畸形报文攻击是通过向目标设备发送有缺陷的 IP 报文,使得目标设备在处理这样的 IP 报文时出错和崩溃,给目标设备带来损失。畸形报文攻击防范是指设备实时检测出畸形报文并予以丢弃,实现对本设备的保护。
畸形报文攻击主要分为以下几类:
1、没有 IP 载荷的泛洪
如果 IP 报文只有 20 字节的 IP 报文头,没有数据部分,就认为是没有 IP 载荷的报文。攻击者经常构造只有 IP 头部,没有携带任何高层数据的 IP 报文,目标设备在处理这些没有 IP 载荷的报文时会出错和崩溃,给设备带来损失。
启用畸形报文攻击防范后,设备在接收到没有载荷的 IP 报文时,直接将其丢弃。
2、IGMP 空报文
IGMP 报文是 20 字节的 IP 头加上 8 字节的 IGMP 报文体,总长度小于 28 字节的 IGMP 报文称为 IGMP 空报文。
设备在处理 IGMP 空报文时会出错和崩溃,给目标设备带来损失。
启用畸形报文攻击防范后,设备在接收到 IGMP 空报文时,直接将其丢弃。
3、LAND 攻击
LAND 攻击是攻击者利用 TCP 连接三次握手机制中的缺陷,向目标主机发送一个源地址和目的地址均为目标主机、源端口和目的端口相同的 SYN 报文,目标主机接收到该报文后,将创建一个源地址和目的地址均为自己的TCP 空连接,直至连接超时。在这种攻击方式下,目标主机将会创建大量无用的 TCP 空连接,耗费大量资源,直至设备瘫痪。
启用畸形报文攻击防范后,设备采用检测 TCP SYN 报文的源地址和目的地址的方法来避免 LAND 攻击。如果 TCP SYN 报文中的源地址和目的地址一致,则认为是畸形报文攻击,丢弃该报文。
4、Smurf 攻击
Smurf 攻击是指攻击者向目标网络发送源地址为目标主机地址、目的地址为目标网络广播地址的 ICMP 请求报文,目标网络中的所有主机接收到该报文后,都会向目标主机发送 ICMP 响应报文,导致目标主机收到过多报文而消耗大量资源,甚至导致设备瘫痪或网络阻塞。
启用畸形报文攻击防范后,设备通过检测 ICMP 请求报文的目标地址是否是广播地址或子网广播地址来避免Smurf 攻击。如果检测到此类报文,直接将其丢弃。
5、TCP 标志位非法攻击
TCP 报文包含 6 个标志位:URG、 ACK、 PSH、 RST、 SYN、 FIN,不同的系统对这些标志位组合的应答是不同的:
- 6 个标志位全部为 1,就是圣诞树攻击。设备在受到圣诞树攻击时,会造成系统崩溃。
- SYN 和 FIN 同时为 1,如果端口是关闭的,会使接收方应答一个 RST | ACK 消息;
如果端口是打开的,会使接收方应答一个 SYN | ACK 消息,这可用于主机探测(主机在线或者下线)和端口探测(端口打开或者关闭)。
- 6 个标志位全部为 0: 如果端口是关闭的,会使接收方应答一个 RST | ACK 消息,这可以用于探测主机;
如果端口是开放的, Linux 和 UNIX 系统不会应答,而 Windows 系统将回答 RST | ACK 消息,这可以探测操作系统类型(Windows 系统, Linux 和 UNIX 系统等)。启用畸形报文攻击防范后,设备采用检查 TCP 的各个标志位避免 TCP 标志位非法攻击,如果符合下面条件之一,则将该 TCP 报文丢弃:
- 6 个标志位全部为 1;
- SYN 和 FIN 位同时为 1;
- 6 个标志位全部为 0。
使用德迅云安全高防产品进行预防
部署T级别数据中心,具备完善的机房设施,核心骨干网络有效保证高品质的网络环境和丰富的带宽资源。搭载赠送:自主化管理平台、德迅卫士(主机安全防火墙)、Web云防护(一站式网站安全加速)、1V1专家技术支撑,竭诚为您提供安全、可靠、稳定、高效的服务体验。
DDoS清洗
近源清洗多种流量清洗部署方案,无损防御各种DDoS攻击
CC攻击防御
5s发现恶意请求,10s快速阻断攻击,事前拦截、事后溯源、全方位防黑
Web应用防火墙
防SQL注入、XSS跨站,后门隔离保护、Webshell上传、非法HTTP协议请求。
德迅卫士
系统层安全软件,为用户远程桌面扫描登陆、手机短信验证登陆等。一键后台优化服务器权限、威胁组件、威胁端口。
