最近有網(wǎng)友想了解下《網(wǎng)絡(luò)攻擊原理與技術(shù)》這本書,所以學(xué)習(xí)啦小編就整理了相關(guān)資料分享給大家,具體內(nèi)容如下.希望大家參考參考!!!

　　《網(wǎng)絡(luò)攻擊原理與技術(shù)》

　　基本信息

　　作 者 王航

　　頁 數(shù) 430

　　定 價 43.00元

　　出版社 科學(xué)出版社

　　出版時間 2004-4

　　裝 幀 平裝

　　ISBN 9787030127396

　　內(nèi)容介紹

　　本書講述了利用計算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊和入侵的原理及相關(guān)技術(shù)，從整體結(jié)構(gòu)上分為兩個部分：第1章至第8章為技術(shù)篇，講述各種流行的網(wǎng)絡(luò)攻擊及相關(guān)的防御對策，包括用于收集目標(biāo)信息的網(wǎng)絡(luò)調(diào)查技術(shù)，用于非法獲取或提升目標(biāo)系統(tǒng)訪問權(quán)限的口令破解、系統(tǒng)后門、緩沖區(qū)溢出和格式化字符串攻擊，以及用于破壞目標(biāo)系統(tǒng)可用性的拒絕服務(wù)攻擊等，對常見的安全漏洞和不安全編程問題進(jìn)行了細(xì)致的分析，在此基礎(chǔ)上介紹了一些常用的工具軟件和Windows系統(tǒng)的取證技術(shù);第9章至第11章為應(yīng)用篇，講述針對各種實際系統(tǒng)的攻擊方法，介紹了針對Windows，9x/NT/200O/XP、Unix、Novell Netware操作系統(tǒng)的攻擊，分析了利用遠(yuǎn)程訪問破壞網(wǎng)絡(luò)設(shè)備和訪問控制機(jī)制的網(wǎng)絡(luò)攻擊方法，最后講述了如何攻擊常見的應(yīng)用軟件，如遠(yuǎn)程控制軟件、Web服務(wù)軟件、瀏覽器、郵件客戶端以及IRC軟件等。在介紹各種攻擊方法的同時，作者也給出了一些相關(guān)的防范措施和安全建議，并列舉了詳細(xì)的參考資料和文獻(xiàn)，供讀者參考。

　　本書可作為計算機(jī)、通信、信息安全、密碼學(xué)等專業(yè)的本科生、研究生的參考教材，也可供從事相關(guān)領(lǐng)域工作的科研和工程技術(shù)人員參考。

　　下面學(xué)習(xí)啦小編就再給大家介紹下常見的網(wǎng)絡(luò)攻擊原理

　　1.1 TCP SYN拒絕服務(wù)攻擊

　　一般情況下，一個TCP連接的建立需要經(jīng)過三次握手的過程，即：

　　1、 建立發(fā)起者向目標(biāo)計算機(jī)發(fā)送一個TCP SYN報文;

　　2、目標(biāo)計算機(jī)收到這個SYN報文后，在內(nèi)存中創(chuàng)建TCP連接控制塊(TCB)，然后向發(fā)起者回送一個TCP ACK報文，等待發(fā)起者的回應(yīng);

　　3、 發(fā)起者收到TCP ACK報文后，再回應(yīng)一個ACK報文，這樣TCP連接就建立起來了。

　　利用這個過程，一些惡意的攻擊者可以進(jìn)行所謂的TCP SYN拒絕服務(wù)攻擊：

　　1、 攻擊者向目標(biāo)計算機(jī)發(fā)送一個TCP SYN報文;

　　2、目標(biāo)計算機(jī)收到這個報文后，建立TCP連接控制結(jié)構(gòu)(TCB)，并回應(yīng)一個ACK，等待發(fā)起者的回應(yīng);

　　3、而發(fā)起者則不向目標(biāo)計算機(jī)回應(yīng)ACK報文，這樣導(dǎo)致目標(biāo)計算機(jī)一致處于等待狀態(tài)。

　　可以看出，目標(biāo)計算機(jī)如果接收到大量的TCP SYN報文，而沒有收到發(fā)起者的第三次ACK回應(yīng)，會一直等待，處于這樣尷尬狀態(tài)的半連接如果很多，則會把目標(biāo)計算機(jī)的資源(TCB控制結(jié)構(gòu)，TCB，一般情況下是有限的)耗盡，而不能響應(yīng)正常的TCP連接請求。

