常见应用层以下攻击.docVIP

攻击名称 攻击原理 Syn Flood攻击 TCP 连接是通过三次握手完成的。当网络中充满了会发出无法完成的连接请求的SYN 封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务(DoS) 时，就发生了SYN 泛滥攻击。攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务攻击的目的。攻击者向服务器发送含 SYN 包，其中源 IP 地址已被改为伪造的不可达的 IP 地址。服务器向伪造的 IP 地址发出回应，并等待连接已建立的确认信息。但由于该 IP 地址是伪造的，服务器无法等到确认信息，只有保持半开连接状态直至超时。由于服务器允许的半开连接数目有限，如果攻击者发送大量这样的连接请求，服务器的半开连接资源很快就会消耗完毕，无法再接受来自正常用户的 TCP 连接请求。 Ack Flood攻击 TCP报文标志位为ACK标志的攻击 SYN+ACK Flood攻击 TCP报文标志位为SYN和ACK标志的攻击 连接耗尽攻击 攻击主机与被攻击主机建立完整的三次握手建立起tcp空连接后，并不进行数据传送，目的在于耗尽服务器的连接资源。 DNS Flood攻击 采用的方法是向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名，被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析的时候，DNS 服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。 TCP无标记攻击 正常数据包中，至少包含SYN、FIN、ACK、RST四个标记中的一个，不同的OS对不包含这四个标记中任何一个标志的数据包有不同处理方法，攻击者可利用这种数据包判断被攻击主机的OS类型，为后续攻击做准备。 圣诞树攻击 正常数据包中，不会同时包含SYN、FIN、ACK、RST四个标记，不同的OS对包含全部四个标志的数据包有不同处理方法，攻击者可利用这种数据包判断被攻击主机的OS类型，为后续攻击做准备。 SYNFIN位设置攻击 正常数据包中，不会同时设置TCP Flags中的SYN和FIN标志，因为SYN标志用于发起TCP连接，而FIN标志用于结束TCP连接。不同的OS对同时包含SYN和FIN标志的数据包有不同处理方法，攻击者可利用这种数据包判断被攻击主机的OS类型，为后续攻击做准备。 抗无确认FIN攻击 正常数据包中，包含FIN标志的TCP数据包同时包含ACK标志。不同的OS对包含FIN标志但不包含ACK标志的数据包有不同处理方法，攻击者可利用这种数据包判断被攻击主机的OS类型，为后续攻击做准备。 ICMP Flood攻击 当ICMP ping 产生的大量回应请求超出了系统的最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时，就发生了ICMP 泛滥。 UDP flood攻击 与ICMP 泛滥相似。攻击者向同一 IP 地址发送大量的 UDP 包使得该 IP 地址无法响应其它 UDP 请求，就发生了UDP 泛滥。 ARP flood攻击等 通过发送大量ARP应答报文，导致网关、主机ARP表项占满、原有正常ARP表项被替换。 Ping of death攻击 TCP/IP 规范要求用于数据包传输的封包必须具有特定的大小。许多ping 实现允许用户根据需要指定更大的封包大小。当攻击者发送超长的 ICMP 包时会引发一系列负面的系统反应，早期的操作系统可能因为缓冲区溢出而宕机，如拒绝服务(DoS)、系统崩溃、死机以及重新启动。 Land攻击 “陆地”攻击将SYN 攻击和IP 欺骗结合在了一起，当攻击者发送含有受害方IP 地址的欺骗性SYN 包，将其作为目的和源IP 地址时，就发生了陆地攻击。接收系统通过向自己发送SYN-ACK 封包来进行响应，同时创建一个空的连接，该连接将会一直保持到达到空闲超时值为止。向系统堆积过多的这种空连接会耗尽系统资源，导致DoS。攻击者发送特殊的 SYN 包，其中源 IP 地址、源端口和目的 IP 地址、目的端口指向同一主机，早期的操作系统收到这样的 SYN 包时可能会当机。 Teardrop攻击 数据包通过不同的网络时，有时必须根据网络的最大传输单位(MTU) 将数据包分成更小的部分（片断）。攻击者可能会利用IP 栈具体实现的数据包重新组合代码中的漏洞，通过IP 碎片进行攻击。Teardrop是利用早期某些操作系统中TCP/IP协议栈对IP分片包进行重组时的漏洞进行的攻击，受影响的系统包括Windows 3.1/95/NT以及Linux 2.1.63之前