ARP欺騙

簡介

ARP欺騙（ARP spoofing），又稱ARP毒化（ARP poisoning，網絡上多譯為ARP病毒）或ARP攻擊，是針對以太網地址解析協議（ARP）的一種攻擊技術，通過欺騙局域網內訪問者PC的網關mac地址，使訪問者PC錯以為攻擊者更改后的MAC地址是網關的MAC，導致網絡不通。此種攻擊可讓攻擊者獲取局域網上的數據包甚至可篡改數據包，且可讓網絡上特定計算機或所有計算機無法正常連線

運作機制

ARP欺騙的運作原理是由攻擊者發送假的ARP數據包到網上，尤其是送到網關上。其目的是要讓送至特定的IP地址的流量被錯誤送到攻擊者所取代的地方。因此攻擊者可將這些流量另行轉送到真正的網關（被動式數據包嗅探，passive sniffing）或是篡改后再轉送（中間人攻擊，man-in-the-middle attack）。攻擊者亦可將ARP數據包導到不存在的MAC地址以達到阻斷服務攻擊的效果，例?.NETcut軟件

防制方法

網上內的每臺計算機的ARP一律改用靜態的方式，不過這在大型的網上是不可行的，因為需要經常更新每臺計算機的ARP表

另外一種方法，例如DHCP snooping，網上設備可借由DHCP保留網絡上各計算機的MAC地址，在偽造的ARP數據包發出時即可偵測到。此方式已在一些廠牌的網上設備產品所支持

有一些軟件可監聽網絡上的ARP回應，若偵測出有不正常變動時可發送郵箱通知管理者。例如UNIX平臺的Arpwatch以及windows上的XArp v2或一些網上設備的Dynamic ARP inspection功能

IP地址欺騙

簡介

IP地址欺騙（IPaddress spoofing）是指行動產生的IP數據包為偽造的源IP地址，以便冒充其他系統或發件人的身份。這是一種黑客的攻擊形式，黑客使用一臺計算機上網,而借用另外一臺機器的IP地址,從而冒充另外一臺機器與服務器打交道，防火墻可以識別這種ip欺騙

按照Internet Protocol(IP)網絡互聯協議，數據包頭包含來源地和目的地信息。 而IP地址欺騙，就是通過偽造數據包包頭，使顯示的信息源不是實際的來源，就像這個數據包是從另一臺計算機上發送的

易受攻擊的服務

1. 以IP地址認證作為用戶身份的服務
2. X window system
3. 遠程服務系列（如遠程訪問服務）

防御方法

IP欺騙的防范，一方面需要目標設備采取更強有力的認證措施，不僅僅根據源IP就信任來訪者，更多的需要強口令等認證手段；另一方面采用健壯的交互協議以提高偽裝源IP的門檻

有些高層協議擁有獨特的防御方法，比如TCP（傳輸控制協議）通過回復序列號來保證數據包來自于已建立的連接。由于攻擊者通常收不到回復信息，因此無從得知序列號。不過有些老機器和舊系統的TCP序列號可以被探得

Smurf攻擊

簡介

Smurf攻擊是一種病毒攻擊，以最初發動這種攻擊的程序“Smurf”來命名。這種攻擊方法結合使用了IP欺騙和ICMP回復方法使大量網絡傳輸充斥目標系統，引起目標系統拒絕為正常系統進行服務

攻擊過程

Smurf攻擊通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求(ping)數據包，來淹沒受害主機，最終導致該網絡的所有主機都對此ICMP應答請求做出答復，導致網絡阻塞。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方崩潰

攻擊的過程是這樣的：Woodlly Attacker向一個具有大量主機和因特網連接的網絡的廣播地址發送一個欺騙性Ping分組（echo 請求），這個目標網絡被稱為反彈站點，而欺騙性Ping分組的源地址就是Woodlly希望攻擊的系統

這種攻擊的前提是，路由器接收到這個發送給IP廣播地址（如206.121.73.255）的分組后，會認為這就是廣播分組，并且把以太網廣播地址FF:FF:FF:FF:FF:FF:映射過來。這樣路由器因因特網上接收到該分組，會對本地網段中的所有主機進行廣播

攻擊檢測

1. ICMP 應答風暴的檢測

對網絡進行監控和統計發現, 若出現Smurf 攻擊， 則會出現大量的echo 報文。由于存在echo 應答風暴， 此時，echo 報文在所有報文中所占的比例大大增加。所以，如出現這種情況， 就可能遭到了Smurf 攻擊

1. 報文丟失率和重傳率的上升

由于echo 風暴造成網絡負載過重，會出現大量報文丟失和報文重傳現象。所以，若有明顯的報文丟失率和重傳率上升現象，就有可能遭到了Smurf 攻擊

1. 常出現意外的連接重置的現象

在受到Smurf 攻擊時， 由于網絡重載，會使其它的網絡連接出現意外的中斷或重置的現象。如反復出現意外的中斷或重置，也可能受到了Smurf 攻擊

防御方法

挫敗一個Smurf攻擊的最簡單的方法就是對邊界路由器的回音應答（echo reply）信息包進行過濾，然后丟棄他們，使網絡避免被湮沒

SYN Flood攻擊

簡介

TCP SYN泛洪發生在OSI第四層，這種方式利用TCP協議的特性，就是三次握手。攻擊者發送TCP SYN，SYN是TCP三次握手中的第一個數據包，而當服務器返回ACK后，該攻擊者就不對其進行再確認，那這個TCP連接就處于掛起狀態，也就是所謂的半連接狀態，服務器收不到再確認的話，還會重復發送ACK給攻擊者。這樣更加會浪費服務器的資源。攻擊者就對服務器發送非常大量的這種TCP連接，由于每一個都沒法完成三次握手，所以在服務器上，這些TCP連接會因為掛起狀態而消耗CPU和內存，最后服務器可能死機，就無法為正常用戶提供服務了

