分类: 网络与安全
2007-04-08 20:20:38
(1) ping of death方法是利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定,由攻击者故意发送大于65536比特的给对方。的特征之一是碎裂;它允许单一IP包被分为几个更小的数据包,使用碎片包可以将整个IP包的大小增加到允许的65536比特以上,当许收到一个特大号的ip包时候,主机就会出现内存分配错误,导致TCP/IP堆栈崩溃,因此,服务器会被冻结、当机或重新启动。
//判断是否是分片
if (iph->frag_off & htons(IP_MF|IP_OFFSET)) {
log.fragment++;
/*当不是icmp服务时,返回*/
if(iph->protocol!=1) return;
/*否则判断为ping of death协议,记录日志*/
do_log("Ping_of_death",sbuffptr); }
(2) 恶意扫描
秘密扫描技术不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而必SYN扫描隐蔽得多。另外,FIN数据包能够通过只监测SYN包的包过滤器。
秘密扫描技术使用FIN数据包来探听端口。当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且会返回一个RST数据包。否则,当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉(不返回RST)。
Xmas和Null扫描是秘密扫描的两个变种。Xmas扫描打开FIN,URG和PUSH标记,而Null扫描关闭所有标记。这些组合的目 的是为了通过所谓的FIN标记监测器的过滤。
秘密扫描通常适用于UNIX目标主机,除过少量的应当丢弃数据包却发送reset信号的操作系统(包括CISCO,BSDI, HP/UX,MVS和IRIX)。在Windows95/NT环境下,该方法无效,因为不论目标端口是否打开,操作系统都发送RST。 跟SYN扫描类似,秘密扫描也需要自己构造IP 包。
if(tcph->fin&&tcph->syn&&!tcph->rst&&!tcph->psh&&!tcph->ack&&!tcph->urg)
do_log("SF_scan", sbuffptr);
/*Null扫描关闭所有标记*/
if(!tcph->fin&&!tcph->syn&&!tcph->rst&&!tcph->psh&&!tcph->ack&&!tcph->urg)
do_log("NULL_scan", sbuffptr);
/*FULL_Xmas_scan扫描打开所有标记*/
if(tcph->fin&&tcph->syn&&tcph->rst&&tcph->psh&&tcph->ack&&tcph->urg)
do_log("FULL_Xmas_scan", sbuffptr);
/*Xmas扫描打开FIN,URG和PUSH标记*/
if(tcph->fin&&!tcph->syn&&!tcph->rst&&tcph->psh&&!tcph->ack&&tcph->urg)
do_log("XMAS_Scan(FPU)", sbuffptr);
Xmax 扫描:利用WinNmap攻击软件在Target(s)栏中填写要攻击对象的ip地址,选择Scan Type中的Type项中选择Xmas扫描,结果如图2.3所示。
图2.3 利用WinNmap进行Xmax扫描
运行中的lids检测到后进行日志记录,如图2.4所示。
图2.4 lids检测Xmax攻击记录
Null扫描:利用WinNmap攻击软件同上,选择Scan Type中的Type项中选择Null扫描,结果如图2.5所示。
图2.5 利用WinNmap进行Null扫描
运行中的lids检测到后进行日志记录,如图2.6所示。
图2.6 lids检测Null攻击记录
(3) land攻击
一个特别打造的SYN包它的源地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢。
/*当源地址=目的地址或源端口=目的端口时判断为land攻击,记录日志*/
if(iph->saddr!=iph->daddr || tcph->source!=tcph->dest)
return;
do_log("land",sbuffptr);
攻击实例:采用独裁者DDos攻击器实现land 攻击。
将Server植入肉鸡,运行,肉鸡会重启。控制端和服务器端如图2.7所示。
图2.7 控制端和服务器端
在控制端添加肉鸡。运行软件,在主机列表“添加”项输入作为肉鸡的ip地址。
图2.8 在控制端添加肉鸡
检查肉鸡是否有效。显示活动主机1个,无效主机0个。
图2.9 检查肉鸡是否有效
通过命令得到被攻击主机端口情况,显示其活动的端口号和其他具体信息。
图2.10被攻击主机端口情况