　　1.2 ICMP洪水

　　正常情況下，為了對網(wǎng)絡(luò)進(jìn)行診斷，一些診斷程序，比如PING等，會發(fā)出ICMP響應(yīng)請求報文(ICMP ECHO)，接收計算機(jī)接收到ICMP ECHO后，會回應(yīng)一個ICMP ECHO Reply報文。而這個過程是需要CPU處理的，有的情況下還可能消耗掉大量的資源，比如處理分片的時候。這樣如果攻擊者向目標(biāo)計算機(jī)發(fā)送大量的ICMP ECHO報文(產(chǎn)生ICMP洪水)，則目標(biāo)計算機(jī)會忙于處理這些ECHO報文，而無法繼續(xù)處理其它的網(wǎng)絡(luò)數(shù)據(jù)報文，這也是一種拒絕服務(wù)攻擊(DOS)。

　　1.3 UDP洪水

　　原理與ICMP洪水類似，攻擊者通過發(fā)送大量的UDP報文給目標(biāo)計算機(jī)，導(dǎo)致目標(biāo)計算機(jī)忙于處理這些UDP報文而無法繼續(xù)處理正常的報文。

　　1.4 端口掃描

　　根據(jù)TCP協(xié)議規(guī)范，當(dāng)一臺計算機(jī)收到一個TCP連接建立請求報文(TCP SYN)的時候，做這樣的處理：

　　1、 如果請求的TCP端口是開放的，則回應(yīng)一個TCP ACK報文，并建立TCP連接控制結(jié)構(gòu)(TCB);

　　2、 如果請求的TCP端口沒有開放，則回應(yīng)一個TCP RST(TCP頭部中的RST標(biāo)志設(shè)為1)報文，告訴發(fā)起計算機(jī)，該端口沒有開放。

　　相應(yīng)地，如果IP協(xié)議棧收到一個UDP報文，做如下處理：

　　1、如果該報文的目標(biāo)端口開放，則把該UDP報文送上層協(xié)議(UDP)處理，不回應(yīng)任何報文(上層協(xié)議根據(jù)處理結(jié)果而回應(yīng)的報文例外);

　　2、如果該報文的目標(biāo)端口沒有開放，則向發(fā)起者回應(yīng)一個ICMP不可達(dá)報文，告訴發(fā)起者計算機(jī)該UDP報文的端口不可達(dá)。

　　利用這個原理，攻擊者計算機(jī)便可以通過發(fā)送合適的報文，判斷目標(biāo)計算機(jī)哪些TCP或UDP端口是開放的，過程如下：

　　1、 發(fā)出端口號從0開始依次遞增的TCP SYN或UDP報文(端口號是一個16比特的數(shù)字，這樣最大為65535，數(shù)量很有限);

　　2、如果收到了針對這個TCP報文的RST報文，或針對這個UDP報文的ICMP不可達(dá)報文，則說明這個端口沒有開放;

　　3、 相反，如果收到了針對這個TCP SYN報文的ACK報文，或者沒有接收到任何針對該UDP報文的ICMP報文，則說明該TCP端口是開放的，UDP端口可能開放(因為有的實現(xiàn)中可能不回應(yīng)ICMP不可達(dá)報文，即使該UDP端口沒有開放)。

　　這樣繼續(xù)下去，便可以很容易的判斷出目標(biāo)計算機(jī)開放了哪些TCP或UDP端口，然后針對端口的具體數(shù)字，進(jìn)行下一步攻擊，這就是所謂的端口掃描攻擊。

　　1.5 分片IP報文攻擊

　　為了傳送一個大的IP報文，IP協(xié)議棧需要根據(jù)鏈路接口的MTU對該IP報文進(jìn)行分片，通過填充適當(dāng)?shù)腎P頭中的分片指示字段，接收計算機(jī)可以很容易的把這些IP分片報文組裝起來。

　　目標(biāo)計算機(jī)在處理這些分片報文的時候，會把先到的分片報文緩存起來，然后一直等待后續(xù)的分片報文，這個過程會消耗掉一部分內(nèi)存，以及一些IP協(xié)議棧的數(shù)據(jù)結(jié)構(gòu)。如果攻擊者給目標(biāo)計算機(jī)只發(fā)送一片分片報文，而不發(fā)送所有的分片報文，這樣攻擊者計算機(jī)便會一直等待(直到一個內(nèi)部計時器到時)，如果攻擊者發(fā)送了大量的分片報文，就會消耗掉目標(biāo)計算機(jī)的資源，而導(dǎo)致不能相應(yīng)正常的IP報文，這也是一種DOS攻擊。

　　1.6 SYN比特和FIN比特同時設(shè)置

　　在TCP報文的報頭中，有幾個標(biāo)志字段：

　　1、 SYN：連接建立標(biāo)志，TCP SYN報文就是把這個標(biāo)志設(shè)置為1，來請求建立連接;

　　2、 ACK：回應(yīng)標(biāo)志，在一個TCP連接中，除了第一個報文(TCP SYN)外，所有報文都設(shè)置該字段，作為對上一個報文的相應(yīng);

