常见网络安全威胁和攻击手段.docx
- 文档编号:5605586
- 上传时间:2022-12-28
- 格式:DOCX
- 页数:19
- 大小:465KB
常见网络安全威胁和攻击手段.docx
《常见网络安全威胁和攻击手段.docx》由会员分享,可在线阅读,更多相关《常见网络安全威胁和攻击手段.docx(19页珍藏版)》请在冰豆网上搜索。
常见网络安全威胁和攻击手段
网络常见的安全威胁和攻击原理
在了解安全问题之前,我们先来研究一下目前网络上存在的一些安全威胁和攻击手段。
然后我们再来了解一些出现安全问题的根源,这样我们就可以对安全问题有一个很好的认识。
迄今为止,网络上存在上无数的安全威胁和攻击,对于他们也存在着不同的分类方法。
我们可以按照攻击的性质、手段、结果等暂且将其分为机密攻击、非法访问、恶意攻击、社交工程、计算机病毒、不良信息资源和信息战几类。
一、窃取机密攻击:
所谓窃取机密攻击是指XX的攻击者(黑客)非法访问网络、窃取信息的情况,一般可以通过在不安全的传输通道上截取正在传输的信息或利用协议或网络的弱点来实现的。
常见的形式可以有以下几种:
1)网络踩点
攻击者事先汇集目标的信息,攻击者利用此攻击获取:
关键系统的域名、IP地址、网络拓扑结构、相关的用户信息、受害者所分配的地址范围、受害者的internet服务提供商等,这往往是黑客入侵之前所做的第一步工作。
常常使用网络实用程序:
whois、nslookup、finger、tranceroute、ping、google等工具和DNS、LDAP等协议。
侦察攻击:
主要是为使攻击者可以获取更多有关受害者的信息而设计的,侦察攻击可采用主动方法和被动方法,在几乎所有的情况下,成功的侦察攻击可使后续攻击成功能可能性大大提高,因为攻击者获取得了更多有关受害者的信息。
数据整理攻击:
是所有对网络攻击的第1步,攻击者结合了各种基于网络的实用程序和internet搜索引擎查询,以获得更多的信息。
2)扫描攻击
扫描攻击包括地址扫描和端口扫描等,通常采用ping命令和各种端口扫描工具,可以获得目标计算机的一些有用信息,例如机器上打开了哪些端口,这样就知道开设了哪些服务,从而为进一步的入侵打下基础。
探测和扫描攻击:
也常称为端口扫描或弱点扫描,攻击者利用通过数据收集攻击获得的信息来获悉有关受攻击网络的信息,一般首先要执行端口扫描,然后进行弱点扫描,通过使用工具nmap之类的工具,通过此类攻击可以获得:
受攻击者网络上所有可以公共到达的IP地址,每个可达系统所运行的OS猜测结果,在所发现的每个IP地址上运行的可达服务,网络是否处于防火墙的保护之下,防火墙的类型。
ip扫描,扫描网段内开启的主机
扫描tcp端口原理是:
发送ack给目标主机的端口,如果无返回,则说明该端口被过滤,如果返回icmp不可达,说明端口关闭,如果返回syn+ack,则说明端口是开放的。
扫描udp端口原理是:
发送udp数据,如果返回udp,说明端口是开放的。
如果返回icmp不可达,说明端口关闭。
如果返回icmp,type为3,code为1,2,9,10,13,说明端口被过滤了。
如果无回应,则有可能是过滤或者关闭。
3)协议指纹
黑客对目标主机发出探测包,由于不同操作系统厂商的IP协议栈实现之间存在许多细微的差别(也就是说各个厂家在编写自己的TCP/IP协议栈时,通常对特定的RFC指南做出不同的解释),因此各个操作系统都有其独特的响应方法,黑客经常能确定出目标主机所运行的操作系统。
常常被利用的一些协议栈指纹包括:
TTL值、TCP窗口大小、DF标志、TOS、IP碎片处理、ICMP处理、TCP选项处理等。
4)信息流监视
这是一个在共享型局域网环境中最常采用的方法。
由于在共享介质的网络上数据包会经过每个网络节点,网卡在一般情况下只会接受发往本机地址或本机所在广播(或多播)地址的数据包,但如果将网卡设置为混杂模式,网卡就会接受所有经过的数据包。
基于这样的原理,黑客使用一个叫sniffer的嗅探器装置,可以是软件,也可以是硬件)就可以对网络的信息流进行监视,从而获得他们感兴趣的内容,例如口令以及其他秘密的信息。
