不可不知的网络攻击( 二 ) _网络攻击

地址耗尽攻击顾名思义，攻击者要达到的效果是将 DHCP 服务器中可用的 IP 池消耗完，怎么做呢？其实很简单终端不断的假冒 MAC 地址发送 DHCP 申请，直至 IP 消耗殆尽。仿冒者攻击与 ARP 欺骗类似，由于 DHCP 是一次广播，所有终端是都可以接受到的。所以可能会有攻击者冒名顶替 DHCP 服务器。
DHCP 攻击的防御:
针对地址耗尽攻击，可以限制交换机某个端口在一段时间内分配 IP 的峰值，避免某台终端使用一个端口大量申请 IP 的情况。
针对仿冒者攻击，可以在交换机层面指定静态的 DHCP 服务器，这样，即使有攻击者仿冒，经过网络设备的过滤，错误信息会被过滤掉。
ICMP 攻击
ICMP（Internet Control Message Protocol）控制报文协议，他是 IP 协议的一个子协议，工作在网络层（TCP、UDP 等工作在传输层）我们最常用的 Ping 命令就是使用 ICMP 协议，所以也成为死亡之 Ping
此协议设计的初衷是为了检测网络，但如果稍加改造就可以变成一种攻击行为：
ping-l65500 -t192.168.1.1
-l size：发送 size 指定大小的到目标主机的数据包。
在默认的情况下 ping 发送的数据包大小为32 字节，最大值 65500 字节。当一次发送的数据包大于或等于 65500 字节时，将可能导致接收方计算机宕机。所以微软限制了这一数值。这个 -l 参数配合 -t 参数后危害非常强大。
ICMP 攻击的防御:
ICMP 洪水攻击可以说是最野蛮最没技术含量的一种，就是依仗巨大的网络流量，硬生生将网络设备 CPU 拖垮。
1.对于某种有特殊特征的 ICMP 攻击请求，可以干脆将其关闭之。2.启用 Ping 快回功能， Ping 请求不再将数据包全额上传 CPU ，但具体实现要看硬件设备支持情况。3.限制网络设备 CPU 对 ICMP 报文的处理优先级。
TCP/UDP 攻击系列：
TCP （Transmission Control Protocol）传输控制协议，是一种常用的传输层协议，针对他的攻击也是最常见的。TCP 是可靠的传输层的协议，但由于其下层 IP 协议仅仅对数据做最大努力交付（best effort）并不保证数据的完整性，所以实现 TCP 需要在终端双方都建立会话，成本较高，很多攻击都是利用了这一特质。
为保证信道的利用率， TCP 采用一种叫 “窗口滑动” 的技术来提高数据的传输的效率，对于这种技术，这里不做详细的解释，简单来讲可以理解为对 TCP 中每一个数据包进行编号，在窗口内的所有数据包是可以一次性全部发出去，这里不考虑时序，发送后的数据仍然留在缓冲区中，直到对方确认一段编号连续的数据段，这时释放那段数据，窗口右移。

文章插图
系列之会话洪水：
在 TCP 建立会话的 3 次握手中，攻击者可以发出大量的用篡改后 IP 来做伪装的 TCP 握手请求，这些 IP 都是不存在的，这样，在应用层，就会出现大量处在半开等待(SYN_RECV) 状态的会话，直至资源耗尽。

文章插图
由于这种攻击与正常的会话请求完全一样，是无法从特征上予以过滤的，目前可以做到防范手段主要有两种
1.缩短半开连接的持续时间，在网络高峰期慎用，高峰期网络随时可能拥塞，数值调整不当会造成正常的连接无法建立，乃至丢失。2.增大半开连接队列大小，打电话给老板再上几条内存吧。
系列之 RST 攻击：
这种攻击不是发生在会话的建立期间，而是结束期间，他的攻击策略是这样的：
终端 A 与服务器 B 已经建立的 TCP 连接，这时，坏蛋 C 伪造 A ，给 B 发了一个中断 TCP 的信号。这时候 B 可能会觉得 A 好奇怪呀，都已经说 bye bye 了怎么还在滔滔不绝？