　　3、 FIN：結(jié)束標(biāo)志，當(dāng)一臺計算機(jī)接收到一個設(shè)置了FIN標(biāo)志的TCP報文后，會拆除這個TCP連接;

　　4、 RST：復(fù)位標(biāo)志，當(dāng)IP協(xié)議棧接收到一個目標(biāo)端口不存在的TCP報文的時候，會回應(yīng)一個RST標(biāo)志設(shè)置的報文;

　　5、 PSH：通知協(xié)議棧盡快把TCP數(shù)據(jù)提交給上層程序處理。

　　正常情況下，SYN標(biāo)志(連接請求標(biāo)志)和FIN標(biāo)志(連接拆除標(biāo)志)是不能同時出現(xiàn)在一個TCP報文中的。而且RFC也沒有規(guī)定IP協(xié)議棧如何處理這樣的畸形報文，因此，各個操作系統(tǒng)的協(xié)議棧在收到這樣的報文后的處理方式也不同，攻擊者就可以利用這個特征，通過發(fā)送SYN和FIN同時設(shè)置的報文，來判斷操作系統(tǒng)的類型，然后針對該操作系統(tǒng)，進(jìn)行進(jìn)一步的攻擊。

　　1.7 沒有設(shè)置任何標(biāo)志的TCP報文攻擊

　　正常情況下，任何TCP報文都會設(shè)置SYN，F(xiàn)IN，ACK，RST，PSH五個標(biāo)志中的至少一個標(biāo)志，第一個TCP報文(TCP連接請求報文)設(shè)置SYN標(biāo)志，后續(xù)報文都設(shè)置ACK標(biāo)志。有的協(xié)議?；谶@樣的假設(shè)，沒有針對不設(shè)置任何標(biāo)志的TCP報文的處理過程，因此，這樣的協(xié)議棧如果收到了這樣的報文，可能會崩潰。攻擊者利用了這個特點，對目標(biāo)計算機(jī)進(jìn)行攻擊。

　　1.8 設(shè)置了FIN標(biāo)志卻沒有設(shè)置ACK標(biāo)志的TCP報文攻擊

　　正常情況下，ACK標(biāo)志在除了第一個報文(SYN報文)外，所有的報文都設(shè)置，包括TCP連接拆除報文(FIN標(biāo)志設(shè)置的報文)。但有的攻擊者卻可能向目標(biāo)計算機(jī)發(fā)送設(shè)置了FIN標(biāo)志卻沒有設(shè)置ACK標(biāo)志的TCP報文，這樣可能導(dǎo)致目標(biāo)計算機(jī)崩潰。

　　1.9 死亡之PING

　　TCP/IP規(guī)范要求IP報文的長度在一定范圍內(nèi)(比如，0-64K)，但有的攻擊計算機(jī)可能向目標(biāo)計算機(jī)發(fā)出大于64K長度的PING報文，導(dǎo)致目標(biāo)計算機(jī)IP協(xié)議棧崩潰。

　　1.10 地址猜測攻擊

　　跟端口掃描攻擊類似，攻擊者通過發(fā)送目標(biāo)地址變化的大量的ICMP ECHO報文，來判斷目標(biāo)計算機(jī)是否存在。如果收到了對應(yīng)的ECMP ECHO REPLY報文，則說明目標(biāo)計算機(jī)是存在的，便可以針對該計算機(jī)進(jìn)行下一步的攻擊。

　　1.11 淚滴攻擊

　　對于一些大的IP包，需要對其進(jìn)行分片傳送，這是為了迎合鏈路層的MTU(最大傳輸單元)的要求。比如，一個4500字節(jié)的IP包，在MTU為1500的鏈路上傳輸?shù)臅r候，就需要分成三個IP包。

　　在IP報頭中有一個偏移字段和一個分片標(biāo)志(MF)，如果MF標(biāo)志設(shè)置為1，則表面這個IP包是一個大IP包的片斷，其中偏移字段指出了這個片斷在整個IP包中的位置。例如，對一個4500字節(jié)的IP包進(jìn)行分片(MTU為1500)，則三個片斷中偏移字段的值依次為：0，1500，3000。這樣接收端就可以根據(jù)這些信息成功的組裝該IP包。

　　如果一個攻擊者打破這種正常情況，把偏移字段設(shè)置成不正確的值，即可能出現(xiàn)重合或斷開的情況，就可能導(dǎo)致目標(biāo)操作系統(tǒng)崩潰。比如，把上述偏移設(shè)置為0，1300，3000。這就是所謂的淚滴攻擊。

　　1.12 帶源路由選項的IP報文

　　為了實現(xiàn)一些附加功能，IP協(xié)議規(guī)范在IP報頭中增加了選項字段，這個字段可以有選擇的攜帶一些數(shù)據(jù)，以指明中間設(shè)備(路由器)或最終目標(biāo)計算機(jī)對這些IP報文進(jìn)行額外的處理。