5)会话劫持
利用TCP协议本身的不足,在合法的通信连接建立后攻击者可以通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接,从而假冒被接管方与对方通信。
会话劫持利用了TCP/IP工作原理来设计攻击。
TCP使用端到端的连接,即TCP用(源IP,源TCP端口号,目的IP,目的TCP端号)来唯一标识每一条已经建立连接的TCP链路。
另外,TCP在进行数据传输时,TCP报文首部的两个字段序号(seq)和确认序号(ackseq)非常重要。
序号(seq)和确认序号(ackseq)是与所携带TCP数据净荷(payload)的多少有数值上的关系:
序号字段(seq)指出了本报文中传送的数据在发送主机所要传送的整个数据流中的顺序号,而确认序号字段(ackseq)指出了发送本报文的主机希望接收的对方主机中下一个八位组的顺序号。
因此,对于一台主机来说,其收发的两个相临TCP报文之间的序号和确认序号的关系为:
它所要发出的报文中的seq值应等于它所刚收到的报文中的ackseq的值,而它所要发送报文中ackseq的值应为它所收到报文中seq的值加上该报文中所发送的TCP净荷的长度。
TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击,如HTTP、FTP、Telnet等。
对于攻击者来说,所必须要做的就是窥探到正在进行TCP通信的两台主机之间传送的报文,这样攻击者就可以得知该报文的源IP、源TCP端口号、目的IP、目的TCP端号,从而可以得知其中一台主机对将要收到的下一个TCP报文段中seq和ackseq值的要求。
这样,在该合法主机收到另一台合法主机发送的TCP报文前,攻击者根据所截获的信息向该主机发出一个带有净荷的TCP报文,如果该主机先收到攻击报文,就可以把合法的TCP会话建立在攻击主机与被攻击主机之间。
带有净荷的攻击报文能够使被攻击主机对下一个要收到的TCP报文中的确认序号(ackseq)的值的要求发生变化,从而使另一台合法的主机向被攻击主机发出的报文被被攻击主机拒绝。
TCP会话劫持攻击方式的好处在于使攻击者避开了被攻击主机对访问者的身份验证和安全认证,从而使攻击者直接进入对被攻击主机的的访问状态,因此对系统安全构成的威胁比较严重。
6)嗅探攻击
当攻击者从线缆上捕捉数据包,或数据包穿过攻击者系统时,这可以称为某种形式的嗅探攻击。
嗅探攻击其目的在于读取信息获得情报,以使于攻击者了解目标系统,这样受到嗅探的协议信息必须以明文而不是密文的形式发送,嗅探才得以成功,主要获得如下信息:
认证信息、网络管理信息、机密事务等。
经常使用的工具比:
ethereal,wireshark等等嗅探并不是攻击者专用的,也是一种极好的故障排队工具,大多数网络工程师往往用其诊断各种联网问题,在UNIX环境时,常用使用tcpdump工具。
7)直接攻击
直接访问涵盖攻击者试图直接访问网络资源的所有攻击。
例如,攻击者找到穿越防火墙的方法后,攻击者利用直接访问攻击登录到曾受防火墙保护的系统中,此后,攻击者就可以发起不限次数的其他攻击,最常见的是操纵攻击。
虽然直接访问攻击几乎总是在第七层发起的,但如果攻击不是很特殊,直接攻击可在较低层遭到阻止,例如,配置正确的防火墙可以防止对于支持在web服务上的telnet后台程序攻击,由于普通用户不应在web服务器上使用telnet,防火墙可以阻止该请求。
如果攻击是针对本应用可用的服务在应用层进行的,那么阻止攻击的责任就再度由可感知应用程序的系统来承担,如IDS或应用程序的安全配置。
二、非法访问
攻击者能够导致用户或系统中的设备认为信息是来自于实际上未发出该信息的来源时发生的就是欺骗攻击,几乎在任何薄弱或网络通信中未实施认证的位置均可发起欺骗攻击。
其中常见的有MAC欺骗、IP欺骗、传输欺骗、身份欺骗和无赖设备。
1)口令破解
口令攻击是黑客最喜欢采用的入侵网络的方法。
黑客通过获取系统管理员或其他殊用户的口令,获得系统的管理权,窃取系统信息、磁盘中的文件甚至对系统进行破坏。
