第3章网络协议安全(网络安全原理与应用-闫大顺-石玉强)全解.ppt

6.6 传输层协议漏洞分析 6.6.1 TCP协议漏洞分析 3、SYN Flood攻击（如何预防） 第一种是缩短SYN Timeout时间，由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。 第二种方法是设置SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。 第*页 6.6 传输层协议漏洞分析 6.6.1 TCP协议漏洞分析 4、ACK Flood攻击 ACK Flood攻击是在TCP连接建立之后，所有的数据传输TCP报文都是带有ACK标志位的，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操作系统协议栈会回应RST包告诉对方此端口不存在。 这里，服务器要做两个动作：查表、回应ACK/RST。这种攻击方式显然没有SYN Flood给服务器带来的冲击大，因此攻击者一定要用大流量ACK小包冲击才会对服务器造成影响。 第*页 6.6 传输层协议漏洞分析 6.6.1 TCP协议漏洞分析 4、ACK Flood攻击（如何预防） 利用对称性判断来分析出是否有攻击存在。所谓对称型判断，就是收包异常大于发包，因为攻击者通常会采用大量ACK包，并且为了提高攻击速度，一般采用内容基本一致的小包发送。这可以作为判断是否发生ACK Flood的依据，但是目前已知情况来看，很少有单纯使用ACK Flood攻击，都会和其他攻击方法混合使用，因此，很容易产生误判。? 一些防火墙应对的方法是：建立一个hash表，用来存放TCP连接“状态”，相对于主机的TCP stack实现来说，状态检查的过程相对简化。例如，不作sequence number的检查，不作包乱序的处理，只是统计一定时间内是否有ACK包在该“连接”(即四元组)上通过，从而“大致”确定该“连接”是否是“活动的”。 第*页 6.6 传输层协议漏洞分析 6.6.1 TCP协议漏洞分析 5、Connection Flood攻击 Connection Flood。称为连接耗尽攻击，顾名思义就是将服务器上可用的连接数占满直至无法正常响应。与其他的攻击方式不同的是，连接耗尽攻击使用真实的IP地址与服务器建立连接。攻击者操控了大量的傀儡主机或者使用代理服务器来发起大规模的连接。当连接数达到一定规模，超过了服务器的能力时，正常的连接请求将无法建立。通过不断地与服务器建立大量的连接，最终服务器的内存资源将被耗尽。 第*页 6.6 传输层协议漏洞分析 6.6.1 TCP协议漏洞分析 6、Land攻击 Land攻击原理是利用某些TCP/IP协议栈的三次握手过程实现中存在缺陷，而进行DoS攻击的。 在Land攻击中，一个特别打造的SYN包中的源地址和目标地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送SYN一ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。对Land攻击反应不同，许多UNIX系统将崩溃，而 Windows NT 会变的极其缓慢（大约持续五分钟）。 Data 第*页 6.6 传输层协议漏洞分析 6.6.1 TCP协议漏洞分析 6、Land攻击 Land攻击是IP协议和TCP协议共同缺陷造成的 黑客主机 受害服务器 Data Syn Source Destination 第*页 6.6 传输层协议漏洞分析 6.6.2 UDP协议漏洞分析 1、UDP （User Datagram Protocol） UDP协议全称是用户数据报协议，在网络中它与TCP协议一样用于处理数据包，它提供给应用程序的服务是一种不可靠的、无连接的分组传输服务。因此，UDP的报文可能会出现丢失、重复、延迟以及乱序，使用UDP的应用程序必须负责处理这些问题。因此，UDP不被应用于那些虚电路的面向连接的服务，UDP主要用于那些面向查询——应答的服务，例如NFS（网络文件系统）、NTP（网络时间协议）。相对于FTP或Telnet，这些服务需要交换的信息量较小。使用UDP的服务包括NTP和DNS（DNS也可使用TCP）。 第*页 6.4 链路层协议漏洞分析 6.4.3 无线网链路层协议漏洞