了解畸形报文攻击防范

小乔

畸形报文攻击是通过向目标设备发送有缺陷的IP报文，使得目标设备在处理这样的IP报文时出错和崩溃，影响目标设备承载的业务正常运行。畸形报文攻击防范是指设备实时检测出畸形报文并予以丢弃，实现对设备的保护。

畸形报文攻击主要分为以下几类：

没有IP载荷的泛洪

如果IP报文只有20字节的IP报文头，没有数据部分，就认为是没有IP载荷的报文。攻击者经常构造只有IP头部，没有携带任何高层数据的IP报文，目标设备在处理这些没有IP载荷的报文时会出错和崩溃，影响目标设备承载的业务正常运行。

启用畸形报文攻击防范后，设备检测接收到的IP报文是否有载荷，如果没有载荷，则直接将其丢弃。

IGMP空报文

正常的IGMP报文由20字节的IP报文头加上8字节的数据部分组成，总长28个字节。总长度小于28字节的IGMP报文称为IGMP空报文。设备在处理IGMP空报文时会出错和崩溃，影响目标设备承载的业务正常运行。

启用畸形报文攻击防范后，设备检测接收到的IGMP报文是否为空报文，如果是空报文，则直接将其丢弃。

LAND攻击

LAND攻击是攻击者利用TCP连接三次握手机制中的缺陷，向目标主机发送一个源地址和目的地址均为目标主机、源端口和目的端口相同的SYN报文，目标主机接收到该报文后，将创建一个源地址和目的地址均为自己的TCP空连接，直至连接超时。在这种攻击方式下，目标主机将会创建大量无用的TCP空连接，耗费大量资源，直至设备瘫痪。

启用畸形报文攻击防范后，设备采用检测TCP SYN报文的源地址和目的地址是否一致或源端口和目的端口是否一致的方法来避免LAND攻击。如果TCP SYN报文中的源地址和目的地址一致，或者源端口和目的端口一致，则认为是畸形报文攻击，丢弃该报文。

Smurf攻击

Smurf攻击是指攻击者向目标网络发送源地址为目标主机地址、目的地址为目标网络广播地址的ICMP请求报文，目标网络中的所有主机接收到该报文后，都会向目标主机发送ICMP响应报文，导致目标主机收到过多报文而消耗大量资源，甚至导致设备瘫痪或网络阻塞。

启用畸形报文攻击防范后，设备通过检测ICMP请求报文的目标地址是否是广播地址或子网广播地址来判断是否是Smurf攻击。如果检测到此类报文，直接将其丢弃。

TCP标志位非法攻击

TCP报文包含6个标志位：URG、ACK、PSH、RST、SYN、FIN，不同的系统对这些标志位组合的应答是不同的：

• 6个标志位全部为1，就是圣诞树攻击。设备在受到圣诞树攻击时，会造成系统崩溃。
• SYN和FIN同时为1，如果端口是关闭的，会使接收方应答一个RST | ACK消息；如果端口是打开的，会使接收方应答一个SYN | ACK消息，这可用于主机探测(主机在线或者下线)和端口探测（端口打开或者关闭）。
• 6个标志位全部为0，如果端口是关闭的，会使接收方应答一个RST | ACK消息，这可以用于探测主机；如果端口是开放的，Linux和UNIX系统不会应答，而Windows系统将回答RST | ACK消息，这可以探测操作系统类型（Windows系统，Linux和UNIX系统等）。
  
  

启用畸形报文攻击防范后，设备会检查TCP报文的各个标志位避免TCP标志位非法攻击。如果符合下面条件之一，则将该TCP报文丢弃：

• 6个标志位全部为1；
• SYN和FIN位同时为1；
• 6个标志位全部为0。
  
  

liyou60

华为认证，值得拥有！