学习笔记:网络型攻击防范(1)

最新推荐文章于 2025-03-22 18:58:11 发布
原创 最新推荐文章于 2025-03-22 18:58:11 发布 · 1.7k 阅读 · 9
本文详细介绍了网络攻击中的流量型攻击、单包攻击和特殊报文攻击,重点阐述了单包攻击的防御原理,包括扫描窥探攻击、畸形报文攻击的防范措施,如SMURF、LAND、Fraggle等。此外,还提到了URPF技术在防止源地址欺骗攻击中的应用。

网络攻击简介和单包攻击

介绍

在这里插入图片描述

• 网络攻击主要分为流量型攻击,扫描窥探攻击,畸形报文攻击和特殊报文攻击。其中扫描窥探攻击、畸形报文攻击以及特殊报文攻击属于单包攻击。
• 通常的网络攻击,一般是侵入或破坏网上的服务器(主机),盗取服务器的敏感数据或占用网络带宽,干扰破坏服务器对外提供的服务。也有直接破坏网络设备的网络攻击,这种破坏影响较大,会导致网络服务异常,甚至中断。

流量型攻击

• 流量型攻击是指攻击者通过大量的无用数据占用过多的资源以达到服务器拒绝服务的目的。
• 这类攻击典型特征是通过发出海量数据包,造成设备负载过高,最终导致网络带宽或是设备资源耗尽。通常,被攻击的路由器、服务器和防火墙的处理资源都是有限的,攻击负载之下它们就无法处理正常的合法访问,导致正常服务被拒绝。流量型攻击最通常的形式是Flood方式,这种攻击把大量看似合法的TCP、UDP、ICMP包发送至目标主机,甚至,有些攻击者还利用源地址伪造技术来绕过检测系统的监控,以达到攻击的目的。

• DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。 DDos攻击是流量型攻击的一种典型方式,可以称为流量型攻击的另一种说法。

单包攻击

• 扫描窥探攻击是利用ping扫射(包括ICMP和TCP)来标识网络上存活着的系统,从而准确定位潜在的目标;利用TCP和UDP端口扫描,就能检测出操作系统和监听着的潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞(识别目标弱点),为进一步侵入系统做好准备。
• 畸形报文攻击是指通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的IP报文时发生错误,或者造成系统崩溃,影响目标系统的正常运行。主要的畸形报文攻击有Ping of Death、Teardrop等。
• 特殊报文攻击,是指攻击者利用一些合法的报文对网络进行侦察或者数据检测,这些报文都是合法的应用类型,只是正常网络很少用到。

单包攻击的防御原理

在这里插入图片描述
• 最常见的DoS攻击就是我们常常提到的单包攻击,这类攻击一般都是以个人为单位的黑客发动的,攻击报文也比较单一,虽然破坏力强大,但是只要掌握了攻击的特征,防御起来还是比较容易的。

扫描窥探攻击防范

IP地址扫描攻击介绍:
• 运用ping程序探测目标地址,确定目标系统是否存活。也可使用TCP/UDP报文对目标系统发起探测(如TCP ping)。

处理方法:
• 检测进入防火墙的ICMP、TCP和UDP报文,根据源IP地址获取统计表项的索引,如果目的IP地址与前一报文的IP地址不同,则将表项中的总报文个数增加1。如果在一定时间内报文的个数达到设置的阈值,记录日志,并根据配置决定是否将源IP地址自动加入黑名单。

• 命令firewall defend ip-sweep { max-rate rate-number | blacklist-timeout interval | enable },主要参数意义如下:
• max-rate rate-number:设定从同一源地址向外发送报文的目的地址变化速率的阈值。rate-number 默认值为4000包/秒,取值范围为1包/秒~10000包/秒。
• blacklist-timeout interval:将攻击源IP加入黑名单并设定其在黑名单内的保持时间,interval 取值范围为1min~1000min,默认值为20min。

