死亡之Ping（ping of death）

　　1.原理

　　不用我多說(shuō)了，大名鼎鼎的Ping早已經(jīng)家喻戶曉了。早期的Ping之所以能稱為死亡之Ping,那是因?yàn)樵谠缙陔A段路由器對(duì)包的最大尺寸都有限制，很多操作系統(tǒng)對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定為64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息為有效載荷生成緩沖區(qū)。當(dāng)產(chǎn)生畸形的包——加載尺寸超過(guò)64KB上限的包時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，從而導(dǎo)致TCP/IP堆棧崩潰，使系統(tǒng)死機(jī)。理論上Ping發(fā)出的ICMP數(shù)據(jù)包最大為65507字節(jié)，如果超過(guò)這個(gè)限度，就會(huì)導(dǎo)致目標(biāo)系統(tǒng)緩沖區(qū)溢出，TCP/IP堆棧崩潰而死機(jī)。

2.攻擊

　　Ping命令的-l參數(shù)可以定制包的大小，-t參數(shù)可以循環(huán)發(fā)送無(wú)數(shù)包，但是僅有這些是不夠的，黑客們通常使用自己的Ping工具，甚至可以調(diào)動(dòng)眾多肉雞進(jìn)行分布式攻擊。

　　Tosser是一款很實(shí)用的網(wǎng)絡(luò)測(cè)試工具，提供了Ping和Trace功能，如圖1所示。

圖1

　　3．防御

　　現(xiàn)在所有標(biāo)準(zhǔn)的TCP/IP都已經(jīng)具備對(duì)付超大尺寸包的能力了，各種操作系統(tǒng)（Windows 98之后的Windows NT，Linux，Unix和Mac OS）都能抵抗一般的死亡之Ping，并且大多數(shù)防火墻都能夠自動(dòng)過(guò)濾這些攻擊，所以現(xiàn)在的普通Ping是很難形成Death之勢(shì)了。針對(duì)Ping攻擊只需利用路由器，防火墻對(duì)ICMP進(jìn)行有效的篩選即可。

古老的Smurf

　　1．原理

　　Smurf是一種很古老的DoS攻擊。這種方法使用了廣播地址，廣播地址的尾數(shù)通常為0，比如：192.168.1.0。在一個(gè)有N臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)中，當(dāng)其中一臺(tái)主機(jī)向廣播地址發(fā)送了1KB大小的ICMP Echo Requst時(shí)，那么它將收到N KB大小的ICMP Reply，如果N足夠大它將淹沒(méi)該主機(jī)，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP Echo Requst作出答復(fù)，使網(wǎng)絡(luò)阻塞！利用此攻擊時(shí)，假冒受害主機(jī)的IP，那么它就會(huì)收到應(yīng)答，形成一次拒絕服務(wù)攻擊。Smurf攻擊的流量比Ping of death洪水的流量高出一兩個(gè)數(shù)量級(jí)，而且更加隱蔽。

　　2．攻擊

　　Smurf2K是一個(gè)強(qiáng)大的攻擊工具，它通過(guò)一個(gè)儲(chǔ)存廣播列表地址的文件，記錄下Internet上可用的主機(jī)，然后利用這些主機(jī)發(fā)起進(jìn)攻。如圖2所示：

圖2

　　3．防御

　　為了防止黑客利用你的網(wǎng)絡(luò)進(jìn)行Smurf攻擊，關(guān)閉外部路由器或防火墻的廣播地址特性；為了防止被攻擊，在防火墻上設(shè)置規(guī)則丟棄掉ICMP包。

　　Fraggle攻擊

　　1．原理

　　Fraggle攻擊與Smurf攻擊類似，只是利用UDP協(xié)議；雖然標(biāo)準(zhǔn)的端口是7，但是大多數(shù)使用Fraggle攻擊的程序允許你指定其它的端口。Fraggle攻擊是這樣實(shí)現(xiàn)的：攻擊者掌握著大量的廣播地址，并向這些地址發(fā)送假冒的UDP包，通常這些包是直接到目標(biāo)主機(jī)的7號(hào)端口——也就是Echo端口，而另一些情況下它卻到了Chargen端口，攻擊者可以制造一個(gè)在這兩個(gè)端口之間的循環(huán)來(lái)產(chǎn)生網(wǎng)絡(luò)阻塞。