可以采用字典破解和暴力破解来获得口令。
这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。
获得普通用户帐号的方法很多,如:
利用目标主机的Finger功能:
当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;
利用目标主机的X.500服务:
有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;
从电子邮件地址中收集:
有些用户电子邮件地址常会透露其在目标主机上的帐号;查看主机是否有习惯性的帐号:
有经验的用户都知道,很多系统会使用一些习惯性的帐号,造成帐号的泄露。
2)IP欺骗
一般情况下,路由器在转发报文的时候,只根据报文的目的地址查路由表,而不管报文的源地址是什么,因此,这样就可能面临一种危险:
如果一个攻击者向一台目标计算机发出一个报文,而把报文的源地址填写为第三方的一个IP地址,这样这个报文在到达目标计算机后,目标计算机便可能向毫无知觉的第三方计算机回应。
这便是所谓的IP地址欺骗攻击。
攻击者可以通过伪装成被信任的IP地址等方式来获取目标的信任。
这主要是针对防火墙的IP包过滤以及LINUX/UNIX下建立的IP地址信任关系的主机实施欺骗。
IP欺骗不是进攻的结果,而是进攻的手段。
进攻实际上是信任关系的破坏。
假设采取IP欺骗的攻击主机为X,它的攻击目标是主机A,并且主机A信任主机B,那么
第一阶段:
X探明主机A信任主机B。
第二阶段:
X伪装成B以获取A的信任。
第三阶段:
X获得A的信任后,向A发送任意数据。
(例如1994年的首个IP欺骗实验,发送的”echo++>>./rhosts”命令后,任何主机上的任何用户都可以不用命令登陆到A终端上。
)
IP欺骗分为三个阶段展开。
其中在第一与第三阶段攻击者主要利用的是被攻击主机间存在的信任关系。
在第二阶段,也就是攻击过程的核心阶段主要利用的是IP地址伪造技术、TCPSYN洪流攻击技术与TCP序列号猜测技术。
攻击步骤:
1.X使被信任主机B的网络暂时瘫痪,以免对攻击造成干扰。
2.X连接到目标机A的某个端口来猜测ISN基值和增加规律。
3.X把源地址伪装成被信任主机B,向A发送带有SYN标志的数据段请求连接。
4.X等待目标机A发送SYN+ACK包给已经瘫痪的主机B。
5.X再次伪装成被信任主机B向目标主机A发送ACK,此时发送的数据段带有预测的目的主机A的ISN+1。
6.X与A建立连接,发送命令请求
攻击者只需进入系统的原始数据包驱动器中,然后攻击者就可以发送含有IP报头的数据包。
加密只有应用到需要加密通信以访问IP层的系统中才能用作保护机制,例如,采用IPSec进行通信的金融应用程序不会接受任何主机的原始IP连接,无论是合法的还是假冒的,这种加密系统概念也适合于传输欺骗。
比较著名的SQLServer蠕虫病毒,就是采用了这种原理。
该病毒(可以理解为一个攻击者)向一台运行SQLServer解析服务的服务器发送一个解析服务的UDP报文,该报文的源地址填写为另外一台运行SQLServer解析程序的服务器,这样由于SQLServer解析服务的一个漏洞,就可能使得该UDP报文在这两台服务器之间往复,最终导致服务器或网络瘫痪。
3)DNS欺骗
由于DNS服务器相互交换信息的时候并不建立身份验证,这就使得黑客可以使用错误的信息将用户引向错误主机。
在设计DNS协议时,设计者没有考虑到一些安全问题,导致了DNS的安全隐患与缺陷。
DNS欺骗就是利用了DNS协议设计时的一个非常严重的安全缺陷。
首先欺骗者向目标机器发送构造好的ARP应答数据包,ARP欺骗成功后,嗅探到对方发出的DNS请求数据包,分析数据包取得ID和端口号后,向目标发送自己构造好的一个DNS返回包,对方收到DNS应答包后,发现ID和端口号全部正确,即把返回数据包中的域名和对应的IP地址保存进DNS缓存表中,而后来的当真实的DNS应答包返回时则被丢弃。
同ARP欺骗一样,DNS欺骗也可以被称为DNS毒化,属于中间人攻击。
