监听某个不常用端口,假冒登录界面获取帐号和口令等)。
3. 请解释下列各种“恶意攻击DoS”的方式:
Ping of Death、Teardrop、 SYN Flood、 Land Attack、 Smurf Attack、 DDoS攻击
1)Ping of Death
在早期操作系统TCP/IP协议栈实现中,对单个IP报文的处理过程中通常是设置有一定 大小的缓冲区(65535Byte),以应付IP分片的情况。接收数据包时,网络层协议要对IP分 片进行重组。但如果重组后的数据报文长度超过了IP报文缓冲区的上限时,就会出现溢出 现象,导致TCP/IP协议栈的崩溃。 2)泪滴(Teardrop)
协议栈在处理IP分片时,要对收到的相同ID的分片进行重组,这时免不了出现一些重 叠现象,分片重组程序要对此进行处理。对一个分片的标识,可以用offset表示其在整个包 中的开始偏移,用end表示其结束偏移。对于其他一些重叠情况,分片重组程序都能很好地 处理,但对于一种特殊情况,分片重组程序就会出现致命失误,即第二个分片的位置整个 包含在第一个分片之内。
分片重组程序中,当发现offset2小于end1时,会将offset2调整到和end1相同,然后更改 len2:len2=end2-offset2,在这里,分片重组程序想当然地认为分片2的末尾偏移肯定是大 于其起始偏移的,但在这种情况下,分片2的新长度len2变成了一个负值,这在随后的处理 过程中将会产生致命的操作失误。 3)SYN Flood
一个正常的TCP连接,需要经过三次握手过程才能真正建立。但是如果客户端不按常 规办事(假定源IP根本就是一个不会产生响应的虚假地址),并不向服务器最终返回三次 握手所必须的ACK包,这种情况下服务器对于未完成连接队列中的每个连接表项都设置一 个超时定时器,一旦超时时间到,则丢弃该表项。
但黑客并不会只发送一次这样的SYN包,如果他源源不断发送,每个SYN包的源IP都 是随机产生的一些虚假地址(导致受害者不可能再进行IP过滤或追查攻击源),受害者的 目标端口未完成队列就不断壮大,因为超时丢弃总没有新接收的速度快,所以直到该队列 满为止,正常的连接请求将不会得到响应。 4)Land Attack
如果向Windows 95的某开放端口(例如139端口)发送一个包含SYN标识的特殊的TCP 数据包,将导致目标系统立即崩溃。做法很简单,就是设置该SYN包的源IP为目标主机的 IP,源端口为目标主机受攻击的端口。 5)Smurf Attack
黑客以受害主机的名义向某个网络地址发送ICMP echo请求广播,收到该ICMPecho请求的网络中的所有主机都会向“无辜”的受害主机返回ICMP echo响应,使得受害主机应接不暇,导致其对正常的网络应用拒绝服务。 6)DDoS攻击
DDoS攻击是DoS攻击的一种延伸,它之所以威力巨大,是因为其协同攻击的能力。黑客使用DDoS工具,往往可以同时控制成百上千台攻攻击源,向某个单点目标发动攻击,它还可以将各种传统的DoS攻击手段结合使用。
4. 了解下列各种攻击方式:
5
UDP Flood、 Fraggle Attack、电子邮件炸弹、缓冲区溢出攻击、社交工程
1)UDP Flood
有些系统在安装后,没有对缺省配置进行必要的修改,使得一些容易遭受攻击的服务端口对外敞开着。
Echo服务(TCP7和UDP7)对接收到的每个字符进行回送;Chargen (TCP19和UDP19)对每个接收到的数据包都返回一些随机生成的字符(如果是与Chargen服务在TCP19端口建立了连接,它会不断返回乱字符直到连接中断)。 黑客一般会选择两个远程目标,生成伪造的UDP数据包,目的地是一台主机的Chargen服务端口,来源地假冒为另一台主机的Echo服务端口。这样,第一台主机上的Cha