　　2．攻擊

　　編寫Fraggle攻擊程序時(shí)只要把Smurf攻擊程序的代碼作一下修改就可以了。

　　3．防御

　　最好的防止系統(tǒng)受到Smurf和Fraggle攻擊的方法是在防火墻上過(guò)濾掉ICMP報(bào)文，或者在服務(wù)器上禁止Ping，并且只在必要時(shí)才打開Ping服務(wù)。

原子彈——OOB Nuke

　　1．原理

　　OOB Nuke又名Windows nuke，是在1997年5月被發(fā)現(xiàn)的，這種攻擊將導(dǎo)致Windows 95/98藍(lán)屏，在當(dāng)時(shí)的IRC聊天用戶中很流行。OOB Nuke攻擊的實(shí)現(xiàn)是由于Windows 95/98不能正確的處理帶外數(shù)據(jù)。在TCP協(xié)議中提供了“緊急方式”，是傳輸?shù)囊欢烁嬖V另一端有些具有某種方式的“緊急數(shù)據(jù)”已經(jīng)放到普通的數(shù)據(jù)流中，如何處理由接受方?jīng)Q定。通過(guò)設(shè)置TCP首部中的兩個(gè)字段發(fā)出這種通知，URG比特被設(shè)置為1，并且一個(gè)16比特的緊急指針被設(shè)置為一個(gè)正的偏移量，某些實(shí)現(xiàn)將TCP的緊急方式稱之為帶外數(shù)據(jù)。問(wèn)題在于Windows 95/98不知道如何處理帶外數(shù)據(jù)。OOB Nuke一般使用139端口。

　　2．攻擊

　　僅提供一款工具：WindowsNuke2，如下圖3所示：

圖3

　　3．防御

　　打相關(guān)的補(bǔ)丁或者將你的Windows 95/98升級(jí)到2000或更高，不過(guò)連微軟都已經(jīng)放棄了Windows 95/98，估計(jì)現(xiàn)在還在使用它的人少之又少了。

　　Land攻擊

　　1．原理

　　Land攻擊是由著名的黑客組織RootShell發(fā)現(xiàn)的，于1997年11月20日公布的，原理比較簡(jiǎn)單，就是利用TCP連接三握手中的缺陷，向目標(biāo)主機(jī)發(fā)送源地址與目標(biāo)地址一樣的數(shù)據(jù)包，造成目標(biāo)主機(jī)解析Land包占用太多的資源，從而使網(wǎng)絡(luò)功能完全癱瘓。具體說(shuō)應(yīng)該是，Land攻擊打造一個(gè)特別的SYN包，其源地址和目標(biāo)地址被設(shè)置成同一個(gè)計(jì)算機(jī)的地址，這時(shí)將導(dǎo)致該計(jì)算機(jī)向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每個(gè)這樣的連接都將保留直到超時(shí)。

　　2．攻擊

　　Land攻擊對(duì)Windows 95很有效，但實(shí)際上，很多基于BSD的操作系統(tǒng)都有這個(gè)漏洞。不同的操作系統(tǒng)對(duì)Land攻擊反應(yīng)不同，很多Unix將崩潰，而Windows NT會(huì)變得非常緩慢，而且對(duì)Linux，路由器，其它大量的Unix都具有相當(dāng)?shù)墓袅Α＿@里提供Land程序的源代碼（請(qǐng)見光盤）。

　　3．防御

　　打最新的相關(guān)的安全補(bǔ)丁，在防火墻上進(jìn)行配置，將那些在外部接口上進(jìn)入的含有內(nèi)部源地址的包過(guò)濾掉，包括10域，127域，192.168域，172.16到172.31域。由于Land攻擊主要是構(gòu)造IP包，使源IP和目標(biāo)IP相同，源端口和目的端口相同，所以如果使用Tcpdump，可記錄到攻擊特征為：

