常见应用层以下攻击.doc

攻击名称
攻击原理
Syn Flood攻击
TCP 连接是通过三次握手完成的。当网络中充满了会发出无法完成的连接请求的SYN 封包,以至于网络无法再处理合法的连接请求,从而导致拒绝服务(DoS) 时,就发生了SYN 泛滥攻击。攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务攻击的目的。攻击者向服务器发送含 SYN 包,其中源 IP 地址已被改为伪造的不可达的 IP 地址。服务器向伪造的 IP 地址发出回应,并等待连接已建立的确认信息。但由于该 IP 地址是伪造的,服务器无法等到确认信息,只有保持半开连接状态直至超时。由于服务器允许的半开连接数目有限,如果攻击者发送大量这样的连接请求,服务器的半开连接资源很快就会消耗完毕,无法再接受来自正常用户的 TCP 连接请求。
Ack Flood攻击
TCP报文标志位为ACK标志的攻击
SYN+ACK Flood攻击
TCP报文标志位为SYN和ACK标志的攻击
连接耗尽攻击
攻击主机与被攻击主机建立完整的三次握手建立起tcp空连接后,并不进行数据传送,目的在于耗尽服务器的连接资源。
DNS Flood攻击
采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名,被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,DNS 服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。
TCP无标记攻击
正常数据包中,至少包含SYN、FIN、ACK、RST四个标记中的一个,不同的OS对不包含这四个标记中任何一个标志的数据包有不同处理方法,攻击者可利用这种数据包判断被攻击主机的OS类型,为后续攻击做准备。
圣诞树攻击
正常数据包中,不会同时包含SYN、FIN、ACK、RST四个标记,不同的OS对包含全部四个标志的数据包有不同处理方法,攻击者可利用这种数据包判断被攻击主机的OS类型,为后续攻击做准备。
SYN&FIN位设置攻击
正常数据包中,不会同时设置TCP Flags中的SYN和FIN标志,因为SYN标志用于发起TCP连接,而FIN标志用于结束TCP连接。不同的OS对同时包含SYN和FIN标志的数据包有不同处理方法,攻击者可利用这种数据包判断被攻击主机的OS类型,为后续攻击做准备。
抗无确认FIN攻击
正常数据包中,包含FIN标志的TCP数据包同时包含ACK标志。不同的OS对包含FIN标志但不包含ACK标志的数据包有不同处理方法,攻击者可利用这种数据包判断被攻击主机的OS类型,为后续攻击做准备。
ICMP Flood攻击
当ICMP ping 产生的大量回应请求超出了系统的最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时,就发生了ICMP 泛滥。
UDP flood攻击
与ICMP 泛滥相似。攻击者向同一 IP 地址发送大量的 UDP 包使得该 IP 地址无法响应其它 UDP 请求,就发生了UDP 泛滥。
ARP flood攻击等
通过发送大量ARP应答报文,导致网关、主机ARP表项占满、原有正常A