間不一定會相同，其中有很大的誤差。 半連接存活時間：是指沒有完全建立連接時的條目存活的最長時間，就是指服務(wù)器從收到SYN報文到確認(rèn)這個報文無法形成連接的最長時間，這段時間是所有重傳請求報文的最長等待時間的累加。上一節(jié)解釋了TCP 協(xié)議中被稱為三次握手。其實問題缺陷就出在TCP 連接的三次握手中：（1）假設(shè)一個客戶端用戶向服務(wù)器發(fā)送了SYN 報文后突然掉線。（2）服務(wù)器在發(fā)出SYN+ACK 報文應(yīng)答報文后是無法收到客戶端用戶的ACK 報文的（因為第三次握手無法完成）。（3）這種情況下服務(wù)器一般會重新傳輸確認(rèn)報文（再次發(fā)送SYN+ACK的 報文給客戶端）并且等待一段時間后丟棄這個未完成的連接。這段等待的時間的長度被稱為SYN Timeout，一般來說這個時間是大約為30 秒 2 分鐘左右；一個用戶出現(xiàn)異常的狀態(tài)后導(dǎo)致服務(wù)器的一個線程等待幾分鐘并不是什么很大的問題，但是如果有一個攻擊者大量模擬這種異常報文，服務(wù)器端將為了維護(hù)一個非常大的半連接列表而消耗非常多的CPU，最后的結(jié)果往往是TCP/IP 堆棧溢出崩潰，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求報文而無暇處理和理睬客戶的正常請求，這種情況就是服務(wù)器端受到了SYN Flood 的攻擊。[5] DOS攻擊類型上一節(jié)對典型的DOS攻擊TCP SYN Flood攻擊進(jìn)行了分析。像TCP SYN Flood攻擊一樣，利用TCP/IP協(xié)議的缺陷，構(gòu)造大量異常報文來消耗網(wǎng)絡(luò)設(shè)備資源的手法有很多種，接下來簡單的列舉一些：（1）LAND攻擊：這是一種典型的攻擊，攻擊者會發(fā)送源地址和目標(biāo)地址是相同的攻擊報文，當(dāng)主機(jī)接收到這類數(shù)據(jù)包時，操作系統(tǒng)會無法處理這種報文，或者會發(fā)送回應(yīng)的數(shù)據(jù)報文給自己，這樣會導(dǎo)致消耗大量的系統(tǒng)和網(wǎng)絡(luò)的資源，使被攻擊的系統(tǒng)崩潰或死機(jī)。設(shè)備外網(wǎng)收到源地址和目的地址相同（包括10域、127域、）則認(rèn)為是Land攻擊。（2）ICMP Flood：攻擊者大量發(fā)送ICMP報文消息給目標(biāo)主機(jī)，目標(biāo)PC機(jī)會不斷的發(fā)送回應(yīng)請求的報文，導(dǎo)致目標(biāo)網(wǎng)絡(luò)設(shè)備CUP過高或負(fù)擔(dān)過重導(dǎo)致不能處理合法的請求。所以從Internet發(fā)起的ICMP包達(dá)到一定速率的時候 ，就可以判定是ICMP Flood攻擊事件的發(fā)生。（3）UDP Flood：它的原理與SYN Flood很像，攻擊設(shè)備會發(fā)送大量的UDP報文給目標(biāo)網(wǎng)絡(luò)設(shè)備和服務(wù)器，導(dǎo)致網(wǎng)絡(luò)設(shè)備和服務(wù)器忙于處理這些UDP報文而無法繼續(xù)處理正常的報文。所以從Internet發(fā)起的UDP包達(dá)到一定速率的時候 ，就可以判定是UDP Flood攻擊事件的發(fā)生。[6]（4）Smurf攻擊：這是一種很古老很古老的攻擊，已成為經(jīng)典DoS攻擊之一，攻擊者會向一個網(wǎng)段廣播一個ICMP ECHO REQUEST報文，而源IP地址指向被攻擊主機(jī)，當(dāng)一個網(wǎng)段中的所有PC都收到回顯請求后，都會向被攻擊設(shè)備響應(yīng)ICMP ECHO REPLY報文，如果這個網(wǎng)段有1000臺主機(jī),則攻擊者只要偽造一個請求報文，被攻擊機(jī)就會收到1000份響應(yīng)報文，如攻擊設(shè)備同時發(fā)送大量的類似請求，被攻擊機(jī)最終會來不及處理響應(yīng)而死機(jī)。設(shè)備WAN口收到ICMP的目的地址是廣播地址的Ping報文，認(rèn)為Smurf攻擊。（5）Ping of Death：這種攻擊是攻擊設(shè)備發(fā)送給網(wǎng)絡(luò)設(shè)備的大于65535字節(jié)數(shù)據(jù)報文。TCP/IP協(xié)議支持分片的功能，如果發(fā)送的數(shù)據(jù)包大于該條通路的MTU值（一般為1500字節(jié)），則該數(shù)據(jù)包被分拆成小于MTU值的數(shù)據(jù)報文片段。當(dāng)收到這種報文時，許多系統(tǒng)都會崩潰或死機(jī)。雖然每一片數(shù)據(jù)包不會超過65535字節(jié)，但是在當(dāng)IP分片報文重組后就可以超過這一限制。當(dāng)一個數(shù)據(jù)包長度超過65528，就可以判定為一個Ping of Death攻擊。