　　23：45：13 815705 192.168.0.111 23>192.168.0.111 23：S 3868：3868(0) Windows 2048

淚滴——Teardrop攻擊

　　1.原理

　　Teardrop攻擊利用那些在TCP/IP堆棧實(shí)現(xiàn)中信任IP碎片中的包的標(biāo)題頭所包含的信息來(lái)實(shí)現(xiàn)自己的攻擊。IP分段含有指示該分段所包含的是原包的那一段的信息，某些TCP/IP在收到含有重疊偏移的偽造分段時(shí)將崩潰。具體的講是這樣的，物理層通常給所能傳輸?shù)膸由弦粋€(gè)尺寸上限，IP層將數(shù)據(jù)報(bào)的大小與物理層幀的上限相比較，如果需要就進(jìn)行分段。在IP報(bào)頭中設(shè)置了一些域用于分段：標(biāo)志域?yàn)榘l(fā)送者傳輸?shù)拿恳粋€(gè)報(bào)文保留一個(gè)獨(dú)立的值，這個(gè)特定的值被拷貝到每個(gè)特定報(bào)文的每個(gè)分段，標(biāo)志域中有一位作為“更多分段”位，除了最后一段之外，該位在組成一個(gè)數(shù)據(jù)報(bào)的所有分段中被置位；分段偏移域含有該分段自初始數(shù)據(jù)報(bào)開始位置的位移。對(duì)于存在Teardrop漏洞的操作系統(tǒng)，如果接受到畸形數(shù)據(jù)分段，則在某些情況下會(huì)破壞整個(gè)IP協(xié)議棧，因此，必須重啟計(jì)算機(jī)才能恢復(fù)。

　　2．攻擊

　　在早期的由BSD實(shí)現(xiàn)的網(wǎng)絡(luò)協(xié)議中，在處理數(shù)據(jù)包分段時(shí)存在漏洞，后來(lái)的一些操作系統(tǒng)都沿用了BSD的代碼，所以這個(gè)漏洞在Linux，Windows 98和Windows NT中都是存在的。網(wǎng)上有一個(gè)Linux上運(yùn)行的Teardrop程序——Teardrop.c，它就是實(shí)現(xiàn)這樣的攻擊的。下載地址是：http://www.computec.ch/software/denial_of_service/teardrop/teardrop.c

　　3．防御：

　　安裝最新的服務(wù)包，設(shè)置防火墻時(shí)對(duì)分段進(jìn)行重組，而不是轉(zhuǎn)發(fā)它們。

　　UDP Flood

　　1．原理

　　做個(gè)簡(jiǎn)單的實(shí)驗(yàn)，用Telnet連接到對(duì)方TCP chargen 19號(hào)端口，看看返回了什么？很吃驚的是，返回了大量的回應(yīng)數(shù)據(jù)，如果能加以利用的話就能夠發(fā)動(dòng)DoS攻擊了。先介紹一下Chargen服務(wù)， RFC0864中定義了這種服務(wù)，其UDP/TCP均使用了19號(hào)端口。UDP chargen server若收到一個(gè)封包，就會(huì)隨一個(gè)封包回去；而TCP chargen server若發(fā)現(xiàn)與Client的連線存在，就會(huì)不斷的發(fā)送封包給Client，所以TCP chargen可以直接誘發(fā)DoS攻擊。不過(guò)常用的還是UDP chargen，它常被用來(lái)作為DDoS中放大網(wǎng)絡(luò)流量之用，一般要結(jié)合Echo服務(wù)。Echo服務(wù)用的是UDP的7號(hào)端口，如果它收到一個(gè)包，就會(huì)把包中的負(fù)載按原樣返回，而如果你向UDP的19號(hào)端口Chargen發(fā)送一個(gè)任意字符，它將返回一個(gè)假的隨機(jī)字符串。UDP Flood攻擊就是通過(guò)偽造與某一臺(tái)主機(jī)的Chargen服務(wù)之間的UDP連接，回復(fù)地址指向開著Echo服務(wù)的一臺(tái)主機(jī)，這就能在兩臺(tái)主機(jī)之間產(chǎn)生無(wú)用的數(shù)據(jù)流，如果數(shù)據(jù)流足夠多就會(huì)導(dǎo)致DoS。

　　UDP Flood圖解（如圖4所示）：

圖4

　　2．攻擊

　　一個(gè)典型的UDP Flood攻擊工具——UDP Flooder，如圖5所示：

圖5

　　3．防御

　　關(guān)掉一些不必要的TCP/IP服務(wù)，或者對(duì)防火墻進(jìn)行配置，阻斷來(lái)自Internet的請(qǐng)求這些服務(wù)的UDP請(qǐng)求。

