HuaWei ❀ Firewalld 基础防范攻击汇总梳理(最详细的常见攻击原理解释)

Posted 国家级干饭型选手°

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HuaWei ❀ Firewalld 基础防范攻击汇总梳理(最详细的常见攻击原理解释)相关的知识,希望对你有一定的参考价值。

文章目录

1、网络攻击的种类

网络攻击一般分为拒绝服务型攻击、扫描窥探攻击和畸形报文攻击三大类;

  • 拒绝服务型攻击
    拒绝服务型DoS(Denial of Service)攻击是使用大量的数据包攻击系统,使系统无法接受正常用户的请求,或者主机挂起不能正常的工作,主要DoS攻击有SYN Flood、Fraggle等;
    拒绝服务攻击和其他类型的攻击不同之处在于:攻击者并不是去寻找进入内部网络的入口,而是阻止合法用户访问资源或防火墙;
  • 扫描窥探攻击
    扫描窥探攻击是利用ping扫描来标识网络上存活着的系统,从而准确地指出潜在的目标,利用TCP和UDP等进行端口扫描,就能检测出操作系统的种类和潜在的服务种类;
    攻击者通过扫描窥探就能大致了解目标系统提供的服务种类,为进一步侵入系统做好准备;
  • 畸形报文攻击
    畸形报文攻击是通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的IP包时会出现崩溃,给目标系统带来损失,主要的畸形报文攻击有Ping of Death、Teardrop等;

2、Land攻击

Land攻击就是把TCP的SYN包的源地址和目的地址都设置为目标计算机的IP地址,这将导致目标计算机向它自己发送SYN-ACK报文,目标计算机又向自己发回ACK报文并创建一个空连接,每一个这样的连接都将报留直到超时;各类主机对Land攻击反应不同,许多Unix主机将崩溃,Windows NT主机会变得极其缓慢;
在这里插入图片描述

3、Smurf攻击

简单的Smurf攻击,用来攻击一个网络,攻击者向目标网络发送ICMP应答请求报文,该报文的目标地址设置为目标网络的广播地址,这样目标网络的所有主机都对此ICMP应答请求做出回复,导致网络阻塞;
在这里插入图片描述

高级的Smurf攻击,主要用来攻击目标主机,攻击者向目标主机所在的网络发送ICMP应答请求报文,该报文的目标地址设置为目标网络的广播地址、源地址设置为目标主机的地址,这样所有的应答报文都将发送给目标主机,最终导致目标主机处理速度缓慢或崩溃;
在这里插入图片描述

Smurf攻击报文的发送需要一定的流量和持续时间,才能真正构成攻击,理论上讲目标网络主机越多,攻击效果越明显;

4、WinNuke攻击

NetBios作为一种基本的网络资源访问接口,广泛的应用于文件共享,打印共享,进程间通信,以及不同操作系统之间的数据交换,一般情况下,NetBIOS是运行在LLC2链路协议上的,是一种基于组播的网络访问接口,为了在TCP/IP协议栈上实现NetBIOS,RFC规定了一系列交互标准,以及几个常用的TCP/UDP端口,如下:
139:NetBIOS会话服务的TCP端口;
137:NetBIOS名字服务的UDP端口;
136:NetBIOS数据报服务的UDP端口;
Windows操作系统实现了NetBIOS over TCP/IP功能,并开放了139端口;
winNuke攻击就是利用了Windows操作系统的一个漏洞,向这个139端口发送一些携带TCP带外(OOB)数据报文,但这些攻击报文与正常携带的OOB数据报文不同的是,其指针字段与数据的实际位置不符,即存在重叠,Windows操作系统在处理这些数据的时候,就会崩溃;

5、SYN Flood攻击

SYN Flood攻击利用TCP三次握手的一个漏洞向目标计算机发动攻击,攻击者向目标计算机发送TCP连接请求(SYN报文),然后对于目标返回的SYN-ACK报文不作回应,目标计算机如果没有收到攻击者的ACK回应,就会一直等待,形成半连接,直到超时才释放连接;
在这里插入图片描述

攻击者利用这种方式发送大量的TCP SYN报文,让目标计算机上生成大量的半连接,迫使其大量资源浪费在这些半连接上,目标计算机一旦资源耗尽,就会出现速度缓慢,正常用户无法连接等情况;攻击者也可以伪造SYN报文,使用伪造的源地址向目标发起攻击;

6、ICMP Flood攻击

通常情况下,网络管理员会用Ping程序对网络进行监控和故障排查;
源计算机向接收计算机发出ICMP响应请求报文(ICMP ECHO)
接收计算机接收到ICMP响应请求报文后,会向源计算机回应一个ICMP应答报文(ICMP Reply)
这个过程是需要CPU处理的,在有些情况下还会消耗硬件资源;如果攻击者向目标计算机发送大佬的ICMP ECHO报文,则目标计算机会忙于处理这些ECHO报文,而无法继续处理其他的数据报文,如下图所示;
在这里插入图片描述

7、UDP Flood攻击

UDP Flood攻击的原理与ICMP Flood攻击类似,攻击者通过发送大量的UDP报文给目标计算机,导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文;

8、地址扫描与端口扫描攻击

攻击者运用扫描工具探测目标地址和端口,目的地址会对这些探测作出响应,攻击者根据这些响应用来确定哪些目标系统是存活着并且连接在网络上、目标主机开放或者关闭了哪些端口;

