l
24
与报文分片（fragment）相关的网络攻击
l
传送IP报文的数字链路可以规定一个单个IP报文的最大长度，即 最大传输单元（MTU）。对一些大的IP报文进行分片传送。比如 一个4500字节的IP报文在MTU=1500的链路上传输的时候，需 要分成三个IP报文。 分片报文使用的偏移字段和分片标志（MF）标识。
l
路由协议用于在网络设备（路由器）之间交换路由信息。目前常 见的路由协议有 －RIP（Routing Information Protocol，路由信息协议） －OSPF(open shortest path first，开放最短路径） －IS-IS(intermediate system –intermediate system，中间系统 至中间系统） －BGP（Border Gateway Protocol ,边界网关协议）。
网
络
流
ห้องสมุดไป่ตู้
量
监
测
异常流量监测
宽 带 网 络 监 控 教 研 中 心
目录
1. 2. 3. 4.
异常流量概念 链路流量及其异常 直接影响网络正常运行的流 针对路由协议和设备转发表的攻击 与IP报文有关的异常 与TCP报文和通信过程相关的异常 与ICMP报文相关的攻击和异常 其它异常
18
5.与IP报文有关的异常
l
IP报文的头部是一些事先定义的字段。这些字段被填 入错误的值将导致网络或它连接的主机出现各种问题。 以下是一些典型的例子。
19
IP报头结构
版本 V
头⻓长HL
服务类型 TOS 标志Flag
总⻓长度 TLEN 分片片偏移量 Offset
标识符 Identification 生生存时间 TTL 协议 Protocol
8
直接影响网络正常运行的流
l
把直接影响网络正常运行的流作为最重要的流。例如：
– – – –
与DNS服务器的通信直接影响到域名解析的实现； SNMP协议流是否正常会直接关系到网络管理系统； 路由协议的流关系到网络中所有报文被正确地送往目的地; 与RADIUS服务器通信的报文流影响用户的安全性；例如： 一个猜登录密码的过程会表现为出现大量的以同一用户名登 录的RADIUS报文，其应答报文都是“口令错误”。
13
－模仿任何主机，使得所有应该发送到那台主机的通信 都被发送到攻击者的计算机中。
针对OSPF协议的攻击
l
OSPF协议适合大型网络使用。OSPF路由协议通过建 立邻接关系来交换路由器的本地链路信息，然后形成 一个整网的链路状态数据库。路由器可以很容易地在 该数据库基础上计算出路由表。 攻击者通过冒充合法的路由器与网络中的路由器建立 邻接关系，并向它发送大量的链路状态广播报文，引 导该路由器形成错误的网络拓扑结构，从而导致整个 网络的破坏。
l
流量监测系统能够发现一些这种报文。例如：流量监 测系统一般会对链路两端的IP地址范围有一定的了解， 因此可以发现链路这一端的IP地址作为源地址却出现 在由链路那一端发出的IP报文中。
21
例：一种SQL Server蠕虫病毒
l
攻击者向一台运行SQL Server解析服务的服务器发送 一个解析服务报文，该报文的源地址填写为另外一台 运行SQL Server解析程序的服务器，由于SQL Server 解析服务的一个漏洞，就可能使得该报文在这两台服 务器之间往复，最终导致服务器或网络瘫痪。
l
26
6.与TCP报文和通信过程相关的异常
l l
大量的网络攻击利用TCP协议的漏洞。 TCP协议的漏洞表现在两个方面：
– –
报文定义的松泛。 协议过程的不严谨。
27
TCP报文中的标志比特
l
分组头校验和 Checksum
源 IP 地址 Source
20
⺫目目的 IP 地址 Destination IP 选项 Option 填充 Pad
数据
：
伪造的源IP地址
l
一般情况下，路由器在转发报文的时候，只根据报文 的目的地址查路由表，而不管报文的源地址是什么。 一些网络攻击使用伪造的源IP地址，这样会导致报文 接收者向错误的主机（通常是被攻击对象）发送应答。
l l
3
l l
2.链路总流量及其异常
l
链路总流量：网络中一条物理链路上的单位时间流过 比特数或者字节数。 单向流量和双向流量 上行流量和下行流量：
–
l l
上行流量是指流出到上一级网络的流量，下行流量则是流入 流量。
4
l
总流量异常：