分布式拒絕服務(wù)——DDoS

　　1．原理

　　大名鼎鼎的DDoS在2000年的“電子珍珠港事件”中名聲大震，我也沒(méi)必要說(shuō)很多。從名字中我們就能得知，它是利用很多臺(tái)機(jī)器一起發(fā)動(dòng)攻擊。攻擊手法可能只是簡(jiǎn)單的Ping，也可能是SYN Flood或其它，但是由于它調(diào)用了很多臺(tái)機(jī)器，所以規(guī)模很大，火力更猛，而且因?yàn)樗昧薚CP/IP網(wǎng)絡(luò)協(xié)議的缺陷，所以很難防御這種進(jìn)攻。

　　2．攻擊

　　2001年用來(lái)攻擊Yahoo等網(wǎng)站的程序——TFN，Trinoo，TFN2K等都堪稱是黑客技術(shù)的杰作，而且網(wǎng)上都有它們的源代碼。

　　3．防御

　　主要談一下防御。要阻止這種進(jìn)攻關(guān)鍵是網(wǎng)絡(luò)出口反欺騙過(guò)濾器的功能是否強(qiáng)大，也就是說(shuō)如果你的WEB服務(wù)器收到的數(shù)據(jù)包的源IP地址是偽造的話，你的邊界路由器或防火墻必須能夠識(shí)別出來(lái)并將其丟棄，最快速的方法是和ISP聯(lián)手通過(guò)丟包等方法一起來(lái)阻擋這種龐大的進(jìn)攻。另外針對(duì)DDoS進(jìn)攻是集中于某一個(gè)IP地址的特點(diǎn)，使用移動(dòng)IP地址技術(shù)也是一種不錯(cuò)的選擇。大多數(shù)的DDoS攻擊代碼是公開的，分析源代碼我們也可以根據(jù)其特點(diǎn)設(shè)計(jì)出有效的反擊方法，或者使用工具檢測(cè)這種進(jìn)攻。現(xiàn)在已經(jīng)出現(xiàn)了名為Ngrep的工具，它使用DNS來(lái)跟蹤TFN2K駐留程序。

　　分布式反射拒絕服務(wù)——DRDoS

　　1．原理

一種比DDoS更可怕的攻擊方式已經(jīng)出現(xiàn)了！它就是DRDoS——分布式反射拒絕服務(wù)（Distributed Reflection Denial of Service）。DRDoS不同于以往的拒絕服務(wù)方式，它對(duì)DDoS作了改進(jìn)，它是通過(guò)對(duì)正常的服務(wù)器進(jìn)行網(wǎng)絡(luò)連接請(qǐng)求來(lái)達(dá)到攻擊目的的。從TCP的三次握手中我們知道了任何合法的TCP連接請(qǐng)求都會(huì)得到返回?cái)?shù)據(jù)包，而這種攻擊方法就是將這個(gè)返回包直接返回到被攻擊的主機(jī)上，這里涉及到數(shù)據(jù)包內(nèi)的源IP地址問(wèn)題，就是利用數(shù)據(jù)包的IP地址欺騙方法，欺騙被利用的網(wǎng)絡(luò)服務(wù)器提供TCP服務(wù)，讓此服務(wù)器認(rèn)為TCP請(qǐng)求連接都是被攻擊主機(jī)上發(fā)送的，接著它就會(huì)發(fā)送“SYN+ACK”數(shù)據(jù)包給被攻擊主機(jī)，惡意的數(shù)據(jù)包就從被利用的服務(wù)器“反射”到了被害主機(jī)上，形成洪水攻擊。

　　DRDoS圖解（如圖9所示）：

圖9

　　2．攻擊

　　DRDoS很好地隱蔽了攻擊者的真實(shí)地址，利用時(shí)我們也可以使用威力更大的方式。

　　這里提供一款命令行攻擊工具——DRDoS（安全焦點(diǎn)有下載），使用很簡(jiǎn)單，但是威力很大。慎用！

　　3．防御

　　防御這種攻擊需要相當(dāng)高的專業(yè)技巧，一般來(lái)說(shuō)應(yīng)該讓網(wǎng)絡(luò)安全事件響應(yīng)小組來(lái)取證分析，并請(qǐng)信息安全服務(wù)商來(lái)解決。