　　源路由選項便是其中一個，從名字中就可以看出，源路由選項的目的，是指導(dǎo)中間設(shè)備(路由器)如何轉(zhuǎn)發(fā)該數(shù)據(jù)報文的，即明確指明了報文的傳輸路徑。比如，讓一個IP報文明確的經(jīng)過三臺路由器R1，R2，R3，則可以在源路由選項中明確指明這三個路由器的接口地址，這樣不論三臺路由器上的路由表如何，這個IP報文就會依次經(jīng)過R1，R2，R3。而且這些帶源路由選項的IP報文在傳輸?shù)倪^程中，其源地址不斷改變，目標(biāo)地址也不斷改變，因此，通過合適的設(shè)置源路由選項，攻擊者便可以偽造一些合法的IP地址，而蒙混進(jìn)入網(wǎng)絡(luò)。

　　1.13 帶記錄路由選項的IP報文

　　記錄路由選項也是一個IP選項，攜帶了該選項的IP報文，每經(jīng)過一臺路由器，該路由器便把自己的接口地址填在選項字段里面。這樣這些報文在到達(dá)目的地的時候，選項數(shù)據(jù)里面便記錄了該報文經(jīng)過的整個路徑。

　　通過這樣的報文可以很容易的判斷該報文經(jīng)過的路徑，從而使攻擊者可以很容易的尋找其中的攻擊弱點。

　　1.14 未知協(xié)議字段的IP報文

　　在IP報文頭中，有一個協(xié)議字段，這個字段指明了該IP報文承載了何種協(xié)議，比如，如果該字段值為1，則表明該IP報文承載了ICMP報文，如果為6，則是TCP，等等。目前情況下，已經(jīng)分配的該字段的值都是小于100的，因此，一個帶大于100的協(xié)議字段的IP報文，可能就是不合法的，這樣的報文可能對一些計算機(jī)操作系統(tǒng)的協(xié)議棧進(jìn)行破壞。

　　1.15 IP地址欺騙

　　一般情況下，路由器在轉(zhuǎn)發(fā)報文的時候，只根據(jù)報文的目的地址查路由表，而不管報文的源地址是什么，因此，這樣就可能面臨一種危險：如果一個攻擊者向一臺目標(biāo)計算機(jī)發(fā)出一個報文，而把報文的源地址填寫為第三方的一個IP地址，這樣這個報文在到達(dá)目標(biāo)計算機(jī)后，目標(biāo)計算機(jī)便可能向毫無知覺的第三方計算機(jī)回應(yīng)。這便是所謂的IP地址欺騙攻擊。

　　比較著名的SQL Server蠕蟲病毒，就是采用了這種原理。該病毒(可以理解為一個攻擊者)向一臺運行SQL Server解析服務(wù)的服務(wù)器發(fā)送一個解析服務(wù)的UDP報文，該報文的源地址填寫為另外一臺運行SQL Server解析程序(SQL Server 2000以后版本)的服務(wù)器，這樣由于SQL Server 解析服務(wù)的一個漏洞，就可能使得該UDP報文在這兩臺服務(wù)器之間往復(fù)，最終導(dǎo)致服務(wù)器或網(wǎng)絡(luò)癱瘓。

　　1.16 WinNuke攻擊

　　NetBIOS作為一種基本的網(wǎng)絡(luò)資源訪問接口，廣泛的應(yīng)用于文件共享，打印共享，進(jìn)程間通信(IPC)，以及不同操作系統(tǒng)之間的數(shù)據(jù)交換。一般情況下，NetBIOS是運行在LLC2鏈路協(xié)議之上的，是一種基于組播的網(wǎng)絡(luò)訪問接口。為了在TCP/IP協(xié)議棧上實現(xiàn)NetBIOS，RFC規(guī)定了一系列交互標(biāo)準(zhǔn)，以及幾個常用的TCP/UDP端口：

　　139：NetBIOS會話服務(wù)的TCP端口;

　　137：NetBIOS名字服務(wù)的UDP端口;

　　136：NetBIOS數(shù)據(jù)報服務(wù)的UDP端口。

　　WINDOWS操作系統(tǒng)的早期版本(WIN95/98/NT)的網(wǎng)絡(luò)服務(wù)(文件共享等)都是建立在NetBIOS之上的，因此，這些操作系統(tǒng)都開放了139端口(最新版本的WINDOWS 2000/XP/2003等，為了兼容，也實現(xiàn)了NetBIOS over TCP/IP功能，開放了139端口)。

　　WinNuke攻擊就是利用了WINDOWS操作系統(tǒng)的一個漏洞，向這個139端口發(fā)送一些攜帶TCP帶外(OOB)數(shù)據(jù)報文，但這些攻擊報文與正常攜帶OOB數(shù)據(jù)報文不同的是，其指針字段與數(shù)據(jù)的實際位置不符，即存在重合，這樣WINDOWS操作系統(tǒng)在處理這些數(shù)據(jù)的時候，就會崩潰。