资源耗尽攻击
l
接收主机重组分片报文的过程需要消耗内存和IP协议 栈的数据结构 如果攻击者给目标主机只发送一部份分片报文，目标 主机就会一直等待 如果攻击者发送了大量的上述这种无法完成重组的分 片报文，就会消耗掉目标主机的大量资源而导致其不 能处理其它正常的IP报文。
l
l l
17
针对ARP表的攻击
l
攻击者可以变换不同的IP地址和MAC地址，向同一台 网络设备发送大量的ARP请求，使其因为ARP缓存溢 出而崩溃。
l
通过发送带有错误的源MAC地址和IP地址的ARP请求 报文误导接收主机，使其建立错误的ARP表。例如： 一个攻击者使用自己的MAC地址作为源MAC地址,而 使用另一个主机的 IP地址作为源IP地址的ARP请求报 文,将导致发送到该IP地址的报文全部送到攻击者的主 机。
– –
瞬间的流量突变 与日常观测的流量规律不符合
链路总流量的时间规律
l
每日流量规律：
– –
每日流量在白天或者午夜前的某个时段出现高峰， 在午夜后到清晨的一个时段达到谷底。
l l l
各日流量遵循大致相同的时间变化规律 工作日和节假日有显著的不同。 流量基线：
l
某种特定长度的报文数量激增往往是网络异常的表现。
–
7
大量建立连接往往导致线路上瞬时出现大量短报文。
3.特定流的流量异常
l l
链路总流量细分为一些流：流量正常的流和异常的流。 例如：
– –
发现某些IP地址对之间的通信流量异常， 发现某些协议类型的通信流量异常。
2
5. 6. 7. 8.
1.异常流量概念
l
在正常情况下，经过多个主机汇聚产生的网络出口流量具有明显 的规律性 流量在瞬间出现违反这种规律的情况，即出现了异常流量 异常流量往往表示网络本身出现了异常，例如网络中某个设备损 坏；或者网络受到了攻击 异常流量分析，就是要发现异常流量，并分析其来源、原因 本节讨论通过网络流量监测手段可能看到的网络异常流量及其含 义。
l
14
如何监测针对路由协议的攻击
l
运行路由协议的路由器可以通过启用路由协议数据单 元的HMAC(Hash message authentication codes, Hash信息验证码 )验证功能避免这种攻击。 流量监测系统可以通过发现来源不合法的路由协议报 文来监测这种攻击的发生。
l
15
对设备转发表的攻击
l
设备转发表指网络设备（路由器或交换机）上的一些 表项，用于指示报文的转发方向。如MAC地址表， ARP表，快速转发表等。
l
攻击者通过发送合适的数据报，促使设备建立大量的 此类表格，就会使设备的存储资源耗尽，表内容被破 坏，从而不能正常地转发数据报文。
12
它便把这些路由信息引入自己的路由表中。
针对RIP协议的攻击
l
一个攻击者向一台运行RIP协议的路由器发送了人为 构造的带破坏性的路由更新报文，后果： －很容易把路由器的路由表搞乱，从而导致网络中断。 －把数据包指定到某台设备转发，在这台设备中，数据 包既可以被检查，也可以被修改。
22
LAND攻击
l
一种更为特别的伪造源IP地址的方式是在报文中使用 目的IP地址作为源IP地址。这种报文被主机接收后会 导致不可预期的后果。因此常常被作为一种恶意攻击 的手段。 LAND攻击：攻击者向目标主机发送一个源和目的IP 地址相同的TCP SYN报文。这导致目标主机接收到这 个SYN报文后向自己发送一个ACK报文，并建立一个 TCB(TCP Control Block)。如果攻击者发送了足够多 的这类报文，则目标主机的TCB可能耗尽而最终不能 继续提供正常服务。
– – –
l l
6
发出大量连接请求 响应大量连接请求 在短时间内迅速建立大量连接
l
超短连接
报文长度分布
l l
某一长度范围的报文有多少个。 一般情况下报文长度分布具有明显的规律。
– –
长报文（1024字节以上）和短报文（<＝64字节）是大部分 。 其它长度的报文很少。
–
l
MF设置为1的IP报文是一个大的IP报文的分片； 偏移字段指出了这个分片在整个IP报文中的位置。例如4500 字节的IP报文分成三个分片后，其偏移字段的值分别为0， 1500，3000。它们在IP报头中使用相同的ID，表示同一个 报文。
25
–
l
分片报文越多，则其传输效率越低。如果发现网络中有大量的分 片报文，其长度又远小于MTU时，应当研究原因和在网络中采 取改进措施。