9、Ping of Death攻击

Ping of Death就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击;
IP报文 的长度字段为16位,这表明一个IP报文的最大长度为65535,对于ICMP回应请求报文,如果数据包长度大于65507,就会使得ICMP数据 + IP头长度(20)+ICMP头长度(8)> 65535,对于有些防火墙或系统,在接收到一个这样的报文后,由于处理不当会造成系统崩溃、死机或重启;
在这里插入图片描述

10、Large-ICMP攻击

同Ping of Death类似,Laarge-ICMP也是利用一些大尺寸的ICMP报文对系统进行的一种攻击,与Ping of Death不同的是,Large-ICMP报文的长度不会超过IP报文的最大长度65535,但是对一些操作系统也会造成破坏;需要在防火墙上配置允许通过的ICMP报文的最大长度;

11、ICMP-Unreachable攻击

某些系统在收到网络(报文类型字段为3,代码字段为0)或主机(报文类型字段为3,代码字段为1)不可达的ICMP报文后,对于后续发往此目的地的报文直接认为不可达,如下图所示;
在这里插入图片描述

攻击者利用这种机制,向目标主机发送虚假的ICMP-Unreachable报文,干扰了目标主机的路由信息,影响了报文发送;

12、ICMP-Redurect攻击

ICMP-Redurect攻击和ICMP-Unreachable攻击类似,网络设备可以向同一个子网的主机发送ICMP重定向报文,请求主机修改路由,攻击者利用这个原理,跨越网段向另外一个网络的目标主机发送虚假的重定向报文,以改变目标主机的路由表,这种攻击干扰了目标主机的路由信息,影响了报文发送,如下图所示;
在这里插入图片描述

13、IP-fragment攻击

IP报文中有几个字段与分片有关,DF(不分片)位、MF(更多的分片)位、Fragment Offset(分段偏移量)、Lengeth(长度);如果前面字段出现矛盾,而设备处理不当,则会对设备造成一定的影响,甚至瘫痪;
DF位被置位,而MF位同时被置位或Fragment Offset不为0;
DF位为0,而Fragment Offset + Length > 65535;
另外,由于分片报文可以增加目的设备缓存和重组的负担,应直接丢弃目的地址为设备本身的分片报文;

14、Teardrop攻击

在网络传输的过程中,如果IP报文的长度超过链路层的MTU(最大传输单元),就会进行分片,在IP报头中有一个偏移字段(Offset)和一个分片标志MF,如果MF标志为1,则表明这个IP报头是一个大IP包的分片,其中偏移字段指出了这个片断在整个IP包中的位置,接收端可以根据报文头部中的这些信息还原该IP包;
比如一个较大的报文在MTU较小的链路上传输的时候,被分成了两个IP报文,这两个IP报文将在目的端进行组装,还原为原始的IP报文,如下图所示为一个正常的分片组装;
在这里插入图片描述

如果一个攻击者打破这种正常情况,把偏移字段设置为不正确的值,即可能出现重合或断开的情况,某些TCP/IP协议栈在收到类似这种含有重叠偏移的伪造分段时会崩溃,这就是所谓的Teardrop攻击,如下图所示;
在这里插入图片描述

15、Fraggle攻击

Fraggle攻击的原理与Smurf攻击原理类似,不过Fraggle攻击发送的是UDP报文而非ICMP报文,因为发送的是UDP报文,Fraggle攻击可以穿过一些阻止ICMP报文进入的防火墙;
Fraggle攻击利用的原理是UDP端口7(EHCO)和端口19(Chargen)在收到UDP报文后,都会产生回应,如下:
UDP 7收到报文后,会像ICMP ECHO Reply一样回应收到的内容;
UDP 19在收到报文后,会产生一串字符流;
这两个UDP端口都会产生大量的报文占用带宽,攻击者可以向目标主机所在的网络发送源地址为被攻击主机、而目的地址为其所在子网的广播地址或子网网络地址的UDP报文,目的端口为7或19,子网中启用了此功能的每个系统都会向受害主机发送回应报文,从而产生大量的流量,导致受害网络的阻塞或受害主机崩溃;
如果目标主机所在网络上的主机没有启动这些功能,这些主机将产生一个ICMP不可达消息,仍然消耗带宽,也可将源端口改为端口19,目的端口为7,这样会自动不停地产生回应报文,其危害性更大;

16、Tracert攻击

Tracert攻击是利用TTL为0时返回的ICMP超时报文,和达到目的地时返回的ICMP端口不可达报文来发现报文到达目的地所经过的路径;攻击者可以利用Tracert窥探网络的结构,对网络造成潜在的威胁;

17、畸形TCP报文攻击

畸形TCP报文是通过故意错误设置TCP头部中的6个标识位,造成接收方TCP协议栈的处理错误,达到攻击的目的;

以上是关于HuaWei ❀ Firewalld 基础防范攻击汇总梳理(最详细的常见攻击原理解释)的主要内容,如果未能解决你的问题,请参考以下文章

HuaWei ❀ Firewalld ASPF-状态防火墙

Firewalld防火墙与ICMP攻击

HuaWei ❀ Firewalld 思维导图梳理

HuaWei ❀ Firewalld 安全区域

HuaWei ❀ Firewalld 端口映射

HuaWei ❀ Firewalld 部署模式总结