　　1.17 Land攻擊

　　LAND攻擊利用了TCP連接建立的三次握手過程，通過向一個目標(biāo)計算機(jī)發(fā)送一個TCP SYN報文(連接建立請求報文)而完成對目標(biāo)計算機(jī)的攻擊。與正常的TCP SYN報文不同的是，LAND攻擊報文的源IP地址和目的IP地址是相同的，都是目標(biāo)計算機(jī)的IP地址。這樣目標(biāo)計算機(jī)接收到這個SYN報文后，就會向該報文的源地址發(fā)送一個ACK報文，并建立一個TCP連接控制結(jié)構(gòu)(TCB)，而該報文的源地址就是自己，因此，這個ACK報文就發(fā)給了自己。這樣如果攻擊者發(fā)送了足夠多的SYN報文，則目標(biāo)計算機(jī)的TCB可能會耗盡，最終不能正常服務(wù)。這也是一種DOS攻擊。

　　1.18 Script/ActiveX攻擊

　　Script是一種可執(zhí)行的腳本，它一般由一些腳本語言寫成，比如常見的JAVA SCRIPT，VB SCRIPT等。這些腳本在執(zhí)行的時候，需要一個專門的解釋器來翻譯，翻譯成計算機(jī)指令后，在本地計算機(jī)上運行。這種腳本的好處是，可以通過少量的程序?qū)懽鳎瓿纱罅康墓δ堋?/p>

　　這種SCRIPT的一個重要應(yīng)用就是嵌入在WEB頁面里面，執(zhí)行一些靜態(tài)WEB頁面標(biāo)記語言(HTML)無法完成的功能，比如本地計算，數(shù)據(jù)庫查詢和修改，以及系統(tǒng)信息的提取等。這些腳本在帶來方便和強(qiáng)大功能的同時，也為攻擊者提供了方便的攻擊途徑。如果攻擊者寫一些對系統(tǒng)有破壞的SCRIPT，然后嵌入在WEB頁面中，一旦這些頁面被下載到本地，計算機(jī)便以當(dāng)前用戶的權(quán)限執(zhí)行這些腳本，這樣，當(dāng)前用戶所具有的任何權(quán)限，SCRIPT都可以使用，可以想象這些惡意的SCRIPT的破壞程度有多強(qiáng)。這就是所謂的SCRIPT攻擊。

　　ActiveX是一種控件對象，它是建立在MICROSOFT的組件對象模型(COM)之上的，而COM則幾乎是Windows操作系統(tǒng)的基礎(chǔ)結(jié)構(gòu)。可以簡單的理解，這些控件對象是由方法和屬性構(gòu)成的，方法即一些操作，而屬性則是一些特定的數(shù)據(jù)。這種控件對象可以被應(yīng)用程序加載，然后訪問其中的方法或?qū)傩?，以完成一些特定的功能?？梢哉f，COM提供了一種二進(jìn)制的兼容模型(所謂二進(jìn)制兼容，指的是程序模塊與調(diào)用的編譯環(huán)境，甚至操作系統(tǒng)沒有關(guān)系)。但需要注意的是，這種對象控件不能自己執(zhí)行，因為它沒有自己的進(jìn)程空間，而只能由其它進(jìn)程加載，并調(diào)用其中的方法和屬性，這時候，這些控件便在加載進(jìn)程的進(jìn)程空間運行，類似與操作系統(tǒng)的可加載模塊，比如DLL庫。

　　ActiveX控件可以嵌入在WEB頁面里面，當(dāng)瀏覽器下載這些頁面到本地后，相應(yīng)地也下載了嵌入在其中的ActiveX控件，這樣這些控件便可以在本地瀏覽器進(jìn)程空間中運行(ActiveX空間沒有自己的進(jìn)程空間，只能由其它進(jìn)程加載并調(diào)用)，因此，當(dāng)前用戶的權(quán)限有多大，ActiveX的破壞性便有多大。如果一個惡意的攻擊者編寫一個含有惡意代碼的ActiveX控件，然后嵌入在WEB頁面中，被一個瀏覽用戶下載后執(zhí)行，其破壞作用是非常大的。這便是所謂的ActiveX攻擊。

