攻擊防范-網絡運維

2020-05-01 17:15 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網絡運維工程師，在當今網絡中，存在著大量攻擊，那么攻擊防范有多么的重要可想而知。

定義

攻擊防范是一種重要的網絡安全特性。它通過分析上送CPU處理的報文的內容和行為，判斷報文是否具有攻擊特性，并配置對具有攻擊特性的報文執行一定的防范措施。

攻擊防范主要分為畸形報文攻擊防范、分片報文攻擊防范和泛洪攻擊防范。

目的

目前，網絡的攻擊日益增多，而通信協議本身的缺陷以及網絡部署問題，導致網絡攻擊造成的影響越來越大。特別是對網絡設備的攻擊，將會導致設備或者網絡癱瘓等嚴重后果。

攻擊防范針對上送CPU的不同類型攻擊報文，采用丟棄或者限速的手段，以保障設備不受攻擊的影響，使業務正常運行。

攻擊防范原理描述

1、畸形報文攻擊防范

畸形報文攻擊是通過向目標設備發送有缺陷的IP報文，使得目標設備在處理這樣的IP報文時出錯和崩潰，給目標設備帶來損失。畸形報文攻擊防范是指設備實時檢測出畸形報文并予以丟棄，實現對本設備的保護。

畸形報文攻擊主要分為以下幾類：

沒有

如果IP報文只有20字節的IP報文頭，沒有數據部分，就認為是沒有IP載荷的報文。攻擊者經常構造只有IP頭部，沒有攜帶任何高層數據的IP報文，目標設備在處理這些沒有IP載荷的報文時會出錯和崩潰，給設備帶來損失。

啟用畸形報文攻擊防范后，設備在接收到沒有載荷的IP報文時，直接將其丟棄。

IGMP空報文

IGMP報文是20字節的IP頭加上8字節的IGMP報文體，總長度小于28字節的IGMP報文稱為IGMP空報文。設備在處理IGMP空報文時會出錯和崩潰，給目標設備帶來損失。

啟用畸形報文攻擊防范后，設備在接收到IGMP空報文時，直接將其丟棄。

LAND攻擊

LAND攻擊是攻擊者利用TCP連接三次握手機制中的缺陷，向目標主機發送一個源地址和目的地址均為目標主機、源端口和目的端口相同的SYN報文，目標主機接收到該報文后，將創建一個源地址和目的地址均為自己的TCP空連接，直至連接超時。在這種攻擊方式下，目標主機將會創建大量無用的TCP空連接，耗費大量資源，直至設備癱瘓。

啟用畸形報文攻擊防范后，設備采用檢測TCP SYN報文的源地址和目的地址的方法來避免LAND攻擊。如果TCP SYN報文中的源地址和目的地址一致，則認為是畸形報文攻擊，丟棄該報文。

Smurf攻擊

Smurf攻擊是指攻擊者向目標網絡發送源地址為目標主機地址、目的地址為目標網絡廣播地址的ICMP請求報文，目標網絡中的所有主機接收到該報文后，都會向目標主機發送ICMP響應報文，導致目標主機收到過多報文而消耗大量資源，甚至導致設備癱瘓或網絡阻塞。

啟用畸形報文攻擊防范后，設備通過檢測ICMP請求報文的目標地址是否是廣播地址或子網廣播地址來避免Smurf攻擊。如果檢測到此類報文，直接將其丟棄。

TCP標志位非法攻擊

TCP報文包含6個標志位：URG、ACK、PSH、RST、SYN、FIN，不同的系統對這些標志位組合的應答是不同的：

· 6個標志位全部為1，就是圣誕樹攻擊。設備在受到圣誕樹攻擊時，會造成系統崩潰。

· SYN和FIN同時為1，如果端口是關閉的，會使接收方應答一個RST | ACK消息；如果端口是打開的，會使接收方應答一個SYN | ACK消息，這可用于主機探測(主機在線或者下線)和端口探測（端口打開或者關閉）。

· 6個標志位全部為0，如果端口是關閉的，會使接收方應答一個RST | ACK消息，這可以用于探測主機；如果端口是開放的，Linux和UNIX系統不會應答，而Windows系統將回答RST | ACK消息，這可以探測操作系統類型（Windows系統，

Linux和UNIX系統等）。

啟用畸形報文攻擊防范后，設備采用檢查TCP的各個標志位避免TCP標志位非法攻擊，如果符合下面條件之一，則將該TCP報文丟棄：
· 6個標志位全部為1；

· SYN和FIN位同時為1；

· 6個標志位全部為0。

2、分片報文攻擊防范

分片報文攻擊是通過向目標設備發送分片出錯的報文，使得目標設備在處理分片錯誤的報文時崩潰、重啟或消耗大量的CPU資源，給目標設備帶來損失。分片報文攻擊防范是指設備實時檢測出分片報文并予以丟棄或者限速處理，實現對本設備的保護。

分片報文攻擊主要分為以下幾類：

分片數量巨大攻擊

IP報文中的偏移量是以8字節為單位的。正常情況下，IP報文的頭部有20個字節，IP報文的最大載荷為65515。對這些數據進行分片，分片個數最大可以達到8189片，對于超過8189的分片報文，設備在重組這些分片報文時會消耗大量的CPU資源。

