网络中各种攻击和病毒等分析资源-CSDN文库

4星 · 超过85%的资源需积分: 10 69 浏览量 2011-04-08 10:40:23 上传评论 1 收藏 42KB DOCX 举报

网络中各种攻击和病毒等分析在当今的网络时代，网络攻击和病毒威胁着我们的网络安全。了解各种网络攻击和病毒的原理和手段，对于保护网络安全和防止攻击非常重要。本文将对常见的网络攻击手段进行分析和解释，包括Flood攻击、Web攻击、端口攻击、溢出攻击等。 Flood攻击是指攻击者向目标网络或系统发送大量的数据包，以达到使网络或系统瘫痪的目的。其中，ICMP洪水是一种常见的Flood攻击手段，攻击者通过发送大量的ICMP数据包来淹没目标网络或系统。UDP洪水也是Flood攻击的一种形式，攻击者通过发送大量的UDP数据包来达到攻击目的。端口攻击是指攻击者通过扫描目标网络或系统的开放端口，以查找潜在的安全漏洞。端口扫描是一种常见的端口攻击手段，攻击者通过扫描目标网络或系统的开放端口来查找潜在的安全漏洞。溢出攻击是指攻击者通过发送大量的数据包来使目标网络或系统的缓冲区溢出，从而达到攻击目的。其中，分片IP报文攻击是一种常见的溢出攻击手段，攻击者通过发送大量的分片IP报文来使目标网络或系统的缓冲区溢出。 SYN比特和FIN比特同时设置是一种常见的溢出攻击手段，攻击者通过设置SYN比特和FIN比特来使目标网络或系统的缓冲区溢出。设置了FIN标志却没有设置ACK标志的TCP报文攻击也是溢出攻击的一种形式，攻击者通过设置FIN标志却没有设置ACK标志来使目标网络或系统的缓冲区溢出。死亡之PING是一种常见的网络攻击手段，攻击者通过发送大量的PING数据包来淹没目标网络或系统。地址猜测攻击是指攻击者通过猜测目标网络或系统的IP地址来进行攻击。泪滴攻击是一种常见的网络攻击手段，攻击者通过发送大量的数据包来淹没目标网络或系统。带源路由选项的IP报文攻击是一种常见的网络攻击手段，攻击者通过发送带源路由选项的IP报文来攻击目标网络或系统。带记录路由选项的IP报文攻击也是网络攻击的一种形式，攻击者通过发送带记录路由选项的IP报文来攻击目标网络或系统。未知协议字段的IP报文攻击是一种常见的网络攻击手段，攻击者通过发送未知协议字段的IP报文来攻击目标网络或系统。网络攻击和病毒的危害性非常大，对于保护网络安全和防止攻击非常重要。了解各种网络攻击和病毒的原理和手段，对于保护网络安全和防止攻击非常重要。

资源推荐

资源详情

资源评论

常见网络攻击手段原理分析
目录：
常见网络攻击手段原理分析............................................................................................................... 1
TCP SYN 拒绝服务攻击........................................................................................................................ 1
1.1 ICMP 洪水....................................................................................................................................... 2
1.2 UDP 洪水........................................................................................................................................ 2
1.3 端口扫描........................................................................................................................................ 2
1.4 分片 IP 报文攻击............................................................................................................................ 3
1.5 SYN 比特和 FIN 比特同时设置....................................................................................................... 3
1.6 没有设置任何标志的 TCP 报文攻击.............................................................................................. 3
1.7 设置了 FIN 标志却没有设置 ACK 标志的 TCP 报文攻击................................................................3
1.8 死亡之 PING................................................................................................................................... 3
1.9 地址猜测攻击................................................................................................................................ 3
1.10 泪滴攻击...................................................................................................................................... 4
1.11 带源路由选项的 IP 报文.............................................................................................................. 4
1.12 带记录路由选项的 IP 报文.......................................................................................................... 4
1.13 未知协议字段的 IP 报文.............................................................................................................. 4
1.14 IP 地址欺骗.................................................................................................................................. 4
1.15 WinNuke 攻击............................................................................................................................... 5
1.16 Land 攻击...................................................................................................................................... 5
1.17 Script/Ac)veX 攻击....................................................................................................................... 5
1.18 Smurf 攻击.................................................................................................................................... 6
1.19 虚拟终端（VTY）耗尽攻击......................................................................................................... 6
1.20 路由协议攻击.............................................................................................................................. 6
1.20.1 针对 RIP 协议的攻击......................................................................................................... 6
1.20.2 针对 OSPF 路由协议的攻击.............................................................................................. 7
1.20.3 针对 IS-IS 路由协议的攻击................................................................................................ 7
1.21 针对设备转发表的攻击............................................................................................................... 7
1.21.1 针对 MAC 地址表的攻击................................................................................................... 7
1.21.2 针对 ARP 表的攻击............................................................................................................ 8
1.21.3 针对流项目表的攻击........................................................................................................ 8
1.22 DNS 缓存攻击....................................................................................................................... 9
TCP SYN 拒绝服务攻击 
一般情况下，一个 TCP 连接的建立需要经过三次握手的过程，即： 
1、 建立发起者向目标计算机发送一个 TCP SYN 报文； 
2、 目标计算机收到这个 SYN 报文后，在内存中创建 TCP 连接控制块（TCB），然后向发
起者回送一个 TCP ACK 报文，等待发起者的回应； 
3、 发起者收到 TCP ACK 报文后，再回应一个 ACK 报文，这样 TCP 连接就建立起来了。
 