　　1.19 Smurf攻擊

　　ICMP ECHO請求包用來對網(wǎng)絡(luò)進(jìn)行診斷，當(dāng)一臺計算機(jī)接收到這樣一個報文后，會向報文的源地址回應(yīng)一個ICMP ECHO REPLY。一般情況下，計算機(jī)是不檢查該ECHO請求的源地址的，因此，如果一個惡意的攻擊者把ECHO的源地址設(shè)置為一個廣播地址，這樣計算機(jī)在恢復(fù)REPLY的時候，就會以廣播地址為目的地址，這樣本地網(wǎng)絡(luò)上所有的計算機(jī)都必須處理這些廣播報文。如果攻擊者發(fā)送的ECHO 請求報文足夠多，產(chǎn)生的REPLY廣播報文就可能把整個網(wǎng)絡(luò)淹沒。這就是所謂的smurf攻擊。

　　除了把ECHO報文的源地址設(shè)置為廣播地址外，攻擊者還可能把源地址設(shè)置為一個子網(wǎng)廣播地址，這樣，該子網(wǎng)所在的計算機(jī)就可能受影響。

　　1.20 虛擬終端(VTY)耗盡攻擊

　　這是一種針對網(wǎng)絡(luò)設(shè)備的攻擊，比如路由器，交換機(jī)等。這些網(wǎng)絡(luò)設(shè)備為了便于遠(yuǎn)程管理，一般設(shè)置了一些TELNET用戶界面，即用戶可以通過TELNET到該設(shè)備上，對這些設(shè)備進(jìn)行管理。

　　一般情況下，這些設(shè)備的TELNET用戶界面?zhèn)€數(shù)是有限制的，比如，5個或10個等。這樣，如果一個攻擊者同時同一臺網(wǎng)絡(luò)設(shè)備建立了5個或10個TELNET連接，這些設(shè)備的遠(yuǎn)程管理界面便被占盡，這樣合法用戶如果再對這些設(shè)備進(jìn)行遠(yuǎn)程管理，則會因為TELNET連接資源被占用而失敗。

　　1.21 路由協(xié)議攻擊

　　網(wǎng)絡(luò)設(shè)備之間為了交換路由信息，常常運行一些動態(tài)的路由協(xié)議，這些路由協(xié)議可以完成諸如路由表的建立，路由信息的分發(fā)等功能。常見的路由協(xié)議有RIP，OSPF，IS-IS，BGP等。這些路由協(xié)議在方便路由信息管理和傳遞的同時，也存在一些缺陷，如果攻擊者利用了路由協(xié)議的這些權(quán)限，對網(wǎng)絡(luò)進(jìn)行攻擊，可能造成網(wǎng)絡(luò)設(shè)備路由表紊亂(這足可以導(dǎo)致網(wǎng)絡(luò)中斷)，網(wǎng)絡(luò)設(shè)備資源大量消耗，甚至導(dǎo)致網(wǎng)絡(luò)設(shè)備癱瘓。

　　下面列舉一些常見路由協(xié)議的攻擊方式及原理：

　　1.21.1 針對RIP協(xié)議的攻擊

　　RIP，即路由信息協(xié)議，是通過周期性(一般情況下為30S)的路由更新報文來維護(hù)路由表的，一臺運行RIP路由協(xié)議的路由器，如果從一個接口上接收到了一個路由更新報文，它就會分析其中包含的路由信息，并與自己的路由表作出比較，如果該路由器認(rèn)為這些路由信息比自己所掌握的要有效，它便把這些路由信息引入自己的路由表中。

　　這樣如果一個攻擊者向一臺運行RIP協(xié)議的路由器發(fā)送了人為構(gòu)造的帶破壞性的路由更新報文，就很容易的把路由器的路由表搞紊亂，從而導(dǎo)致網(wǎng)絡(luò)中斷。

　　如果運行RIP路由協(xié)議的路由器啟用了路由更新信息的HMAC驗證，則可從很大程度上避免這種攻擊。

　　1.21.2 針對OSPF路由協(xié)議的攻擊

　　OSPF，即開放最短路徑優(yōu)先，是一種應(yīng)用廣泛的鏈路狀態(tài)路由協(xié)議。該路由協(xié)議基于鏈路狀態(tài)算法，具有收斂速度快，平穩(wěn)，杜絕環(huán)路等優(yōu)點，十分適合大型的計算機(jī)網(wǎng)絡(luò)使用。OSPF路由協(xié)議通過建立鄰接關(guān)系，來交換路由器的本地鏈路信息，然后形成一個整網(wǎng)的鏈路狀態(tài)數(shù)據(jù)庫，針對該數(shù)據(jù)庫，路由器就可以很容易的計算出路由表。

　　可以看出，如果一個攻擊者冒充一臺合法路由器與網(wǎng)絡(luò)中的一臺路由器建立鄰接關(guān)系，并向攻擊路由器輸入大量的鏈路狀態(tài)廣播(LSA，組成鏈路狀態(tài)數(shù)據(jù)庫的數(shù)據(jù)單元)，就會引導(dǎo)路由器形成錯誤的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，從而導(dǎo)致整個網(wǎng)絡(luò)的路由表紊亂，導(dǎo)致整個網(wǎng)絡(luò)癱瘓。