啟用分片報文攻擊防范后，針對分片數量巨大攻擊，如果同一報文的分片數目超過8189個，則設備認為是惡意報文，丟棄該報文的所有分片。

巨大Offset攻擊

攻擊者向目標設備發送一個Offset值超大的分片報文，從而導致目標設備分配巨大的內存空間來存放所有分片報文，消耗大量資源。

Offset字段的最大取值為65528，但是在正常情況下，Offset值不會超過8190（如果offset=8189*8，IP頭部長度為20，最后一片報文最多只有3個字節IP載荷，所以正常Offset的最大值是8189），所以如果Offset值超過8190，則這種報文即為惡意攻擊報文，設備直接丟棄。

啟用分片報文攻擊防范后，設備在收到分片報文時判斷Offset*8是否大于65528，如果大于就當作惡意分片報文直接丟棄。

重復分片攻擊

重復分片攻擊就是把同樣的分片報文多次向目標主機發送，存在兩種情況：

· 多次發送的分片完全相同，這樣會造成目標主機的CPU和內存使用不正常；

· 多次發送的分片報文不相同，但Offset相同，目標主機就會處于無法處理的狀態：哪一個分片應該保留，哪一個分片應該丟棄，還是都丟棄。這樣就會造成目標主機的CPU和內存使用不正常。

啟用分片報文攻擊防范后，對于重復分片類報文的攻擊，設備實現對分片報文進行CAR（Committed Access Rate）限速，保留首片，丟棄其余所有相同的重復分片，保證不對CPU造成攻擊。

Tear Drop攻擊

Tear Drop攻擊是最著名的IP分片攻擊，原理是IP分片錯誤，第二片包含在第一片之中。即數據包中第二片IP包的偏移量小于第一片結束的位移，而且算上第二片IP包的Data，也未超過第一片的尾部。

如圖1所示：

· 第一個分片IP載荷為36字節，總長度為56字節，protocol為UDP，UDP檢驗和為0（沒有檢驗）；

· 第二片IP載荷為4字節，總長度為24字節，protocol為UDP，Offset=24（錯誤，正確應該為36）。

圖  Tear Drop攻擊分片示意圖 



Tear Drop攻擊會導致系統崩潰或重啟。啟用分片報文攻擊防范后，對于Tear Drop攻擊，設備會直接丟棄所有分片報文。

Syndrop攻擊

Syndrop攻擊原理和Tear Drop原理一致，區別在于Syndrop攻擊使用了TCP協議，Flag為SYN，而且帶有載荷。

如圖2所示：

· 第一片IP載荷為28字節，IP頭部20字節；

· 第二片IP載荷為4字節，IP頭部20字節，Offset=24（錯誤，正確應該是28）。

圖2  Syndrop攻擊分片示意圖 


Syndrop攻擊會導致系統崩潰或重啟。啟用分片報文攻擊防范后，對于Syndrop攻擊，設備會直接丟棄所有分片報文。

NewTear攻擊

NewTear攻擊是分片錯誤的攻擊。如圖3所示，protocol使用UDP。


· 第一片IP載荷28字節（包含UDP頭部，UDP檢驗和為0）；

· 第二片IP載荷4字節，offset=24（錯誤，正確應該是28）。

圖3  NewTear攻擊分片示意圖 


NewTear攻擊會導致系統崩潰或重啟。啟用分片報文攻擊防范后，對于NewTear攻擊，設備會直接丟棄所有分片報文。

Bonk攻擊

Bonk攻擊是分片錯誤的攻擊。如圖4所示，protocol使用UDP。

· 第一片IP載荷為36字節（包含UDP頭部，UDP檢驗和為0）；

· 第二片IP載荷為4字節，offset=32（錯誤，正確應該是36）。

圖9-4  Bonk攻擊分片示意圖 


Bonk攻擊會導致系統崩潰或重啟。啟用分片報文攻擊防范后，對于Bonk攻擊，設備會直接丟棄所有分片報文。

Nesta攻擊

Nesta攻擊是分片錯誤的攻擊。如圖5所示：

· 第一片IP載荷為18，protocol為UDP，檢驗和為0；

· 第二片offset為48，IP載荷為116字節；

· 第三片offset為0，more frag為1，也就是還有分片，40字節的IP option，都是EOL，IP載荷為224字節。

圖5  Nesta攻擊分片示意圖 


Nesta攻擊會導致系統崩潰或重啟。啟用分片報文攻擊防范后，對于Nesta攻擊，設備會直接丟棄所有分片報文。

Rose攻擊

IP protocol可以是UDP或TCP，可以選擇。

如圖6所示：

如果IP protocol是TCP：

· 第一片IP載荷為48字節（包含TCP頭部），IP頭部20字節；

· 第二片IP報文的載荷為32字節，但是offset=65408，more frag=0，即最后一片。

如果IP protocol是UDP：

· 第一片載荷長度40字節（包含UDP頭部，UDP校驗和為0），IP頭部20字節；

· 第二片IP報文的載荷為32字節，但是offset＝65408，more frag＝0，即最后一片。

圖6  Rose攻擊分片示意圖 


Rose攻擊會導致系統崩潰或重啟。啟用分片報文攻擊防范后，對于Rose攻擊，設備會直接丟棄所有分片報文。

Fawx攻擊

Fawx攻擊是一種分片錯誤的IGMP報文。如圖7，Fawx攻擊的特征是：發送IGMP報文分片，一共兩片，第一片9個字節，第二個分片offset＝8，載荷長度為16字節，沒有結束分片。