DNS欺骗的防范
DNS欺骗是很难进行有效防御的,因为大多情况下都是被攻击之后才会发现,对于避免DNS欺骗所造成危害,提出以下建议
1.因为DNS欺骗前提也需要ARP欺骗成功。
所以首先做好对ARP欺骗攻击的防范。
2.不要依赖于DNS,尽管这样会很不方便,可以使用hosts文件来实现相同的功能,Hosts文件位置:
windowsxp/2003/vista/2008/7系统的HOSTS文件位置c:
\windows\system32\drivers\etc用记事本打开即可进行修改。
3.使用安全检测软件定期检查系统是否遭受攻击
4.进行IP地址和MAC地址的绑定
4)重放攻击
攻击者利用身份认证机制中的漏洞先把别人有用的信息记录下来,过一段时间后再发送出去。
重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。
攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。
从这个解释上理解,加密可以有效防止会话劫持,但是却防止不了重放攻击。
重放攻击任何网络通讯过程中都可能发生。
重放攻击的防御方案
(1)时间戳
“时戳”──代表当前时刻的数
基本思想──A接收一个消息当且仅当其包含一个对A而言足够接近当前时刻的时戳
原理──重放的时戳将相对远离当前时刻
时钟要求──通信各方的计算机时钟保持同步
处理方式──设置大小适当的时间窗(间隔),越大越能包容网络传输延时,越小越能防重放攻击
适用性──用于非连接性的对话(在连接情形下双方时钟若偶然出现不同步,则正确的信息可能会被误判为重放信息而丢弃,而错误的重放信息可能会当作最新信息而接收)
(2)序号
通信双方通过消息中的序列号来判断消息的新鲜性
要求通信双方必须事先协商一个初始序列号,并协商递增方法
(3)提问——应答
“现时”──与当前事件有关的一次性随机数N(互不重复即可)
基本做法──期望从B获得消息的A事先发给B一个现时N,并要求B应答的消息中包含N或f(N),f是A、B预先约定的简单函数
原理──A通过B回复的N或f(N)与自己发出是否一致来判定本次消息是不是重放的
时钟要求──无
适用性──用于连接性的对话
5)非法使用
系统资源被某个非法用户以未授权的方式使用
6)特洛伊木马
把一个能帮助黑客完成某个特定动作的程序依附在某一合法用户的正常程序中,这时合法用户的程序代码已经被改变,而一旦用户触发该程序,那么依附在内的黑客指令代码同时被激活,这些代码往往能完成黑客早已指定的任务。
一个完整的特洛伊木马套装程序含了两部分:
服务端(服务器部分)和客户端(控制器部分)。
植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。
运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,实时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。
这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码无安全可言了。
特洛伊木马程序不能自动操作,一个特洛伊木马程序是包含或者安装一个存心不良的程序的,对一个不怀疑的用户来说,它可能看起来是有用或者有趣的计划(或者至少无害),但是实际上当它被运行时是有害的。
特洛伊木马不会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。
当用户运行文档程序时,特洛伊木马才会运行,信息或文档才会被破坏和丢失。
特洛伊木马和后门不一样,后门指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。
木马程序不能算是一种病毒,但可以和最新病毒、漏洞利用工具一起使用,几乎可以躲过各大杀毒软件,尽管越来越多的新版的杀毒软件可以查杀一些防杀木马了,但是不要认为使用有名的杀毒软件电脑就绝对安全,木马永远是防不胜防的,除非你不上网。
