【正文】 （ 8） Fraggle 攻擊 ： 這種攻擊與 Smurf 攻擊 很 像。 如果從 Inter 主動(dòng) 發(fā)起 的 碎片包 ，就 簡(jiǎn)單的 判定為是一個(gè) 碎片包攻擊 。 如果攻擊 設(shè)備給目標(biāo)網(wǎng)絡(luò)設(shè)備 一直 只發(fā)送部分的 錯(cuò)誤的分片報(bào)文， 被攻擊的 設(shè)備 便會(huì)一直等待 組裝這些 分片 報(bào)文 ， 一直到一個(gè) 系統(tǒng) 定時(shí)器超時(shí) 。目標(biāo) 網(wǎng)絡(luò)設(shè)備 在處理這些分片 的數(shù)據(jù)報(bào)文 時(shí) ，會(huì)把先傳輸?shù)?的分片報(bào)文緩存，然后一直等待后續(xù)的分片報(bào)文 的 全部 到達(dá) 之 后 ， 最后把 這些 的報(bào)文都組合起來(lái)。 當(dāng)一個(gè)數(shù)據(jù)包長(zhǎng)度超過(guò) 65528，就可以判定為一個(gè) Ping of Death攻擊。 當(dāng)收到這種報(bào)文時(shí)，許多系統(tǒng)都會(huì) 崩潰或 死機(jī)。 （ 5） Ping of Death： 這種攻擊 是 攻擊設(shè)備發(fā)送給網(wǎng)絡(luò)設(shè)備 的 大于 65535 字節(jié) 數(shù)據(jù) 報(bào)文 。 [6] （ 4） Smurf攻擊 ： 這 是一 種 很 古老 很古老的 攻擊 ， 已成為經(jīng)典 DoS 攻擊 之一 ，攻擊者會(huì)向一個(gè)網(wǎng)段廣播一個(gè) ICMP ECHO REQUEST 報(bào)文，而源 IP 地址指向被攻擊主機(jī)，當(dāng) 一個(gè)網(wǎng)段中的所有 PC 都收到回顯請(qǐng)求后，都會(huì)向被攻擊設(shè)備 響應(yīng) ICMP ECHO REPLY 報(bào)文，如果這個(gè)網(wǎng)段有 1000 臺(tái)主機(jī) ,則攻擊者只要偽造一個(gè)請(qǐng)求報(bào)文，被攻擊機(jī)就會(huì)收到 1000 份響應(yīng)報(bào)文，如攻擊 設(shè)備 同時(shí)發(fā)送大量的類(lèi)似請(qǐng)求，被攻擊機(jī)最終會(huì)來(lái)不及處理響應(yīng)而 死機(jī) 。 （ 3） UDP Flood： 它的 原理與 SYN Flood 很像 ，攻擊 設(shè)備會(huì) 發(fā)送大量的 UDP浙江大學(xué)碩士學(xué)位論文 第 3 章 針對(duì)低端路由器的攻擊 26 報(bào)文給目標(biāo) 網(wǎng)絡(luò)設(shè)備 和服務(wù)器 ，導(dǎo)致 網(wǎng)絡(luò)設(shè)備 和服務(wù)器 忙于處理這些 UDP 報(bào)文而無(wú)法繼續(xù)處理正常的報(bào)文。 （ 2） ICMP Flood：攻擊者大量發(fā)送 ICMP 報(bào)文 消息 給目標(biāo)主機(jī)， 目標(biāo) PC機(jī) 會(huì)不斷的發(fā)送 回應(yīng) 請(qǐng)求的報(bào)文 ， 導(dǎo)致 目標(biāo) 網(wǎng)絡(luò)設(shè)備 CUP 過(guò)高或 負(fù)擔(dān)過(guò)重 導(dǎo)致不能處理合法的請(qǐng)求。像 TCP SYN Flood 攻擊一樣 ，利用 TCP/IP 協(xié)議的缺陷，構(gòu)造大量異常報(bào)文來(lái)消耗網(wǎng)絡(luò)設(shè)備資源的手法有很多種，接下來(lái)簡(jiǎn)單的列舉一些： （ 1） LAND 攻擊： 這 是一種典型的 攻擊 ， 攻擊者會(huì)發(fā)送 源地址和目標(biāo)地址是相同的 攻擊報(bào)文 ，當(dāng) 主機(jī) 接收到這類(lèi)數(shù)據(jù)包時(shí)， 操作系統(tǒng) 會(huì) 無(wú)法處理 這種 報(bào)文 ，或者 會(huì) 發(fā)送回應(yīng)的數(shù)據(jù)報(bào)文給自己 ，這樣會(huì) 導(dǎo)致 消耗大量的系統(tǒng) 和網(wǎng)絡(luò) 的資源， 使 被攻擊的 系統(tǒng)崩潰或死機(jī)。 