　　當(dāng)前版本的WINDOWS 操作系統(tǒng)(WIN 2K/XP等)都實現(xiàn)了OSPF路由協(xié)議功能，因此一個攻擊者可以很容易的利用這些操作系統(tǒng)自帶的路由功能模塊進(jìn)行攻擊。

　　跟RIP類似，如果OSPF啟用了報文驗證功能(HMAC驗證)，則可以從很大程度上避免這種攻擊。

　　1.21.3 針對IS-IS路由協(xié)議的攻擊

　　IS-IS路由協(xié)議，即中間系統(tǒng)到中間系統(tǒng)，是ISO提出來對ISO的CLNS網(wǎng)絡(luò)服務(wù)進(jìn)行路由的一種協(xié)議，這種協(xié)議也是基于鏈路狀態(tài)的，原理與OSPF類似。IS-IS路由協(xié)議經(jīng)過擴(kuò)展，可以運行在IP網(wǎng)絡(luò)中，對IP報文進(jìn)行選路。這種路由協(xié)議也是通過建立鄰居關(guān)系，收集路由器本地鏈路狀態(tài)的手段來完成鏈路狀態(tài)數(shù)據(jù)庫同步的。該協(xié)議的鄰居關(guān)系建立比OSPF簡單，而且也省略了OSPF特有的一些特性，使該協(xié)議簡單明了，伸縮性更強(qiáng)。

　　對該協(xié)議的攻擊與OSPF類似，通過一種模擬軟件與運行該協(xié)議的路由器建立鄰居關(guān)系，然后傳頌給攻擊路由器大量的鏈路狀態(tài)數(shù)據(jù)單元(LSP)，可以導(dǎo)致整個網(wǎng)絡(luò)路由器的鏈路狀態(tài)數(shù)據(jù)庫不一致(因為整個網(wǎng)絡(luò)中所有路由器的鏈路狀態(tài)數(shù)據(jù)庫都需要同步到相同的狀態(tài))，從而導(dǎo)致路由表與實際情況不符，致使網(wǎng)絡(luò)中斷。

　　與OSPF類似，如果運行該路由協(xié)議的路由器啟用了IS-IS協(xié)議單元(PDU)HMAC驗證功能，則可以從很大程度上避免這種攻擊。

　　1.22 針對設(shè)備轉(zhuǎn)發(fā)表的攻擊

　　為了合理有限的轉(zhuǎn)發(fā)數(shù)據(jù)，網(wǎng)絡(luò)設(shè)備上一般都建立一些寄存器表項，比如MAC地址表，ARP表，路由表，快速轉(zhuǎn)發(fā)表，以及一些基于更多報文頭字段的表格，比如多層交換表，流項目表等。這些表結(jié)構(gòu)都存儲在設(shè)備本地的內(nèi)存中，或者芯片的片上內(nèi)存中，數(shù)量有限。如果一個攻擊者通過發(fā)送合適的數(shù)據(jù)報，促使設(shè)備建立大量的此類表格，就會使設(shè)備的存儲結(jié)構(gòu)消耗盡，從而不能正常的轉(zhuǎn)發(fā)數(shù)據(jù)或崩潰。

　　下面針對幾種常見的表項，介紹其攻擊原理：

　　1.22.1 針對MAC地址表的攻擊

　　MAC地址表一般存在于以太網(wǎng)交換機(jī)上，以太網(wǎng)通過分析接收到的數(shù)據(jù)幀的目的MAC地址，來查本地的MAC地址表，然后作出合適的轉(zhuǎn)發(fā)決定。

　　這些MAC地址表一般是通過學(xué)習(xí)獲取的，交換機(jī)在接收到一個數(shù)據(jù)幀后，有一個學(xué)習(xí)的過程，該過程是這樣的：

　　a) 提取數(shù)據(jù)幀的源MAC地址和接收到該數(shù)據(jù)幀的端口號;

　　查MAC地址表，看該MAC地址是否存在，以及對應(yīng)的端口是否符合;

　　c) 如果該MAC地址在本地MAC地址表中不存在，則創(chuàng)建一個MAC地址表項;

　　d) 如果存在，但對應(yīng)的出端口跟接收到該數(shù)據(jù)幀的端口不符，則更新該表;

　　e) 如果存在，且端口符合，則進(jìn)行下一步處理。

　　分析這個過程可以看出，如果一個攻擊者向一臺交換機(jī)發(fā)送大量源MAC地址不同的數(shù)據(jù)幀，則該交換機(jī)就可能把自己本地的MAC地址表學(xué)滿。一旦MAC地址表溢出，則交換機(jī)就不能繼續(xù)學(xué)習(xí)正確的MAC表項，結(jié)果是可能產(chǎn)生大量的網(wǎng)絡(luò)冗余數(shù)據(jù)，甚至可能使交換機(jī)崩潰。