最低0.47元/天 解锁文章
TKE_yinian
关注
交换机安全————攻击防范
zj2059129607的博客
12-01 1532
Offset字段的最大取值为65528,但是在正常情况下,Offset值不会超过8190(如果offset=8189*8,IP头部长度为20,最后一片报文最多只有3个字节IP载荷,所以正常Offset的最大值是8189),所以如果Offset值超过8190,则这种报文即为恶意攻击报文,设备直接丢弃。启用分片报文攻击防范后,对于重复分片类报文的攻击,设备实现对分片报文进行CAR(Committed Access Rate)限速,保留首片,丢弃其余所有相同的重复分片,保证不对CPU造成攻击
无线网络攻击类型及防范
小勇的博客
01-03 8401
无线网络攻击类型及防范1.无线中间人欺骗攻击 中间人欺骗:mitmap扫描。*MITM:man in theMiddle,中间人攻击。在目标主机与另一方主机 (网关或服务器)进行正常连接的过程中,攻击者通过拦截、插入、伪造、中断的方式、达到截获对方登录账户及密码,伪造身份的目的。* 破解wifi密码后构建DNS服务器和web服务器 2.伪造AP攻击基于软件的FakeAP攻击Airpwn:在无线欺骗
获取网络状态以及Fragment的隐藏和显示使用
lian895615的博客
11-05 499
package com.ljn.myapplication.Utils; import android.content.Context; import android.graphics.Bitmap; import android.graphics.BitmapFactory; import android.net.ConnectivityManager; import android.net.
IP Fragment攻击原理
路与肥的博客
04-29 2457
IP Fragment攻击原理
TCP Flag异常攻击原理
路与肥的博客
04-29 4163
TCP Flag异常攻击原理
网络攻击2——针对TCP/IP各个协议层的攻击
m0_49864110的博客
11-12 6267
报文的长度字段为16位,即IP报文的最大长度为65535 B,死亡平Ping利用一些长度超大的ICMP报文对系统进行攻击。把报文的源地址和目标地址都设置成某一个受害者的IP地址(源是127网段地址,目的地址是服务器地址),这将导致受害者向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,伪造一个源地址(可以是真实的源地址,也可以是虚假的源地址)的SYN报文大量发给受害者,受害者收到后回应SYN ACK报文,但是受害者不会再收到ACK报文,这就导致受害主机保持了大量的半连接。
黑客10种绕过防火墙方法
03-20 1万+
SSL/TLS隧道:SSL(Secure Sockets Layer)/TLS(Transport Layer Security)隧道是通过SSL/TLS协议建立的安全通信隧道,用于在客户端和服务器之间建立加密的通信连接。在分段攻击中,攻击者通过发送特制的网络数据包,利用目标系统对数据包的处理逻辑漏洞,实现对目标系统的攻击。中间人攻击攻击者将自己的IP地址伪装成受害者或者目标服务器的IP地址,从而使得通信的两端都误以为与对方直接通信,而实际上数据包都经过了攻击者的中间节点,攻击者窃取或篡改通信内容。
攻击防范简介
2301_76769041的博客
08-29 1248
攻击防范是一种重要的网络安全特性。它通过分析上送CPU处理的报文的内容和行为,判断报文是否具有攻击特性,并配置对具有攻击特性的报文执行一定的防范措施。攻击防范主要分为畸形报文攻击防范、分片报文攻击防范和泛洪攻击防范
如何防范和应对 DDoS 攻击
2409_89014517的博客
12-30 3096
如何防范和应对 DDoS 攻击
IP fragment是什么意思?如何防御IP fragment攻击
我是飞飞啊,不一定温柔,但一定自由
08-14 1239
IP fragment是什么意思?如何防御IP fragment攻击?一、什么是IP fragment?二、分片带来的问题1、 分片带来的性能消耗2、分片丢包导致的重传问题3、分片攻击4、安全隐患三、如何预防Ip-fragment攻击呢? 一、什么是IP fragment? IP报文中,与报文分片有关的几个字段是:DF(Don’t Fragmentate)位、MF 位,Fragment Offset、Length。DF和MF就是前面提到3位标识位中的第二和第三位,Fragment Offset就是“13位分
记一次防火墙被暴力破解之事
爱意随风起,人生不可弃。
11-13 6534
