Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1242917
  • 博文数量: 298
  • 博客积分: 10050
  • 博客等级: 上将
  • 技术积分: 3277
  • 用 户 组: 普通用户
  • 注册时间: 2007-03-14 13:36
文章分类
文章存档

2015年(7)

2012年(1)

2010年(5)

2009年(55)

2008年(73)

2007年(160)

我的朋友

分类: 网络与安全

2007-04-08 20:20:38

2.2.3 数据包分析模块

(1) ping of death方法是利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定,由攻击者故意发送大于65536比特的给对方。的特征之一是碎裂;它允许单一IP包被分为几个更小的数据包,使用碎片包可以将整个IP包的大小增加到允许的65536比特以上,当许收到一个特大号的ip包时候,主机就会出现内存分配错误,导致TCP/IP堆栈崩溃,因此,服务器会被冻结、当机或重新启动。

//判断是否是分片

if (iph->frag_off & htons(IP_MF|IP_OFFSET)) { 

             log.fragment++;

/*当不是icmp服务时,返回*/

        if(iph->protocol!=1) return;

/*否则判断为ping of death协议,记录日志*/

               do_log("Ping_of_death",sbuffptr); }

(2) 恶意扫描

秘密扫描技术不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而必SYN扫描隐蔽得多。另外,FIN数据包能够通过只监测SYN包的包过滤器。

秘密扫描技术使用FIN数据包来探听端口。当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且会返回一个RST数据包。否则,当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉(不返回RST)。

XmasNull扫描是秘密扫描的两个变种。Xmas扫描打开FINURGPUSH标记,而Null扫描关闭所有标记。这些组合的目 的是为了通过所谓的FIN标记监测器的过滤。

秘密扫描通常适用于UNIX目标主机,除过少量的应当丢弃数据包却发送reset信号的操作系统(包括CISCOBSDI HP/UXMVSIRIX)。在Windows95/NT环境下,该方法无效,因为不论目标端口是否打开,操作系统都发送RST SYN扫描类似,秘密扫描也需要自己构造IP 包。

if(tcph->fin&&tcph->syn&&!tcph->rst&&!tcph->psh&&!tcph->ack&&!tcph->urg)

           do_log("SF_scan", sbuffptr);

/*Null扫描关闭所有标记*/

if(!tcph->fin&&!tcph->syn&&!tcph->rst&&!tcph->psh&&!tcph->ack&&!tcph->urg)

         do_log("NULL_scan", sbuffptr);

/*FULL_Xmas_scan扫描打开所有标记*/

  if(tcph->fin&&tcph->syn&&tcph->rst&&tcph->psh&&tcph->ack&&tcph->urg)

           do_log("FULL_Xmas_scan", sbuffptr);

/*Xmas扫描打开FINURGPUSH标记*/

  if(tcph->fin&&!tcph->syn&&!tcph->rst&&tcph->psh&&!tcph->ack&&tcph->urg)

           do_log("XMAS_Scan(FPU)", sbuffptr); 

Xmax 扫描:利用WinNmap攻击软件在Target(s)栏中填写要攻击对象的ip地址,选择Scan Type中的Type项中选择Xmas扫描,结果如图2.3所示。

2.3 利用WinNmap进行Xmax扫描

 

运行中的lids检测到后进行日志记录,如图2.4所示。

 

2.4 lids检测Xmax攻击记录

 

Null扫描:利用WinNmap攻击软件同上,选择Scan Type中的Type项中选择Null扫描,结果如图2.5所示。

 

2.5 利用WinNmap进行Null扫描

运行中的lids检测到后进行日志记录,如图2.6所示。

 

 

2.6 lids检测Null攻击记录

(3) land攻击

一个特别打造的SYN包它的源地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢。

/*当源地址=目的地址或源端口=目的端口时判断为land攻击,记录日志*/

   if(iph->saddr!=iph->daddr || tcph->source!=tcph->dest)

         return;

       do_log("land",sbuffptr);

 

攻击实例:采用独裁者DDos攻击器实现land 攻击。

Server植入肉鸡,运行,肉鸡会重启。控制端和服务器端如图2.7所示。

 

2.7 控制端和服务器端

 

在控制端添加肉鸡。运行软件,在主机列表“添加”项输入作为肉鸡的ip地址。

 

2.8 在控制端添加肉鸡

 

检查肉鸡是否有效。显示活动主机1个,无效主机0个。

 

2.9 检查肉鸡是否有效

 

通过命令得到被攻击主机端口情况,显示其活动的端口号和其他具体信息。

 

2.10被攻击主机端口情况

阅读(1014) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~