常见网络攻击手段原理分析 1.1TCPSYN拒绝服务攻击 一TCP般情连接的况下建立，一需要个经过三次握手的过程，即： 1、建立发TCPSYN报文；起者向目标计算机发送一个 2、目SYN标计报，在TCP文后连内存（TCB算机），然接控后向中创收到制块发建这个 起TCPACK者回报文，送一等待个发起者的回应； 3、发TCPACK报起者ACK文后报TCP连收到文，。接就，再这样建立回应起来一个了 利用这TCPSYN拒个过绝服程，务攻一些击：恶意的攻击者可以进行所谓的 1、攻击者TCPSYN报文；向目标计算机发送一个 2、目标计TCP连TCB）接控算机ACK，等，并制结收到回应构（这个一个报文后，建立 待发起者的回应； 3、而发起ACK报文，者则。这样不向导致目标目标计算计算机回机一应致处于等待状态 可，目以看标计TCPSYN报文，而出算机没有次如果收到接收发起到大者的量的第三 ACK回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源 （TCB控TCB，制结一般TCP构，连情况接请下是求。有限的）耗尽，而不能响应正常的 1.2ICMP洪水 正，为常情，一了对，比如PING些诊等，会况下ICMP响应网络发出断程进行序诊断 请（ICMPECHO求报），接ICMP收计ECHO后，会文ICMPECHO回应算机一个接收到 Rep1y报文。而CPU这个处，有理的的情，过程比如况下是需还可要能消耗掉大量的资源 处。这理分样如ICMPECHO片的报文（产生ICM果攻P时候击者向目标计算机发送大量的 洪水），则目标ECHO报文，而无法计算，继续机会处理忙于其它处理的网这些络数据报文 这也是DOS）。一种拒绝服务攻击（ 1.3UDP洪水 原ICMP洪理与水类UDP报文给似，目标攻击计算者通机，过发导致送大目标量的计 算UDP机忙报文而1.4端于处口扫无法理这描继续些处理正常的报文。 2011新款韩版女式带帽卫衣www.8787go.com 根据TCP协议规范，当一台计算机收到一个TCP连接建立请求报文（TCPSYN）的时 候，做这样的处理： 1、如果请求的TCP端口是开放的，则回应一个TCPACK报文，并建立TCP连接控 制结构（TCB）； 2、如果请求的TCP端口没有开放，则回应一个TCPRST（TCP头部中的RST标志 设为1）报文，告诉发起计算机，该端口没有开放。 相应地，如果IP协议栈收到一个UDP报文丵，做如下处理： 1、如果该报文的目标端口开放，则把该UDP报文送上层协议（UDP）处理，不回应 任何报文（上层协议根据处理结果而回应的报文例外）； 2、如果该报文的目标端口没有开放，则向发起者回应一个ICMP不可达报文，告诉发 起者计算机该UDP报文的端口不可达。 利用这个原理，攻击者计算机便可以通过发送合适的报文，判断目标计算机哪些TCP 或UDP端口是开放的，过程如下： 1、发出端口号从0开始依次递增的TCPSYN或UDP报文（端口号是一个16比特的 数字，这样最大为65535，数量很有限）； 2、如果收到了针对这个TCP报文的RST报文，或针对这个UDP报文的ICMP不可 达报文，则说明这个端口没有开放； 3、相反，如果收到了针对这个TCPSYN报文的ACK报文，或者没有接收到任何针 对该UDP报文的ICMP报文，则说明该TCP端口是开放的，UDP端口可能开放（因为有的 实现中可能不回应ICMP不可达报文，即使该UDP端口没有开放）。 这样继续下去，便可以很容易的判断出目标计算机开放了哪些TCP或UDP端口，然后 针对端口的具体数字，进行下一步攻击，这就是所谓的端口扫描攻击。 1.5分片IP报文攻击 为了传送一个大的IP报文，IP协议栈需要根据链路接口的MTU对该IP报文进行分片， 通过填充适当的IP头中的分片指示字段，接收计算机可以很容易的把这些IP分片报文组装 起来。 目标计算机在处理这些分片报文的时候，会把先到的分片报文缓存起来，然后一直等待 后续的分片报文，这个过程会消耗掉一部分内存，以及一些IP协议栈的数据结构。如果攻 2011新款韩版女式带帽卫衣www.8787go.com 击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会 一直等待（直到一个内部计时器到时），如果攻击者发送了大量的分片报文，就会消耗掉目 标计算机的资源，而导致不能相应正常的IP报文，这也是一种DOS攻击。1.6SYN比特 和FIN比特同时设置 在TCP报文的报头中，有几个标志字段： 1、SYN：连接建立标志，TCPSYN报文就是把这个标志设置为1，来请求建立连接 2、ACK：回应标志，在一个TCP连接中，除了第一个报文（TCPSYN）外