這段 等待的 時(shí)間的長(zhǎng)度 被 稱(chēng)為 SYN Timeout，一般來(lái)說(shuō)這個(gè)時(shí)間是大約為30 秒 2 分鐘 左右 ；一個(gè)用戶(hù)出現(xiàn)異常 的狀態(tài)后 導(dǎo)致服務(wù)器的一個(gè)線(xiàn)程等待 幾分鐘并不是什么很大的問(wèn)題，但 是 如果有一個(gè)攻擊者大量模擬這種 異常 報(bào)文 ，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的 CPU，最后的結(jié)果往往是 TCP/IP 堆棧溢出崩潰，服務(wù)器端也將忙于處理攻擊者偽造的 TCP 連接請(qǐng)求 報(bào)文 而無(wú)暇 處理和 理睬客戶(hù)的正常請(qǐng)求，這種情況就是服務(wù)器端受到 了SYN Flood 的 攻擊。 浙江大學(xué)碩士學(xué)位論文 第 3 章 針對(duì)低端路由器的攻擊 25 （ 2） 服務(wù)器在發(fā)出 SYN+ACK 報(bào)文 應(yīng)答報(bào)文后是無(wú)法收到客戶(hù)端 用戶(hù) 的ACK 報(bào)文的（因?yàn)榈谌挝帐譄o(wú)法完成） 。 上一節(jié)解釋 了 TCP 協(xié)議中被稱(chēng)為三次握手。值得 注意 的是 ，每次重傳 時(shí)候的 等待的時(shí)間不一定 會(huì) 相同 ，其中有很大的誤差 。 浙江大學(xué)碩士學(xué)位論文 第 3 章 針對(duì)低端路由器的攻擊 24 S Y N 1 1 1 1 1 1 1 1 1 1 : 1 1 1 1 1 1 1 1 1 1S Y N 2 2 2 2 2 2 2 2 2 2 : 2 2 2 2 2 2 2 2 2 2A C K 1 1 1 1 1 1 1 1 1 2A C K 2 2 2 2 2 2 2 2 2 3報(bào) 文 段 1報(bào) 文 段 2報(bào) 文 段 3 圖 TCP 連接三次握手機(jī)制 如何利用 TCP 協(xié)議缺陷實(shí)現(xiàn) DOS 攻擊 SYN Flood 是當(dāng)前 比較 流行的 DOS 方式，它就是利用 TCP 協(xié)議缺陷，發(fā)送大量偽造的 TCP SYN 連接請(qǐng)求 報(bào) 文 ，從而使得被攻擊的設(shè)備 CPU 資源耗盡，而無(wú)法轉(zhuǎn)發(fā)正常的數(shù)據(jù)報(bào)文。 最后 發(fā)送數(shù)據(jù) 報(bào)文 。確認(rèn)信息 報(bào)文 的SYN 位 的報(bào)文 是服務(wù)器發(fā)送的 ACK 位 報(bào)文 ， ACK 位 報(bào)文 是服務(wù)器發(fā)送的 SYN 位 的報(bào)文 加 1。向客戶(hù)端表示，服務(wù)器 的 連接已經(jīng)準(zhǔn)備好連接了 ，等待客戶(hù)端的確認(rèn) 消息 后 ，這時(shí)客戶(hù)端接收到消息后，分析得到的信息 報(bào)文 ， 以 準(zhǔn)備發(fā)送確認(rèn)連接信號(hào) 消息 到服務(wù)器 端 。 第二步：服務(wù)器接收到這樣的請(qǐng)求 報(bào)文 后，查看是否是指定的端口，不然，就發(fā)送 RST=1 報(bào)文 應(yīng)答 客戶(hù)端 ，拒絕建立連接 服務(wù) 。在沒(méi)有連接中，服務(wù)器處于 監(jiān)聽(tīng) LISTEN 狀態(tài)，等待其他機(jī)器發(fā)送連接請(qǐng)求 報(bào)文 。 在 TCP 協(xié)議中 有 6 個(gè)標(biāo)志比特中四個(gè)標(biāo)志位，其中 URG 等六個(gè) FLAG 標(biāo)志位是兩個(gè)計(jì)算機(jī)數(shù)據(jù)交流的信息 的 標(biāo)志 位 。 [4] 浙江大學(xué)碩士學(xué)位論文 第 3 章 針對(duì)低端路由器的攻擊 23 典型 DOS 攻擊原理分析 TCP協(xié)議原理及連接過(guò)程 TCP（ transmission control protocol，傳輸控制協(xié)議），是用 坐 在不可靠的 網(wǎng)絡(luò) Inter 上提供可靠的、端到端的 傳輸?shù)?通訊協(xié)議。平均每星期有超過(guò) 4000 起的拒絕服務(wù)攻擊。 據(jù)美國(guó)聯(lián)邦調(diào)查局（ FBI）和美國(guó)計(jì)算機(jī)犯罪調(diào)查（ CSI）報(bào)告指出， 20xx年，美國(guó)有 30%的網(wǎng)站遭受到拒絕服務(wù)攻擊，平均一次攻擊損失超過(guò) 兩 百萬(wàn)美元。 20xx 年 5 月份， 網(wǎng)易 、 eBay 等著名網(wǎng)站遭受黑客攻擊， 網(wǎng)易 中斷服務(wù)達(dá) 3個(gè)小時(shí)， eBay被迫關(guān)閉。DOS 的攻擊方式有很多種，最基本的 DOS 攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使 CPU 超負(fù)荷， 合法用戶(hù)無(wú)法得到服務(wù)。 從網(wǎng)絡(luò)攻擊的方法和所產(chǎn)生的破壞情況來(lái)看， DOS 算是一種 很有效的 很簡(jiǎn)單 的 進(jìn)攻方式。可以隨心所欲的控制內(nèi)網(wǎng)的用戶(hù)的操作，使整個(gè)網(wǎng)絡(luò)環(huán)境更加安全。 控制用戶(hù)的服務(wù)，比如：只允許用戶(hù)上 FTP 服務(wù)器下載，不需內(nèi)網(wǎng)用戶(hù)訪(fǎng)問(wèn)一些危險(xiǎn)的網(wǎng)站。 很多攻擊都是由局域網(wǎng)內(nèi)部 發(fā)起的，有些攻擊者接入了局域網(wǎng)，利用非法的身份攻擊局域網(wǎng)內(nèi)的合法用戶(hù)，使其不能正常的訪(fǎng)問(wèn)外網(wǎng)。 顯而易見(jiàn)，中間人攻擊才是 ARP 攻擊的精髓所在。最終，普通用戶(hù)通過(guò)網(wǎng)關(guān)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)的所有業(yè)務(wù)報(bào)文，都需要經(jīng)過(guò)攻擊者進(jìn)行轉(zhuǎn)發(fā)。一方面，攻擊設(shè)備向所有客戶(hù)端欺騙自己是網(wǎng)關(guān)，所有上行流量轉(zhuǎn)發(fā)到攻擊設(shè)備；另外一方面，攻擊設(shè)備向網(wǎng)關(guān)欺騙自己是客戶(hù)端，將上行流量轉(zhuǎn)發(fā)到網(wǎng)關(guān)，然后將網(wǎng)關(guān)回應(yīng)的報(bào)文向客戶(hù)端轉(zhuǎn)發(fā)。服務(wù)器和 客戶(hù)端 之間的數(shù)據(jù)傳送被 “ 中間人 ” 做了手腳之后，就會(huì)出現(xiàn)很?chē)?yán)重的問(wèn)題，比如報(bào)文內(nèi)容被竊 聽(tīng)或者篡改等等。而且，這些網(wǎng)絡(luò)服務(wù)程序的簡(jiǎn)單安全驗(yàn)證方式也有 很多 弱點(diǎn)，很容易受到 “ 中間人 ”（ maninthemiddle） 的 這種攻擊方式的攻擊。 浙江大學(xué)碩士學(xué)位論文 第 3 章 針對(duì)低端路由器的攻擊 20 中間人攻擊 以前 的網(wǎng)絡(luò)服務(wù)程序，如 FTP 和 Tel 在 實(shí)現(xiàn)原理 和 傳輸機(jī)制 上是沒(méi)有考慮安全機(jī)制的， 最初的設(shè)計(jì)都是為了 方便通信 和 檢測(cè)網(wǎng)絡(luò) 。 受到 ARP 欺騙攻擊的設(shè)備，無(wú)法正常連接網(wǎng)關(guān)設(shè)備。 （ 3）計(jì)算機(jī)將攻擊設(shè)備誤認(rèn)為是網(wǎng)關(guān)，之后計(jì)算機(jī)要向外發(fā)送的報(bào)文都發(fā)送給了攻擊設(shè)備。 （ 1）首先，計(jì)算機(jī)（被欺騙設(shè)備）向局域網(wǎng)廣播 ARP Request 報(bào)文，請(qǐng)求網(wǎng)關(guān) 設(shè)備或者服務(wù)器的位置。當(dāng)局域網(wǎng)內(nèi)設(shè)備嘗試請(qǐng)求 IP 地址，攻擊者 為了 偽造 IP 地址與被攻擊目標(biāo) IP 相同的 Reply報(bào)文，搶先向請(qǐng)求設(shè)備應(yīng)答，造成請(qǐng)求設(shè)備的 ARP 表項(xiàng)中寫(xiě)入錯(cuò)誤的 MAC 地址。如果是網(wǎng)關(guān)設(shè)備進(jìn)行了 ARP 表項(xiàng) 更新，會(huì)導(dǎo)致計(jì)算機(jī) A 無(wú)法正常連接外部網(wǎng)絡(luò) ；另一個(gè)方面，計(jì)算機(jī) A 的操作系統(tǒng)也會(huì)頻繁出現(xiàn) IP 沖突的提示，影響正常操作。 網(wǎng) 關(guān)攻 擊 設(shè) 備計(jì) 算 機(jī) A原 來(lái) 計(jì) 算 機(jī) A 的地 址 是4 4 4 4 . 4 4 4 4 . 4 4 4 4發(fā) 送 源 I P 和 目 的 I P相 同 的 免 費(fèi) A R P 報(bào) 文我 是 計(jì) 算 機(jī) A , 我 的地 址 是4 4 4 4 . 4 4 4 4 . 4 4 4 4我 的 地 址 是3 3 3 3 , 3 3 3 3 , 3 3 3 3我 怎 么 斷 網(wǎng) 了 ，什 么 地 址 都 P I N G 不 通 圖 免費(fèi) ARP 攻擊原理圖 攻擊 設(shè)備 定時(shí)向局域網(wǎng) 內(nèi) 發(fā)送免費(fèi) ARP 報(bào)文， 源 IP 地址和目的 IP 地址均為計(jì)算機(jī) A 的 IP。 免費(fèi) ARP攻擊 免費(fèi) ARP 攻擊 ，也是一種常見(jiàn)的攻擊手段。 浙江大學(xué)碩士學(xué)位論文 第 3 章 針對(duì)低端路由器的攻擊 18 同時(shí)，構(gòu)造出的大量 ARP Request 報(bào)文也能瞬間將設(shè)備 MAC 地址表占滿(mǎn)。 ARP 報(bào)文通常需要設(shè)備的 CPU 進(jìn)行處理和轉(zhuǎn)發(fā)。至此一個(gè)完整的 ARP 交互過(guò)程順利完成。免費(fèi) ARP 設(shè)計(jì) 的初衷是避免沖突，卻成為了許多惡意軟件的主要攻擊手段之一。比如 像有些 路由器，設(shè)置端口綁定后，是通過(guò)發(fā)送單播報(bào)文的方式下發(fā) ARP Request 報(bào)文的。 ARP Request 和 ARP Reply 報(bào)文 是 通過(guò)協(xié)議中的 Opcode 進(jìn)行區(qū)別， ARP 浙江大學(xué)碩士學(xué)位論文 第 3 章 針對(duì)低端路由器的攻擊 16 Request 的 OP 位為 1， ARP Reply的 OP 位為 2。 ARP 協(xié)議用于將網(wǎng)絡(luò)中的 IP 地址解析為的硬件 的 MAC 地址，以保證通信的順利進(jìn)行。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的 MAC 地址。 浙江大學(xué)碩士學(xué)位論文 第 3 章 針對(duì)低端路由器的攻擊 15 IP 數(shù)據(jù)包常通過(guò)以太網(wǎng)發(fā)送，以太網(wǎng)設(shè)備并不識(shí)別 32 位 IP 地址，它們是根據(jù) 48 位以太網(wǎng)地址傳輸以太網(wǎng) 數(shù)據(jù) 報(bào)文 的 。