通过向目标系统发送有缺陷的ip报文,使得目标系统在处理这样的IP报文时发生错误,或者造成系统崩溃,影响目标系统的正常运行,主要的畸形报文攻击有ping of death,teardrop等。
利用ICMP的echo-request和echo-reply。借力用力
攻击者伪造 ICMP echo-request报文,源地址填目标服务器的地址,目的填目标服务器所在网络的广播地址,伪装成目标服务器在网络中发送广播报文,这个广播报文会得到254个响应报文,这些响应报文会返回给目标服务器,从而对目标服务器造成压力,有可能导致服务器不能正常提供服务。
检查icmp echo-repuest的目的地址是否为子网广播地址(如192.168.1.255)或者子网网络地址(如192.168.1.0),如果是,直接拒绝,并将攻击记录到日志。
firewall defend smurf enable
利用系统bug, 自己建立大量TCP三次握手的空连接。攻击者组装源目IP地址都是目的主机的tcp请求并将此请求发送给目标主机,导致目标主机自己向自己建立tcp空连接,占用系统资源或者使目的主机崩溃。
对每一个IP报文进行检测,若其源目地址相同,或源地址为环回地址(127.0.0.1),则直接拒绝,并将攻击记录到日志。
firewall defend land enable
利用UDP7和19端口产生的大量的无用应答报文。
类似于Smurf攻击,使用udp应答消息而非icmp,udp端口7(echo)和端口19(charge)在收到udp报文后,会产生大量无用的应答报文,占满网络带宽。
检查进入防火墙的udp报文,若目的端口号为7或者19,则直接拒绝,并将攻击记录到日志,否则允许通过。
firewall defend fraggle enable
利用字段(DF位、MF位、片偏置量、总长度)是否一致。
IP报文中有几个字段与分片有关(df位、mf位、fragment offset位、length)如果上述几个字段的值出现矛盾,而设备处理不当,会对设备造成一定的影响,甚至瘫痪。
检查IP报文中与分片有关的字段是否有以下矛盾,若发现含有矛盾,则丢弃,并将攻击记录到日志。
<