利用这个过程，一些恶意的攻击者可以进行所谓的 TCP SYN 拒绝服务攻击： 
1、 攻击者向目标计算机发送一个 TCP SYN 报文； 
2、 目标计算机收到这个报文后，建立 TCP 连接控制结构（TCB），并回应一个 ACK，等待
1

发起者的回应；

3、而发起者则不向目标计算机回应 ACK 报文，这样导致目标计算机一致处于等待状态。

　　可以看出，目标计算机如果接收到大量的 TCP SYN 报文，而没有收到发起者的第三次 ACK

回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB 控

制结构，TCB，一般情况下是有限的）耗尽，而不能响应正常的 TCP 连接请求。

1.1 ICMP 洪水

正常情况下，为了对网络进行诊断，一些诊断程序，比如 PING 等，会发出 ICMP 响应请求

报文（ICMP ECHO），接收计算机接收到 ICMP ECHO 后，会回应一个 ICMP ECHO Reply 报文。

而这个过程是需要 CPU 处理的，有的情况下还可能消耗掉大量的资源，比如处理分片的时候。

这样如果攻击者向目标计算机发送大量的 ICMP ECHO 报文（产生 ICMP 洪水），则目标计算机

会忙于处理这些 ECHO 报文，而无法继续处理其它的网络数据报文，这也是一种拒绝服务攻击

（DOS）。

1.2 UDP 洪水

原理与 ICMP 洪水类似，攻击者通过发送大量的 UDP 报文给目标计算机，导致目标计算机

忙于处理这些 UDP 报文而无法继续处理正常的报文。

1.3 端口扫描

　　根据 TCP 协议规范，当一台计算机收到一个 TCP 连接建立请求报文（TCP SYN）的时候，

做这样的处理：

　　1、如果请求的 TCP 端口是开放的，则回应一个 TCP ACK 报文，并建立 TCP 连接控制结

构（TCB）；

　　2、如果请求的 TCP 端口没有开放，则回应一个 TCP RST（TCP 头部中的 RST 标志设为

1）报文，告诉发起计算机，该端口没有开放。

　　相应地，如果 IP 协议栈收到一个 UDP 报文，做如下处理：

　　1、如果该报文的目标端口开放，则把该 UDP 报文送上层协议（UDP）处理，不回应任何

报文（上层协议根据处理结果而回应的报文例外）；

　　2、如果该报文的目标端口没有开放，则向发起者回应一个 ICMP 不可达报文，告诉发起

者计算机该 UDP 报文的端口不可达。

　　利用这个原理，攻击者计算机便可以通过发送合适的报文，判断目标计算机哪些 TCP 或 U

DP 端口是开放的，过程如下：

　　1、发出端口号从 0 开始依次递增的 TCP SYN 或 UDP 报文（端口号是一个 16 比特的数字，

这样最大为 65535，数量很有限）；

　　2、如果收到了针对这个 TCP 报文的 RST 报文，或针对这个 UDP 报文的 ICMP 不可达报文，

则说明这个端口没有开放；

　　3、相反，如果收到了针对这个 TCP SYN 报文的 ACK 报文，或者没有接收到任何针对该

UDP 报文的 ICMP 报文，则说明该 TCP 端口是开放的，UDP 端口可能开放（因为有的实现中可

能不回应 ICMP 不可达报文，即使该 UDP 端口没有开放）。

　　这样继续下去，便可以很容易的判断出目标计算机开放了哪些 TCP 或 UDP 端口，然后针

对端口的具体数字，进行下一步攻击，这就是所谓的端口扫描攻击。

1.4 分片 IP 报文攻击

为了传送一个大的 IP 报文，IP 协议栈需要根据链路接口的 MTU 对该 IP 报文进行分片，通

过填充适当的 IP 头中的分片指示字段，接收计算机可以很容易的把这些 IP 分片报文组装起来。

目标计算机在处理这些分片报文的时候，会把先到的分片报文缓存起来，然后一直等待后

续的分片报文，这个过程会消耗掉一部分内存，以及一些 IP 协议栈的数据结构。如果攻击者

给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等

待（直到一个内部计时器到时），如果攻击者发送了大量的分片报文，就会消耗掉目标计算机

的资源，而导致不能相应正常的 IP 报文，这也是一种 DOS 攻击