其實(shí)，ARP 中間人攻擊最 嚴(yán)重 危害不僅僅是信息的泄漏，而是充當(dāng)攻擊者的那臺(tái) PC 轉(zhuǎn)發(fā)性能畢竟有限，無(wú)法及時(shí)處理整個(gè) 局域網(wǎng) 報(bào)文轉(zhuǎn)發(fā)，導(dǎo)致 局域網(wǎng) 內(nèi)其他客戶(hù)端 PC 頻頻掉線(xiàn) 。 內(nèi)網(wǎng)的 ARP 攻擊 ARP 攻擊的背景 ARP 攻擊的問(wèn)題大概是從 20xx 年 開(kāi)始的 ，在國(guó)內(nèi)，尤其是網(wǎng) 吧，大規(guī)模爆發(fā)。 （ 3）來(lái)自外網(wǎng)的攻擊：主要是 DOS 攻擊和端口掃描攻擊， DOS 攻擊會(huì)消耗網(wǎng)絡(luò)設(shè)備的 CPU，使網(wǎng)絡(luò)設(shè)備癱瘓，導(dǎo)致不能轉(zhuǎn)發(fā)正常的報(bào)文。嚴(yán)重的 ARP 攻擊，能盜取用戶(hù)的個(gè)人信息，比如銀行的賬號(hào)、密碼等。運(yùn)用 SmartBits 構(gòu)造模擬報(bào)文，用抓包工具解析報(bào)文是了解攻擊和破解攻擊的必要手段。正是本課題的主要目的。在通信領(lǐng)域一般都用 SmartBits 這個(gè)設(shè)備來(lái)模擬攻擊的報(bào)文，然后用抓包工具把攻擊的 報(bào)文 抓下來(lái)進(jìn)行分析，如圖 就是通過(guò)抓包工具抓下來(lái)的 TCP 報(bào)文結(jié)構(gòu)，與 上幾節(jié)說(shuō)明的報(bào)文結(jié)構(gòu)可以一一對(duì)應(yīng)。 浙江大學(xué)碩士學(xué)位論文 第 2 章 數(shù)據(jù)通信領(lǐng)域安全測(cè)試方法 12 圖 交換機(jī)硬件 圖 路由器硬件 怎么樣模擬攻 擊報(bào)文 要了解分析網(wǎng)絡(luò)攻擊的手段和方法，必須模擬網(wǎng)絡(luò)的攻擊報(bào)文。一般的交換機(jī)交換數(shù)據(jù)報(bào)文都是通過(guò)簡(jiǎn)單的芯片轉(zhuǎn)發(fā)的，但是上升到三層的轉(zhuǎn)發(fā)，一般就需要 CPU 轉(zhuǎn)發(fā)了，這就是路由器轉(zhuǎn)發(fā)。 只在鏈路 層轉(zhuǎn)發(fā)的設(shè)備就歸為交換機(jī)類(lèi)，如 圖所示，交換機(jī)其實(shí)最主要的模塊就是一個(gè)轉(zhuǎn)發(fā)芯片， 芯片是全硬件的，一般不需要用軟件來(lái)控制。 把圖 中的 16 進(jìn)制數(shù)轉(zhuǎn)化成 2 進(jìn)制就是在網(wǎng)絡(luò)中傳輸?shù)?01 代碼， 這 就是報(bào)文在網(wǎng)絡(luò)中傳輸?shù)脑?。 圖 經(jīng)過(guò)解析后的 TCP 報(bào)文 如圖 就是 圖 在底層傳輸?shù)?16 進(jìn)制數(shù)據(jù)。 （ 4） 窗口大小 ： 浙江大學(xué)碩士學(xué)位論文 第 2 章 數(shù)據(jù)通信領(lǐng)域安全測(cè)試方法 10 （ 5） 其他的字段， 構(gòu)造報(bào)文 工具都會(huì)自動(dòng)生成。 S Y N ： 同步序號(hào)用來(lái)發(fā)起一個(gè)連接。 P S H ： 接收方應(yīng)該盡快將這個(gè)報(bào)文段交給應(yīng)用層。 （ 3） 6 個(gè)標(biāo)志比特 ： U R G ： 緊急指針 。 浙江大學(xué)碩士學(xué)位論文 第 2 章 數(shù)據(jù)通信領(lǐng)域安全測(cè)試方法 9 I P 首 部 T C P 首 部 T C P 數(shù) 據(jù) 圖 TCP 數(shù)據(jù)在 IP 中的封裝 3 2 位 序 列 號(hào)1 6 位 源 端 口T C P 數(shù) 據(jù)3 2 位 確 認(rèn) 序 列 號(hào)選 項(xiàng)數(shù) 據(jù)1 6 位 目 的 端 口1 6 位 窗 口 大 小1 6 位 校 驗(yàn) 和 1 6 位 緊 急 指 針T C P 數(shù) 據(jù)ACKPSHRSTSYNFINURG 圖 TCP 包首部 （ 1） 源