在短短几个小时,攻击日志就有40多页,在被攻击的这段时间,防火墙的cpu忽高忽低,网络波动剧烈,在当天内网同事反应,处于某vlan的数台数据库服务器掉线多次,个别用户的网络质量反馈较差。建议大家,尽量别开启外网web管理,或是修改管理端口号,最终要对管理员账户的密码设置复杂性高的,或者定期更改密码,个人是将防火墙密码就是字符数字字母等加起来23位左右。防火墙修改之后,攻击戛然而止,对方又选择攻击ipsec vpn,不过呢,尝试了3次,对方放弃了,可能是ipsec vpn有严格加密,破解较难,这是一个猜测。
TCP协议详解之TCP Flag标志位来判断TCP会话的开始和结束
热门推荐
answer3lin的博客
12-06 2万+
首先回顾一下TCP标志位的具体含义。 TCP Flag标志位(控制位) 一个TCP包的详细内容: TCP FLAG 标记占1.5个byte,12bit(4bit+8bit,前半个byte与Header Length公用)。 12bit中前三个bit是保留,默认为全0: 000. .... .... = Reserved: Not set 第4个bit为: ...0 ......
常见DDoS攻击之ACK flood
Grand_whh的博客
08-14 2487
ACK Flood攻击是一种针对TCP连接的DDoS攻击方式,它发生在TCP连接建立之后,攻击者发送大量带有ACK标志位的数据包给目标服务器。这种攻击会使接收端服务器在处理这些数据包时消耗大量资源,因为对于每个收到的ACK数据包,服务器都需要检查其表示的连接是否存在以及状态是否合法,如果发现数据包不合法,如指向的目的端口未开放,则会回应RST包。
高性能流量生成工具trafgen(DDoS模拟)
onephone的专栏
01-17 1万+
因项目需要,要对主流的几家抗DDoS设备做测评,当然了最专业的是使用Spirent TestCenter,但受限于其他因素,最终决定搭建一个软件环境来进行相关的DDoS测试。 本文主要讲解的是如何使用trafgen工具发起DDoS攻击(syn flood, ack flood等等) synflood攻击、ackflood攻击、UDP fragment攻击的详细配置文件见 gi
【无标题】常见攻击构造方法
qq_37460687的博客
08-31 1305
攻击,hping3
DDoS和CC攻击原理(下)
小王的储物间
03-30 621
本主题研究DDoS和CC的实现原理以及其具体的实现方法,并对如何检测和防护进行说明。文章一共分为(上)(中)(下)三篇,(上)主要描述DDoS基本原理和实现攻击的基础和思路;(中)主要列举可用于DDoS和CC的方法;(下)主要对攻击原理进行总结并提出目前主流的防护机制。1、接收的数据包类型(syn、ack、frag、icmp、http等)2、包速pps3、流量bps4、连接数(并发、新建)5、应用请求数qps6、丢包重传7、错误日志。
1997年起至今的所有 WiFi 设备均易遭 Frag 攻击
smellycat000的专栏
05-13 518
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士比利时安全研究员发现了一系列影响 WiFi 标准的漏洞,其中某些漏洞可追溯至1997年,影响过去24年来出售的所有设备。这些设备被...
惊!黑客绕过防火墙的八大绝技,看完我直接吓尿了!
最新发布
wangluoanquan111的博客
03-22 2696
防火墙,作为网络安全的重要组成部分,确实能提供一定程度的安全保护。但是,它绝不是万能的,更不能提供绝对的安全保障。现在的网络攻击技术日新月异,黑客们总能找到新的方法绕过防火墙。而且,防火墙的安全性还取决于配置和管理的合理性,一旦配置不当或未能及时更新,就会留下安全隐患。所以,企业不能把防火墙当成唯一的“救命稻草”,而应该建立包括入侵检测系统、身份认证、加密通信等多层次的综合性安全架构,才能更有效地保护系统安全。接下来我将给各位同学划分一张学习计划表!
常见IP碎片攻击详解
ZCatLinux --资讯与技术社区--Open Source World----Linux/Shell/DevOPS--
08-30 2281
本文简单介绍了IP分片原理,并结合Snort抓包结果详细分析常见IP碎片攻击的原理和特征, 最后对阻止IP碎片攻击给出一些建议。希望对加深理解IP协议和一些DoS攻击手段有所帮助。 1. 为什么存在IP碎片 -=-=-=-=-=-=-=-=-=-=-= 链路层具有最大传输单元MTU这个特性,它限制了数据帧的最大长度,不同的网络类型都有一 个上限值。以太网的MTU是1500,你可以用 netstat
攻防技术-单包攻击防范:扫描、畸形、特殊(HCIP)
qq_45022073的博客
12-29 3191
1、了解单包攻击类型。 2、了解扫描窥探、畸形报文、特殊报文的各种攻击方式以及防御方法。 3、了解URPF技术作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值