攻擊原理

如果大量的握手請求涌向TCP服務端，而它們只發出SYN報文而不以ACK響應結束握手，服務端就要為這每一個請求都維持約一分多鐘的連接去等待ACK，也就形成所謂的“半連接”。維護這些半連接是需要消耗很多服務器的網絡連接資源的。如果短時間內這些資源幾乎都被半連接占滿，那么正常的業務請求在這期間就得不到服務，處于等待狀態

更進一步的，如果這些半連接的握手請求是惡意程序發出，并且持續不斷，那么就會導致服務端較長時間內喪失服務功能——這就形成了DoS（Denial of Service拒絕服務）攻擊。這種攻擊方式就稱為SYN泛洪（SYN flood）攻擊

防范措施

對于SYN泛洪攻擊的防范，優化主機系統設置是常用的手段。如降低SYN timeout時間，使得主機盡快釋放半連接的占用；又比如采用SYN cookie設置，如果短時間內連續收到某個IP的重復SYN請求，則認為受到了該IP的攻擊，丟棄來自該IP的后續請求報文。此外合理地采用防火墻等外部網絡安全設施也可緩解SYN泛洪攻擊

UDP Flood攻擊

簡介

UDPFlood是日漸猖厥的流量型DoS攻擊，原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務器或Radius認證服務器、流媒體視頻服務器。100k bps的UDPFlood經常將線路上的骨干設備例如防火墻打癱，造成整個網段的癱瘓。由于UDP協議是一種無連接的服務，在UDPFLOOD攻擊中，攻擊者可發送大量偽造源IP地址的小UDP包。但是，由于UDP協議是無連接性的，所以只要開了一個UDP的端口提供相關服務的話，那么就可針對相關的服務進行攻擊。

正常應用情況下，UDP包雙向流量會基本相等，而且大小和內容都是隨機的，變化很大。出現UDPFlood的情況下，針對同一目標IP的UDP包在一側大量出現，并且內容和大小都比較固定

防范措施

UDP協議與TCP協議不同，是無連接狀態的協議，并且UDP應用協議五花八門，差異極大，因此針對UDPFlood的防護非常困難。其防護要根據具體情況對待

1. 判斷包大小，如果是大包攻擊則使用防止UDP碎片方法：根據攻擊包大小設定包碎片重組大小，通常不小于1500。在極端情況下，可以考慮丟棄所有UDP碎片
2. 攻擊端口為業務端口：根據該業務UDP最大包長設置UDP最大包大小以過濾異常流量
3. 攻擊端口為非業務端口：一個是丟棄所有UDP包，可能會誤傷正常業務；一個是建立UDP連接規則，要求所有去往該端口的UDP包，必須首先與TCP端口建立TCP連接。不過這種方法需要很專業的防火墻或其他防護設備支持
4. UDP攻擊是一種消耗對方資源，同時也消耗攻擊者本身的資源的攻擊方式，已經沒人使用這種過時的東西了

緩沖區溢出攻擊

簡介

緩沖區溢出攻擊有多種英文名稱：buffer overflow，buffer overrun，smash the stack，trash the stack，scribble the stack， mangle the stack， memory leak，overrun screw；它們指的都是同一種攻擊手段。第一個緩沖區溢出攻擊--Morris蠕蟲，發生在二十年前，它曾造成了全世界6000多臺網絡服務器癱瘓

緩沖區溢出是指當計算機向緩沖區內填充數據位數時超過了緩沖區本身的容量，溢出的數據覆蓋在合法數據上。理想的情況是：程序會檢查數據長度，而且并不允許輸入超過緩沖區長度的字符。但是絕大多數程序都會假設數據長度總是與所分配的儲存空間相匹配，這就為緩沖區溢出埋下隱患。操作系統所使用的緩沖區，又被稱為“堆棧”，在各個操作進程之間，指令會被臨時儲存在“堆棧”當中，“堆棧”也會出現緩沖區溢出

原理

通過往程序的緩沖區寫超出其長度的內容，造成緩沖區的溢出，從而破壞程序的堆棧，使程序轉而執行其它指令，以達到攻擊的目的。造成緩沖區溢出的原因是程序中沒有仔細檢查用戶輸入的參數

Ping of Death

簡介

Ping of Death：死亡之Ping

在因特網上，ping of death是一種畸形報文攻擊，方法是由攻擊者故意發送大于65535字節的ip數據包給對方。 TCP/IP的特征之一是碎裂；它允許單一IP包被分為幾個更小的數據包。在1996年，攻擊者開始利用那一個功能，當他們發現一個進入使用碎片包可以將整個IP包的大小增加到ip協議允許的65536比特以上的時候。當許多操作系統收到一個特大號的ip包時候，它們不知道該做什么，因此，服務器會被凍結、宕機或重新啟動

ICMP的回送請求和應答報文通常是用來檢查網路連通性，對于大多數系統而言，發送ICMP echo request 報文的命令是ping ，由于ip數據包的最大長度為65535字節。而ICMP報頭位于數據報頭之后，并與ip數據包封裝在一起，因此ICMP數據包最大尺寸不超過65535字節利用這一規定，可以向主機發動 ping of death 攻擊。ping of death 攻擊 是通過在最后分段中，改變其正確的偏移量和段長度的組合，使系統在接收到全部分段并重組報文時總的長度超過了65535字節，導致內存溢出，這時主機就會出現內存分配錯誤而導致TCP/IP堆棧崩潰，導致死機