常用的网络攻击手段的原理分析

1.UDP checksum
UDP optional
TCP mandatory
UDP checksum covers the UDP pseudo header, UDP header and the UDP data
与ip不同, ip只计算首部校验和
purpose: let UDP double-check that the data has arrived at the correct destination.
检测到checksum error: silently discarded, no error message is generated.
只有发送端和接收端才计算校验和，中间节点不计算
伪首部包括源ip，目的ip，协议,udp长度以及0填充


2.TCP 6bit code

• URG 紧急指针字段有效
• ACK 确认字段有效
• PSH 本报文段请求push操作
• RST 连接复位
• SYN 序号同步
• FIN 发送方字节流结束

看了一篇常用的网络攻击手段的原理分析，感觉有几个还比较有意思。感觉这些人对协议理解真的太深刻了。

TCP SYN拒绝服务攻击
　　一般情况下，一个TCP连接的建立需要经过三次握手的过程，即：
　　1、 建立发起者向目标计算机发送一个TCP SYN报文；
　　2、 目标计算机收到这个SYN报文后，在内存中创建TCP连接控制块（TCB），然后向发起者回送一个TCP ACK报文，等待发起者的回应；
　　3、 发起者收到TCP ACK报文后，再回应一个ACK报文，这样TCP连接就建立起来了。
　　利用这个过程，一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击：
　　1、 攻击者向目标计算机发送一个TCP SYN报文；
　　2、 目标计算机收到这个报文后，建立TCP连接控制结构（TCB），并回应一个ACK，等待发起者的回应；
　　3、 而发起者则不向目标计算机回应ACK报文，这样导致目标计算机一致处于等待状态。
　　可以看出，目标计算机如果接收到大量的TCP SYN报文，而没有收到发起者的第三次ACK回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB控制结构，TCB）耗尽，而不能响应正常的TCP连接请求。


分片IP报文攻击
　　为了传送一个大的IP报文，IP协议栈需要根据链路接口的MTU对该IP报文进行分片，通过填充适当的IP头中的分片指示字段，接收计算机可以很容易的把这些IP分片报文组装起来。
　　目标计算机在处理这些分片报文的时候，会把先到的分片报文缓存起来，然后一直等待后续的分片报文，这个过程会消耗掉一部分内存，以及一些IP协议栈的数据结构。如果攻击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等待（直到一个内部计时器到时），如果攻击者发送了大量的分片报文，就会消耗掉目标计算机的资源，而导致不能相应正常的IP报文。


泪滴攻击
　　对于一些大的IP包，需要对其进行分片传送，这是为了迎合链路层的MTU的要求。
　　在IP报头中有一个偏移字段和一个分片标志（MF），如果MF标志设置为1，则表面这个IP包是一个大IP包的片断，其中偏移字段指出了这个片断在整个IP包中的位置。例如，对一个4500字节的IP包进行分片（MTU为1500），则三个片断中偏移字段的值依次为：0，1500，3000。这样接收端就可以根据这些信息成功的组装该IP包。
　　如果一个攻击者打破这种正常情况，把偏移字段设置成不正确的值，即可能出现重合或断开的情况，就可能导致目标操作系统崩溃。比如，把上述偏移设置为0，1300，3000。这就是所谓的泪滴攻击。
  (实质就是由于位置索引错误，报文解析程序会跑到不应该的位置，若没有严格的错误控制，ip可能就崩溃了。如果把ip报文头部的长度字段设置错误，也可能导致这种情况。)


带源路由选项的IP报文
　为了实现一些附加功能，IP协议规范在IP报头中增加了选项字段，这个字段可以有选择的携带一些数据，以指明中间设备（路由器）或最终目标计算机对这些IP报文进行额外的处理。
　　源路由选项便是其中一个，从名字中就可以看出，源路由选项的目的，是指导中间设备（路由器）如何转发该数据报文的，即明确指明了报文的传输路径。比如，让一个IP报文明确的经过三台路由器R1，R2，R3，则可以在源路由选项中明确指明这三个路由器的接口地址，这样不论三台路由器上的路由表如何，这个IP报文就会依次经过R1，R2，R3。而且这些带源路由选项的IP报文在传输的过程中，其源地址不断改变，目标地址也不断改变，因此，通过合适的设置源路由选项，攻击者便可以伪造一些合法的IP地址，而蒙混进入网络。


IP地址欺骗

一般情况下，路由器在转发报文的时候，只根据报文的目的地址查路由表，而不管报文的源地址是什么，因此，这样就 可能面临一种危险：如果一个攻击者向一台目标计算机发出一个报文，而把报文的源地址填写为第三方的一个IP地址，这样这个报文在到达目标计算机后，目标计算机便可能向毫无知觉的第三方计算机回应。这便是所谓的IP地址欺骗攻击。

　　比较著名的SQL Server蠕虫病毒，就是采用了这种原理。该病毒（可以理解为一个攻击者）向一台运行SQL Server解析服务的服务器发送一个解析服务的UDP报文，该报文的源地址填写为另外一台运行SQL Server解析程序（SQL Server 2000以后版本）的服务器，这样由于SQL Server 解析服务的一个漏洞，就可能使得该UDP报文在这两台服务器之间往复，最终导致服务器或网络瘫痪。


Land攻击
　　LAND攻击利用了TCP连接建立的三次握手过程，通过向一个目标计算机发送一个TCP SYN报文（连接建立请求报文）而完成对目标计算机的攻击。与正常的TCP SYN报文不同的是，LAND攻击报文的源IP地址和目的IP地址是相同的，都是目标计算机的IP地址。这样目标计算机接收到这个SYN报文后，就会向该报文的源地址发送一个ACK报文，并建立一个TCP连接控制结构（TCB），而该报文的源地址就是自己，因此，这个ACK报文就发给了自己。这样如果攻击者发送了足够多的SYN报文，则目标计算机的TCB可能会耗尽，最终不能正常服务。
（我靠，这个想法太强悍了！）


误导计算机建立错误的ARP表项：
   根据ARP协议，如果一台计算机接收到了一个ARP请求报文，在满足下列两个条件的情况下，该计算机会用ARP请求报文中的源IP地址和源MAC地址更新自己的ARP缓存：
　　1、 如果发起该ARP请求的IP地址在自己本地的ARP缓存中；
　　2、 请求的目标IP地址不是自己的。

　　可以举一个例子说明这个过程，假设有三台计算机A，B，C，其中B已经正确建立了A和C计算机的ARP表项。假设A是攻击者，此时，A发出一个ARP请求报文，该请求报文这样构造：
　　1、 源IP地址是C的IP地址，源MAC地址是A的MAC地址；
　　2、 请求的目标IP地址是A的IP地址。
　这样计算机B在收到这个ARP请求报文后（ARP请求是广播报文，网络上所有设备都能收到），发现B的ARP表项已经在自己的缓存中，但MAC地址与收到的请求的源MAC地址不符，于是根据ARP协议，使用ARP请求的源MAC地址（即A的MAC地址）更新自己的ARP表。
　　这样B的ARP混存中就存在这样的错误ARP表项：C的IP地址跟A的MAC地址对应。这样的结果是，B发给C的数据都被计算机A接收到。