7)arp攻击
原理:
利用arp协议的漏洞,攻击目标主机或网的arp列表,截取目标主机或网管的流量。
攻击目标一般是对目标主机和网关同时进行。
一般情况下,ARP欺骗并不是使网络无法正常通信,而是通过冒充网关或其他主机使得到达网关或主机的流量通过攻击进行转发。
通过转发流量可以对流量进行控制和查看,从而控制流量或得到机密信息。
ARP欺骗发送arp应答给局域网中其他的主机,其中包含网关的IP地址和进行ARP欺骗的主机MAC地址;并且也发送了ARP应答给网关,其中包含局域网中所有主机的IP地址和进行arp欺骗的主机MAC地址。
当局域网中主机和网关收到ARP应答跟新ARP表后,主机和网关之间的流量就需要通过攻击主机进行转发。
冒充主机的过程和冒充网关相同。
是种非常直观的攻击,攻击系统利用这种攻击将自己的MAC地址改为受信任系统的地址,在以太网环境中,交换机上的CAM表可以跟踪MAC地址、VLAN和MAC地址所连接的端口,攻击者将MAC地址改为另一个与交换机相连的系统的地址时,CAM表将得到更新,交换机主认为某台机器从一个位置移动到另一个位置。
前往该MAC地址的流量都会发送给攻击者,这种攻击在只接收数据而不主动发送数据的系统上效果很佳。
Syslog服务器就是一个恰当的例子。
表现:
网段中有ip地址突然改变mac地址。
解决方法:
主机使用静态的arp列表,对网关进行绑定。
有条件的话,网管也要使用静态德arp列表,对主机绑定。
mac_flood(MAC泛洪攻击)
原理:
mac地址泛洪,通过发送大量的随机源mac地址帧,攻击交换机的mac地址表,使换机的mac地址表填满,并拒绝增加新的合法mac地址条目。
一旦网段里主机的mac地址无法增加进交换机的mac地址表,该主机的帧将被广播,攻击者将会收到该主机的网络信息。
表现:
突然的,网段中所有主机将会收到大量广播帧。
解决方法:
在交换机上做配置,限制每个端口匹配mac地址的总数。
8)传输欺骗
传输欺骗是指成功地在传输层实现了通信欺骗。
UDP欺骗:
因为其报头结构简单,如简单网络管理协议(SNMP)、syslog、普通文件传输协议(TFTP)之类的管理应用程序都使用UDP作为其传输机制,这也是系统安全中最薄弱的环节。
TCP欺骗:
TCP协议具有很高的安全性,因为其是面向连接的协议。
因为32bit的序列号是特定于连接的,而且操作系统中是伪随机的,很难预测到连接的序列号,攻击者试图通过在真正的客户机与服务器之间通过认证后插入会话中来伪装成受信任的客户机。
但在攻击者无法看到客户机与服务器之间交换数据包的情况下,此类攻击非常难以实现。
从客户机与服务器之间的路径上的位置发起攻击时,其破坏力极大。
身份欺骗:
身份欺骗涵盖许多不同的形式,密码破解、暴力登录尝试、数字证书偷窃和伪造均要认为是这种攻击的类型。
身份验证机制可由下列从最不安全到最安全的方法来实现:
1)明文用户名和口令(telnet)
2)预共享密钥(WEP)
3)经过加密的用户和口令(SSH)
4)一次性口令(OTP)
5)公钥加密系统(PGP、IPSec)
JohntheRipper和LC4都是密码破解攻击的形式,这种攻击本质上是对密码进行猜测、加密,然后将其与受害者存储在服务器上已经加密的密码进行比较的尝试。
大多数密码都是以加密效果强劲的单向散列形式存储的,其是不可逆的,所以试图窃取密码最容易的方法就是对后续密码进行所谓的字典攻击。
9)无赖设备
攻击者可以利用无赖设备进行攻击,可以将无赖设备添加到网络中,以使设备成为合法的身份,比如DHCP攻击。
将设备系统添加到网络中,该系统在此网络中尝试确定IP寻址方案,以及搜索HTTP代理服务器,然后创建一条隧道式连接与攻击者相连。
这就使远程攻击者以本地用户身份出现,发起攻击。
利用无赖设备可以起毁灭性的攻击。
但执行这种攻击一般需要攻击者实际接触到目标网络。
10)icmp_redirect
原理:
攻击目标主机的路由表,使之定向到攻击者。
表现:
路由表发生改变,一般情况下是默认路由发生改变。
解决方法:
关闭icmp协议
以上三种攻击,均为中间人攻击,要求攻击者与被攻击者在同一网段,能够窃取目标主机的流量信息,危害严重。
下面的攻击均为拒绝服务攻击,不要求在同一网段,不能够窃取目标主机的流量信息,以攻击目标主机,使之无法正常工作为目标,危害相对较小。
三、恶意攻击
恶意攻击,在当今最为特出的就是拒绝服务攻击DoS(DenialofServer)了。
拒绝服务攻击通过使计算机功能或性能崩溃来组织提供服务,典型的拒绝服务攻击有如下2种形式:
资源耗尽和资源过载。
当一个对资源的合理请求大大超过资源的支付能力时,就会造成拒绝服务攻击。
常见的攻击行为主要包括Pingofdeath、泪滴(Teardrop)、UDPflood、SYNflood、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形信息攻击等
1)Pingofdeath(死亡之ping)
在早期版本中,许多操作系统对网络数据包的最大尺寸有限制(比如,0-64K),对TCP/IP栈的实现在ICMP包上规定为64KB。
在读取包的报头后,要根据该报头中包含的信息来为有效载荷生成缓冲区。
当PING请求的数据包声称自己的尺寸超过ICMP上限(64K长度),也就是加载的尺寸超过64KB时,就会使PING请求接受方出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机。
原理:
向指定的IP地址发送一定长度的数据包,按照约定,若指定IP地址存在的话,会返回同样大小的数据包,当然,若在特定的时间内没有返回,就是“超时”,就认为指定的IP地址不存在。
由于ping使用的是ICMP协议,有些防火墙软件会屏蔽ICMP协议所以有时候ping的结果只能做为参考,ping不通并不一定说明对方IP不存在。
ping命令是一个非常有用的网络命令,大家常用它来测试网络连通情况。
但同时它也是一把双刃剑,别人使用ping命令能探测到你计算机上很多敏感的信息,造成不安全。
为了安全,防止ping的方法很多,比如防火墙,又比如创建一个禁止所有计算机ping本机IP地址的安全策略。
ICMP协议对于网络安全具有极其重要的意义。
ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。
例如,在1999年8月某公司“悬赏”50万元测试防火墙的过程中,其防火墙遭受到ICMP攻击达334050次之多,占整个攻击总数的90%以上。
可见ICMP的重要性绝不可以忽视。
2)泪滴
对于一些大的IP包,需要对其进行分片传送,这是为了迎合链路层的MTU(最大传输单元)的要求。
比如,一个4500字节的IP包,在MTU为1500的链路上传输的时候,就需要分成三个IP包。
在IP报头中有一个偏移字段和一个分片标志(MF),如果MF标志设置为1,则表面这个IP包是一个大IP包的片断,其中偏移字段指出了这个片断在整个IP包中的位置。
例如,对一个4500字节的IP包进行分片(MTU为1500),则三个片断中偏移字段的值依次为:
0,1500,3000。
这样接收端就可以根据这些信息成功的组装该IP包。
如果一个攻击者打破这种正常情况,把偏移字段设置成不正确的值,即可能出现重合或断开的情况,就可能导致目标操作系统崩溃。
比如,把上述偏移设置为0,1300,3000。
这就是所谓的泪滴攻击。
泪滴攻击是拒绝服务攻击的一种。
泪滴是一个特殊构造的应用程序,通过发送伪造的相互重叠的IP分组数据包,使其难以被接收主机重新组合。
他们通常会导致目标主机内核失措。
泪滴攻击利用IP分组数据包重叠造成TCP/IP分片重组代码不能恰当处理IP包。
泪滴攻击不被认为是一个严重的DOS攻击,不会对主机系统造成重大损失。
在大多数情况下,一次
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 常见 网络安全 威胁 攻击 手段
![提示](https://static.bdocx.com/images/bang_tan.gif)