1.5 SYN 比特和 FIN 比特同时设置

　　在 TCP 报文的报头中，有几个标志字段：

　　1、 SYN：连接建立标志，TCP SYN 报文就是把这个标志设置为 1，来请求建立连接；

　　2、 ACK：回应标志，在一个 TCP 连接中，除了第一个报文（TCP SYN）外，所有报文都设

置该字段，作为对上一个报文的相应；

　　3、 FIN：结束标志，当一台计算机接收到一个设置了 FIN 标志的 TCP 报文后，会拆除这个

TCP 连接；

　　4、 RST：复位标志，当 IP 协议栈接收到一个目标端口不存在的 TCP 报文的时候，会回应

一个 RST 标志设置的报文；

　　5、 PSH：通知协议栈尽快把 TCP 数据提交给上层程序处理。

　　正常情况下，SYN 标志（连接请求标志）和 FIN 标志（连接拆除标志）是不能同时出现在

一个 TCP 报文中的。而且 RFC 也没有规定 IP 协议栈如何处理这样的畸形报文，因此，各个操作

系统的协议栈在收到这样的报文后的处理方式也不同，攻击者就可以利用这个特征，通过发送

SYN 和 FIN 同时设置的报文，来判断操作系统的类型，然后针对该操作系统，进行进一步的攻

击。

1.6 没有设置任何标志的 TCP 报文攻击

正常情况下，任何 TCP 报文都会设置 SYN，FIN，ACK，RST，PSH 五个标志中的至少一个

标志，第一个 TCP 报文（TCP 连接请求报文）设置 SYN 标志，后续报文都设置 ACK 标志。有

的协议栈基于这样的假设，没有针对不设置任何标志的 TCP 报文的处理过程，因此，这样的协

议栈如果收到了这样的报文，可能会崩溃。攻击者利用了这个特点，对目标计算机进行攻击。

1.7 设置了 FIN 标志却没有设置 ACK 标志的 TCP 报文攻击

正常情况下，ACK 标志在除了第一个报文（SYN 报文）外，所有的报文都设置，包括 TCP

连接拆除报文（FIN 标志设置的报文）。但有的攻击者却可能向目标计算机发送设置了 FIN 标

志却没有设置 ACK 标志的 TCP 报文，这样可能导致目标计算机崩溃。

1.8 死亡之 PING

TCP/IP 规范要求 IP 报文的长度在一定范围内（比如，0－64K），但有的攻击计算机可能

向目标计算机发出大于 64K 长度的 PING 报文，导致目标计算机 IP 协议栈崩溃。

1.9 地址猜测攻击

跟端口扫描攻击类似，攻击者通过发送目标地址变化的大量的 ICMP ECHO 报文，来判断

目标计算机是否存在。如果收到了对应的 ECMP ECHO REPLY 报文，则说明目标计算机是存在

剩余10页未读，继续阅读

评论收藏

内容反馈

NAVANsmile

2013-03-20

看不懂，没有基础
几点几点思考

2012-01-05

后缀docx，office2007以上的才能打开，本人只装了office2003打不开。。

gavinzwj

粉丝: 0
资源: 2

网络中各种攻击和病毒等分析

各种病毒分析

网络常见攻击的种类分析

网络入侵和攻击分析

网络型病毒分析与计算机网络安全技术.pdf

病毒和网络攻击中的多态、变形技术原理分析及对策

网络型病毒分析与计算机网络安全技术研究.pdf

网络型病毒分析与计算机网络安全技术构建.pdf

网络蠕虫病毒的解析与防范

2023年中国企业勒索病毒攻击态势分析报告

工控网络十大病毒分析

网络病毒与网络安全维护路径的分析及研究.pdf

对匿名通信网络的攻击分析

分析分布式宽带网络病毒预警系统.pdf

ARP病毒攻击分析及其防范措施

网络型病毒与计算机网络安全研究.pdf

Python病毒技术分析

典型病毒分析

计算机病毒与防护：病毒分析平台的搭建.pptx

实用网络流量分析技术

ARP病毒攻击技术分析与防御

飞鱼星路由器防止被网络病毒攻击的方法

网络病毒攻击影响及应急办法.docx

机器狗病毒攻击原理分析论文

360-2018年勒索病毒疫情分析报告（网络安全）-2019.2-32页.pdf

数据挖掘技术在计算机网络病毒防范中的应用探讨.pdf

计算机网络嗅探攻击实验.docx

计算机病毒分析与防范大全

计算机病毒学以及常见病毒分析

最新资源