常见网络攻击手段原理分析（二）

来自：http://www.tenda.com.cn/tendacn/Support/show.aspx?articleid=85 
 

ActiveX是一种控件对象，它是建立在MICROSOFT的组件对象模型（COM）之上的，而COM则几乎是Windows操作系统的基础结构。可以简单的理解，这些控件对象是由方法和属性构成的，方法即一些操作，而属性则是一些特定的数据。这种控件对象可以被应用程序加载，然后访问其中的方法或属性，以完成一些特定的功能。可以说，COM提供了一种二进制的兼容模型（所谓二进制兼容，指的是程序模块与调用的编译环境，甚至操作系统没有关系）。但需要注意的是，这种对象控件不能自己执行，因为它没有自己的进程空间，而只能由其它进程加载，并调用其中的方法和属性，这时候，这些控件便在加载进程的进程空间运行，类似与操作系统的可加载模块，比如DLL库。

　　ActiveX控件可以嵌入在WEB页面里面，当浏览器下载这些页面到本地后，相应地也下载了嵌入在其中的ActiveX控件，这样这些控件便可以在本地浏览器进程空间中运行（ActiveX空间没有自己的进程空间，只能由其它进程加载并调用），因此，当前用户的权限有多大，ActiveX的破坏性便有多大。如果一个恶意的攻击者编写一个含有恶意代码的ActiveX控件，然后嵌入在WEB页面中，被一个浏览用户下载后执行，其破坏作用是非常大的。这便是所谓的ActiveX攻击。

　　1.19 Smurf攻击 

　　ICMP ECHO请求包用来对网络进行诊断，当一台计算机接收到这样一个报文后，会向报文的源地址回应一个ICMP ECHO REPLY。一般情况下，计算机是不检查该ECHO请求的源地址的，因此，如果一个恶意的攻击者把ECHO的源地址设置为一个广播地址，这样计算机在恢复REPLY的时候，就会以广播地址为目的地址，这样本地网络上所有的计算机都必须处理这些广播报文。如果攻击者发送的ECHO 请求报文足够多，产生的REPLY广播报文就可能把整个网络淹没。这就是所谓的smurf攻击。

　　除了把ECHO报文的源地址设置为广播地址外，攻击者还可能把源地址设置为一个子网广播地址，这样，该子网所在的计算机就可能受影响。

　　1.20 虚拟终端（VTY）耗尽攻击

　　这是一种针对网络设备的攻击，比如路由器，交换机等。这些网络设备为了便于远程管理，一般设置了一些TELNET用户界面，即用户可以通过TELNET到该设备上，对这些设备进行管理。

　　一般情况下，这些设备的TELNET用户界面个数是有限制的，比如，5个或10个等。这样，如果一个攻击者同时同一台网络设备建立了5个或10个TELNET连接，这些设备的远程管理界面便被占尽，这样合法用户如果再对这些设备进行远程管理，则会因为TELNET连接资源被占用而失败。
　　1.21 路由协议攻击

　　网络设备之间为了交换路由信息，常常运行一些动态的路由协议，这些路由协议可以完成诸如路由表的建立，路由信息的分发等功能。常见的路由协议有RIP，OSPF，IS-IS，BGP等。这些路由协议在方便路由信息管理和传递的同时，也存在一些缺陷，如果攻击者利用了路由协议的这些权限，对网络进行攻击，可能造成网络设备路由表紊乱（这足可以导致网络中断），网络设备资源大量消耗，甚至导致网络设备瘫痪。

　　下面列举一些常见路由协议的攻击方式及原理：

　　1.21.1 针对RIP协议的攻击

　　RIP，即路由信息协议，是通过周期性（一般情况下为30S）的路由更新报文来维护路由表的，一台运行RIP路由协议的路由器，如果从一个接口上接收到了一个路由更新报文，它就会分析其中包含的路由信息，并与自己的路由表作出比较，如果该路由器认为这些路由信息比自己所掌握的要有效，它便把这些路由信息引入自己的路由表中。