　　而構(gòu)造一些源MAC地址不同的數(shù)據(jù)幀，是非常容易的事情。

　　1.22.2 針對ARP表的攻擊

　　ARP表是IP地址和MAC地址的映射關(guān)系表，任何實現(xiàn)了IP協(xié)議棧的設(shè)備，一般情況下都通過該表維護(hù)IP地址和MAC地址的對應(yīng)關(guān)系，這是為了避免ARP解析而造成的廣播數(shù)據(jù)報文對網(wǎng)絡(luò)造成沖擊。ARP表的建立一般情況下是通過二個途徑：

　　1、主動解析，如果一臺計算機(jī)想與另外一臺不知道MAC地址的計算機(jī)通信，則該計算機(jī)主動發(fā)ARP請求，通過ARP協(xié)議建立(前提是這兩臺計算機(jī)位于同一個IP子網(wǎng)上);

　　2、被動請求，如果一臺計算機(jī)接收到了一臺計算機(jī)的ARP請求，則首先在本地建立請求計算機(jī)的IP地址和MAC地址的對應(yīng)表。

　　因此，如果一個攻擊者通過變換不同的IP地址和MAC地址，向同一臺設(shè)備，比如三層交換機(jī)發(fā)送大量的ARP請求，則被攻擊設(shè)備可能會因為ARP緩存溢出而崩潰。

　　針對ARP表項，還有一個可能的攻擊就是誤導(dǎo)計算機(jī)建立正確的ARP表。根據(jù)ARP協(xié)議，如果一臺計算機(jī)接收到了一個ARP請求報文，在滿足下列兩個條件的情況下，該計算機(jī)會用ARP請求報文中的源IP地址和源MAC地址更新自己的ARP緩存：

　　1、 如果發(fā)起該ARP請求的IP地址在自己本地的ARP緩存中;

　　2、 請求的目標(biāo)IP地址不是自己的。

　　可以舉一個例子說明這個過程，假設(shè)有三臺計算機(jī)A，B，C，其中B已經(jīng)正確建立了A和C計算機(jī)的ARP表項。假設(shè)A是攻擊者，此時，A發(fā)出一個ARP請求報文，該請求報文這樣構(gòu)造：

　　1、 源IP地址是C的IP地址，源MAC地址是A的MAC地址;

　　2、 請求的目標(biāo)IP地址是A的IP地址。

　　這樣計算機(jī)B在收到這個ARP請求報文后(ARP請求是廣播報文，網(wǎng)絡(luò)上所有設(shè)備都能收到)，發(fā)現(xiàn)B的ARP表項已經(jīng)在自己的緩存中，但MAC地址與收到的請求的源MAC地址不符，于是根據(jù)ARP協(xié)議，使用ARP請求的源MAC地址(即A的MAC地址)更新自己的ARP表。

　　這樣B的ARP混存中就存在這樣的錯誤ARP表項：C的IP地址跟A的MAC地址對應(yīng)。這樣的結(jié)果是，B發(fā)給C的數(shù)據(jù)都被計算機(jī)A接收到。

　　1.22.3 針對流項目表的攻擊

　　有的網(wǎng)絡(luò)設(shè)備為了加快轉(zhuǎn)發(fā)效率，建立了所謂的流緩存。所謂流，可以理解為一臺計算機(jī)的一個進(jìn)程到另外一臺計算機(jī)的一個進(jìn)程之間的數(shù)據(jù)流。如果表現(xiàn)在TCP/IP協(xié)議上，則是由(源IP地址，目的IP地址，協(xié)議號，源端口號，目的端口號)五元組共同確定的所有數(shù)據(jù)報文。

　　一個流緩存表一般由該五元組為索引，每當(dāng)設(shè)備接收到一個IP報文后，會首先分析IP報頭，把對應(yīng)的五元組數(shù)據(jù)提取出來，進(jìn)行一個HASH運算，然后根據(jù)運算結(jié)果查詢流緩存，如果查找成功，則根據(jù)查找的結(jié)果進(jìn)行處理，如果查找失敗，則新建一個流緩存項，查路由表，根據(jù)路由表查詢結(jié)果填完整這個流緩存，然后對數(shù)據(jù)報文進(jìn)行轉(zhuǎn)發(fā)(具體轉(zhuǎn)發(fā)是在流項目創(chuàng)建前還是創(chuàng)建后并不重要)。

　　可以看出，如果一個攻擊者發(fā)出大量的源IP地址或者目的IP地址變化的數(shù)據(jù)報文，就可能導(dǎo)致設(shè)備創(chuàng)建大量的流項目，因為不同的源IP地址和不同的目標(biāo)IP地址對應(yīng)不同的流。這樣可能導(dǎo)致流緩存溢出。