圖7  Fawx攻擊分片示意圖 

Fawx攻擊會導致系統崩潰或重啟。啟用分片報文攻擊防范后，對于Fawx攻擊，設備會直接丟棄所有分片報文。

Ping of Death攻擊

Ping of Death攻擊原理是攻擊者發送一些尺寸較大（數據部分長度超過65507字節）的ICMP報文對設備進行攻擊。設備在收到這樣一個尺寸較大的ICMP報文后，如果處理不當，會造成協議棧崩潰。

啟用分片報文攻擊防范后，設備在收到這種攻擊報文后，直接丟棄該報文。

Jolt攻擊

Jolt攻擊是攻擊者發送總長度大于65535字節的報文對設備進行攻擊。Jolt攻擊報文一共173個分片，每個分片報文的IP載荷為380字節，因此總長度為：173*380+20＝65760，遠遠超過65535。設備在收到這樣的報文時，如果處理不當，會造成設備崩潰、死機或重啟。

啟用分片報文攻擊防范后，設備在收到Jolt攻擊報文后，直接丟棄該報文。

3、泛洪攻擊防范

泛洪攻擊是指攻擊者在短時間內向目標設備發送大量的虛假報文，導致目標設備忙于應付無用報文，而無法為用戶提供正常服務。

泛洪攻擊防范是指設備實時檢測出泛洪報文并予以丟棄或者限速處理，實現對本設備的保護。

泛洪攻擊主要分為TCP SYN泛洪攻擊、UDP泛洪攻擊和ICMP泛洪攻擊。

TCP SYN泛洪攻擊

TCP SYN攻擊利用了TCP三次握手的漏洞。在TCP的3次握手期間，當接收端收到來自發送端的初始SYN報文時，向發送端返回一個SYN+ACK報文。接收端在等待發送端的最終ACK報文時，該連接一直處于半連接狀態。如果接收端最終沒有收到ACK報文包，則重新發送一個SYN+ACK到發送端。如果經過多次重試，發送端始終沒有返回ACK報文，則接收端關閉會話并從內存中刷新會話，從傳輸第一個SYN+ACK到會話關閉大約需要30秒。

在這段時間內，攻擊者可能將數十萬個SYN報文發送到開放的端口，并且不回應接收端的SYN+ACK報文。接收端內存很快就會超過負荷，且無法再接受任何新的連接，并將現有的連接斷開。

設備對TCP SYN攻擊處理的方法是在使能了TCP SYN泛洪攻擊防范后對TCP SYN報文進行速率限制，保證受到攻擊時設備資源不被耗盡。

UDP泛洪攻擊

UDP泛洪攻擊是指攻擊者在短時間內向目標設備發送大量的UDP報文，導致目標設備負擔過重而不能處理正常的業務。UDP泛洪攻擊分為以下兩類：

· Fraggle攻擊

Fraggle攻擊的原理是攻擊者發送源地址為目標主機地址，目的地址為廣播地址，目的端口號為7的UDP報文。如果該廣播網絡中有很多主機都起用了UDP響應請求服務，目的主機將收到很多回復報文，造成系統繁忙，達到攻擊效果。
使能泛洪攻擊防范功能后，設備默認UDP端口號為7的報文是攻擊報文，直接將其丟棄。

· UDP診斷端口攻擊

攻擊者對UDP診斷端口（7-echo，13-daytime，19-Chargen等UDP端口）發送報文，如果同時發送的數據包數量很大，造成泛洪，可能影響網絡設備的正常工作。

使能泛洪攻擊防范功能后，設備將UDP端口為7、13和19的報文認為是攻擊報文，直接丟棄。

ICMP泛洪攻擊

通常情況下，網絡管理員會用Ping程序對網絡進行監控和故障排除，大概過程如下：

1. 源設備向接收設備發出ICMP響應請求報文；

2. 接收設備接收到ICMP響應請求報文后，會向源設備回應一個ICMP應答報文。

如果攻擊者向目標設備發送大量的ICMP響應請求報文，則目標設備會忙于處理這些請求，而無法繼續處理其他的數據報文，造成對正常業務的沖擊。

設備針對ICMP泛洪攻擊進行CAR（Committed Access Rate）限速，保證CPU不被攻擊，保證網絡的正常運行。
 
艾銻無限科技專業：IT外包、企業外包、北京IT外包、桌面運維、弱電工程、網站開發、wifi覆蓋方案,網絡外包,網絡管理服務,網管外包,綜合布線,服務器運維服務,中小企業it外包服務,服務器維保公司,硬件運維,網站運維服務
 
以上文章由北京艾銻無限科技發展有限公司整理