　　这样如果一个攻击者向一台运行RIP协议的路由器发送了人为构造的带破坏性的路由更新报文，就很容易的把路由器的路由表搞紊乱，从而导致网络中断。

　　如果运行RIP路由协议的路由器启用了路由更新信息的HMAC验证，则可从很大程度上避免这种攻击。

　　1.21.2 针对OSPF路由协议的攻击

　　OSPF，即开放最短路径优先，是一种应用广泛的链路状态路由协议。该路由协议基于链路状态算法，具有收敛速度快，平稳，杜绝环路等优点，十分适合大型的计算机网络使用。OSPF路由协议通过建立邻接关系，来交换路由器的本地链路信息，然后形成一个整网的链路状态数据库，针对该数据库，路由器就可以很容易的计算出路由表。

　　可以看出，如果一个攻击者冒充一台合法路由器与网络中的一台路由器建立邻接关系，并向攻击路由器输入大量的链路状态广播（LSA，组成链路状态数据库的数据单元），就会引导路由器形成错误的网络拓扑结构，从而导致整个网络的路由表紊乱，导致整个网络瘫痪。

　　当前版本的WINDOWS 操作系统（WIN 2K/XP等）都实现了OSPF路由协议功能，因此一个攻击者可以很容易的利用这些操作系统自带的路由功能模块进行攻击。

　　跟RIP类似，如果OSPF启用了报文验证功能（HMAC验证），则可以从很大程度上避免这种攻击。
　　1.21.3 针对IS-IS路由协议的攻击

　　IS-IS路由协议，即中间系统到中间系统，是ISO提出来对ISO的CLNS网络服务进行路由的一种协议，这种协议也是基于链路状态的，原理与OSPF类似。IS-IS路由协议经过 扩展，可以运行在IP网络中，对IP报文进行选路。这种路由协议也是通过建立邻居关系，收集路由器本地链路状态的手段来完成链路状态数据库同步的。该协议的邻居关系建立比OSPF简单，而且也省略了OSPF特有的一些特性，使该协议简单明了，伸缩性更强。

　　对该协议的攻击与OSPF类似，通过一种模拟软件与运行该协议的路由器建立邻居关系，然后传颂给攻击路由器大量的链路状态数据单元（LSP），可以导致整个网络路由器的链路状态数据库不一致（因为整个网络中所有路由器的链路状态数据库都需要同步到相同的状态），从而导致路由表与实际情况不符，致使网络中断。

　　与OSPF类似，如果运行该路由协议的路由器启用了IS-IS协议单元（PDU）HMAC验证功能，则可以从很大程度上避免这种攻击。

　　1.22 针对设备转发表的攻击

　　为了合理有限的转发数据，网络设备上一般都建立一些寄存器表项，比如MAC地址表，ARP表，路由表，快速转发表，以及一些基于更多报文头字段的表格，比如多层交换表，流项目表等。这些表结构都存储在设备本地的内存中，或者芯片的片上内存中，数量有限。如果一个攻击者通过发送合适的数据报，促使设备建立大量的此类表格，就会使设备的存储结构消耗尽，从而不能正常的转发数据或崩溃。

　　下面针对几种常见的表项，介绍其攻击原理：

　　1.22.1 针对MAC地址表的攻击

　　MAC地址表一般存在于以太网交换机上，以太网通过分析接收到的数据幀的目的MAC地址，来查本地的MAC地址表，然后作出合适的转发决定。

　　这些MAC地址表一般是通过学习获取的，交换机在接收到一个数据幀后，有一个学习的过程，该过程是这样的：

　　a) 提取数据幀的源MAC地址和接收到该数据幀的端口号；
　　b) 查MAC地址表，看该MAC地址是否存在，以及对应的端口是否符合；
　　c) 如果该MAC地址在本地MAC地址表中不存在，则创建一个MAC地址表项；
　　d) 如果存在，但对应的出端口跟接收到该数据幀的端口不符，则更新该表；
　　e) 如果存在，且端口符合，则进行下一步处理。