（6）碎片包攻擊：網(wǎng)絡(luò)中為了傳送一個大的數(shù)據(jù)報文，TCP/IP協(xié)議支持分片功能，通過在IP頭中的分片中的OFFSET字段來進(jìn)行分片的標(biāo)志，接收的網(wǎng)絡(luò)設(shè)備可以根據(jù)這些IP分片OFFSET字段把報文組裝起來。目標(biāo)網(wǎng)絡(luò)設(shè)備在處理這些分片的數(shù)據(jù)報文時，會把先傳輸?shù)降姆制瑘笪木彺?，然后一直等待后續(xù)的分片報文的全部到達(dá)之后，最后把這些的報文都組合起來。在這整個過程中會消耗掉一部分資源。如果攻擊設(shè)備給目標(biāo)網(wǎng)絡(luò)設(shè)備一直只發(fā)送部分的錯誤的分片報文，被攻擊的設(shè)備便會一直等待組裝這些分片報文，一直到一個系統(tǒng)定時器超時。如果攻擊設(shè)備發(fā)送了大量的錯誤分片報文，就會消耗掉目標(biāo)設(shè)備的CPU資源，這也是一種DOS攻擊。如果從Internet主動發(fā)起的碎片包，就簡單的判定為是一個碎片包攻擊。（7）Tear drop攻擊：這也是一種碎片攻擊，發(fā)出的報文OFFSET字段相互重疊的分片報文，這種畸形數(shù)據(jù)包會造成被攻擊的設(shè)備錯誤的組合分片的報文，當(dāng)設(shè)備發(fā)現(xiàn)碎片報文，直接丟棄。（8）Fraggle攻擊：這種攻擊與Smurf攻擊很像，7號端口和19號端口9在收到UDP報文后都會產(chǎn)生類似的回應(yīng)。在7號端口收到報文后，會回應(yīng)一些收到的內(nèi)容。而當(dāng)19號端口收到UDP報文后會產(chǎn)生一串字符。它們會纏身那個很多沒有用的報文。攻擊設(shè)備會向一個網(wǎng)段廣播源IP地址為受害主機(jī)的UDP報文，使用目的端口號為7或者19。子網(wǎng)內(nèi)的每一臺主機(jī)都會向受害主機(jī)發(fā)送響應(yīng)的廢棄報文，從而引發(fā)大量廢棄報文，導(dǎo)致網(wǎng)絡(luò)的帶寬不夠；子網(wǎng)上7號端口和19號服務(wù)端口都沒打開的主機(jī)會產(chǎn)生ICMP端口不可達(dá)消息報文，使帶寬更加不夠。如果端口位7和19的服務(wù)都開著，危害性更大，會不停產(chǎn)生回應(yīng)報文。檢查進(jìn)入設(shè)備的UDP報文，如果目的端口號為7或者19，則該報文就是Fraggle攻擊。[7] 端口掃描攻擊攻擊者要攻擊網(wǎng)絡(luò)時，端口掃描工具是攻擊者不可缺少的工具。首先要對網(wǎng)絡(luò)進(jìn)行探測方式里，還有一項——端口掃描。攻擊者通過端口掃描可以知道想要攻擊的主機(jī)哪些服務(wù)是打開的，哪些服務(wù)的端口沒有打開，有哪些服務(wù)的端口是開放的，哪些服務(wù)的端口是不開放的。攻擊者一般先使用端口掃描的方式來先入侵的主機(jī)，掌握目標(biāo)主機(jī)的端口打開情況，然后再采取一些相應(yīng)的入侵措施。TCP SYN 掃描：這是一種和SYN Foold攻擊一樣的半開放式的掃描，都沒有完成TCP的三次握手，當(dāng)攻擊者發(fā)送一個SYN信息報文要和網(wǎng)絡(luò)設(shè)備建立打開一個的連接，但是網(wǎng)絡(luò)設(shè)備在等待對方的回應(yīng)。一個TCP SYN|ACK報文會表明該端口是是打開的。一個TCP RST報文會代表該端口是關(guān)著的。如果TCP SYN|ACK報文的回應(yīng)返回，攻擊者就會馬上發(fā)送一個TCP RST報文來中斷這個連接請求。FIN掃描：當(dāng)攻擊者發(fā)送一個TCP FIN報文給主機(jī)的一個個端口。如果沒有報文回應(yīng)任何報文，那么這個主機(jī)的端口服務(wù)是關(guān)閉的；當(dāng)主機(jī)回應(yīng)了一個TCP RST報文，那么就說明該主機(jī)是在這個網(wǎng)絡(luò)中，但是沒有在監(jiān)聽這個端口。 Xmas tree：當(dāng)攻擊者使用TCP報文FIN，URG和PUSH都標(biāo)記的流進(jìn)行掃描，當(dāng)攻擊者向目標(biāo)主機(jī)發(fā)送一個Fin、URG和PUSH都置位的TCP分組報文建立連接時，如果被攻擊的主機(jī)相應(yīng)端口是關(guān)閉的，那么應(yīng)該返回一個TCP RST標(biāo)志的報文。 Null掃描：攻擊者會發(fā)送一個沒有任何標(biāo)志位都沒有置位的TCP報文，如果被攻擊的目標(biāo)主機(jī)的相應(yīng)端口是不打開的話，應(yīng)該會發(fā)送回一個TCP RST數(shù)據(jù)報文。 UDP掃描：當(dāng)攻擊者用源IP地址不變，目的端口號不斷變化的報文掃描目標(biāo)設(shè)備，當(dāng)目標(biāo)的網(wǎng)絡(luò)設(shè)備回應(yīng)該端口的報文時，表明該端口是開