　　分析这个过程可以看出，如果一个攻击者向一台交换机发送大量源MAC地址不同的数据幀，则该交换机就可能把自己本地的MAC地址表学满。一旦MAC地址表溢出，则交换机就不能继续学习正确的MAC表项，结果是可能产生大量的网络冗余数据，甚至可能使交换机崩溃。

　　而构造一些源MAC地址不同的数据幀，是非常容易的事情。
　　1.22.2 针对ARP表的攻击

　　ARP表是IP地址和MAC地址的映射关系表，任何实现了IP协议栈的设备，一般情况下都通过该表维护IP地址和MAC地址的对应关系，这是为了避免ARP解析而造成的广播数据报文对网络造成冲击。ARP表的建立一般情况下是通过二个途径：

　　1、 主动解析，如果一台计算机想与另外一台不知道MAC地址的计算机通信，则该计算机主动发ARP请求，通过ARP协议建立（前提是这两台计算机位于同一个IP子网上）；

　　2、 被动请求，如果一台计算机接收到了一台计算机的ARP请求，则首先在本地建立请求计算机的IP地址和MAC地址的对应表。

　　因此，如果一个攻击者通过变换不同的IP地址和MAC地址，向同一台设备，比如三层交换机发送大量的ARP请求，则被攻击设备可能会因为ARP缓存溢出而崩溃。

　　针对ARP表项，还有一个可能的攻击就是误导计算机建立正确的ARP表。根据ARP协议，如果一台计算机接收到了一个ARP请求报文，在满足下列两个条件的情况下，该计算机会用ARP请求报文中的源IP地址和源MAC地址更新自己的ARP缓存：

　　1、 如果发起该ARP请求的IP地址在自己本地的ARP缓存中；
　　2、 请求的目标IP地址不是自己的。

　　可以举一个例子说明这个过程，假设有三台计算机A，B，C，其中B已经正确建立了A和C计算机的ARP表项。假设A是攻击者，此时，A发出一个ARP请求报文，该请求报文这样构造：

　　1、 源IP地址是C的IP地址，源MAC地址是A的MAC地址；
　　2、 请求的目标IP地址是A的IP地址。

　　这样计算机B在收到这个ARP请求报文后（ARP请求是广播报文，网络上所有设备都能收到），发现B的ARP表项已经在自己的缓存中，但MAC地址与收到的请求的源MAC地址不符，于是根据ARP协议，使用ARP请求的源MAC地址（即A的MAC地址）更新自己的ARP表。

　　这样B的ARP混存中就存在这样的错误ARP表项：C的IP地址跟A的MAC地址对应。这样的结果是，B发给C的数据都被计算机A接收到。
　　1.22.3 针对流项目表的攻击

　　有的网络设备为了加快转发效率，建立了所谓的流缓存。所谓流，可以理解为一台计算机的一个进程到另外一台计算机的一个进程之间的数据流。如果表现在TCP/IP协议上，则是由（源IP地址，目的IP地址，协议号，源端口号，目的端口号）五元组共同确定的所有数据报文。

　　一个流缓存表一般由该五元组为索引，每当设备接收到一个IP报文后，会首先分析IP报头，把对应的五元组数据提取出来，进行一个HASH运算，然后根据运算结果查询流缓存，如果查找成功，则根据查找的结果进行处理，如果查找失败，则新建一个流缓存项，查路由表，根据路由表查询结果填完整这个流缓存，然后对数据报文进行转发（具体转发是在流项目创建前还是创建后并不重要）。

　　可以看出，如果一个攻击者发出大量的源IP地址或者目的IP地址变化的数据报文，就可能导致设备创建大量的流项目，因为不同的源IP地址和不同的目标IP地址对应不同的流。这样可能导致流缓存溢出。