填充攻击介绍和攻击案例、解决方案.docx

填充攻击介绍和攻击1.1.原理介绍填充攻击：填充攻击指的是以故意在数据包内容部分填充一些无用的数据来消耗网络带宽和系统资源 的一种网络攻击。值得指出的是数据填充在网络传输中经常会见到。例如我们知道arp协议字段长度为14+28=42byte， 而42字节是不能出现在以太网络中的（以太网准许发送字节为64-1518byte），为了能将arp数据包正确 的发送到以太网中，于是便填充了 18字节，然后加上4字节的FCS正好是64字节。这个正好符合以太 网最小数据包的字节数。数据填充现象在一些TCP SYN数据包，和ACK中也经常出现，此类填充主要是为了让数据包能够 达到以太网发送标准而做的填充。填充攻击则以消耗带宽和系统资源为主。下面我们来看两个填充攻击的案例。所以带来的直接现象就 是网络比较慢，服务器CPU利用率很高，很难提供正常的服务。1.2.案例分析UDP flood攻击是DOS攻击中的一种，既能消耗网络带宽也能消耗系统资源。此类攻击主要明显的 特征有以下： UDP会话数较多，在很短的时间内就达到成百上千，远大于TCP会话12s渤幌+瞄碗整742&7TC官47盘卜如241曰 TCPBtif网络中大包较多，大小包数据包失衡此外，数据包部分能看到大量填充现象明显的数据包。111f也电般布国11后用IN2 会EU.0>»可蜗:务£l 12fl/l Ox福-O JESSi-eB.：.土.一_:电V-亭£2/5 -3-20.承荷胃伊:SHD2Q/ZaalFFF-3主聊耻艮1/2.力 上W侦议；IT.：i23Z F 怪世料：皿做壬丑24/-I导 JiPSS址；10.ar1.13JZf.r1 勺 2-TWfi?±J17LQ613.22530/i-用报ifr晚.承用时口|SffJl(34/E!+目号N 口：g顷5卜孝条咬1L2M福性' +恺坦f3：CS3E-42(EE* 4D.- ：|-T* Batra >at-ai|4-2j*12&E：|L Ofl lfaaLimE s£ W：11B ： kM-i14 J '：.zcac ic2C2CK1C2CZCc c c c c c T cCLJLI 3Ji 22J匚 MG MU MU 尺匚 EG M MET ND M匚加 W匚 EG :2匚 HF N M匚加 T匚 EG M F7 M M匚 另外有时候为了制造大量流量，数据包还会有很多分片产生T GJ23S5 BL0 BpsD bps |? -T Radius3.225 KB130 SpsQ bpo |9 T gL125 KB11577 Bps4.616 KpsT Odier1J25 KBLl577 Bps4.616 Kbp&:T DN5503 B0 Bps0 bps |T Reipcnst23B B10 BpsU bpsr Query164 B0 BpsD bpsT W' FrmigntL5«l MB4通72fr.m KBps5.311 Mbpt - 10.723 Kbps I:s-Ttcp32.B1B KB.0717.591 KBpsnsh»117 QllR KB或UK K-RnT7.M1 KhncEliMiJE.TMSCC<HW9O2Q.DCiLGIH21Efl2.1LL.lHZUMCUEJF1的Cbi-9GE2畛匚9lft.IK2B.TMMZUEMWDO2a.COLCXlB10Al.L35.KiMlT4iJfl.93LaiiaCUOF1J514CbiZDl晌匚IDIMK2B.TM9&1UDMK12O.<KILaiIlDj>.l.L33iaM7iTije.saziacUQF1"EbZDA4明匚11UtlKJE.TSDfiULEMDOJC.8LC1W1DA.1.LJ3ITja. 931225P FrAgm.347Dx2DA4L2LIKJE.TSCBUDMXUfl.lKJLC14lDj>.l.L25iXr59UOFE做DxZDAS晌口LIW.D4.2E.7M51DLDCCD02OvDOLGlE1DJ5.1.LJ5.HH9lT4.Jfl.5i2Z13CUDF1ZZ5bZDAC%如上图我们看到ID为0x2D44的数据包被分成两个分片来进行传输。而且分片包是没有传输层信息 的。UDP flood中也有数据填充较少的一种攻击，此种攻击主要就是为了消耗系统的资源。通过请求被攻 击主机的随机的UDP端口，根据UDP设计规则，系统会回送icmp端口不可达信息。如图我们可以看到 每一个UDP请求对应一个ICMP的端口不可达报错1 TlBH百诚遍亩睡町TE前 UDPftfi朋 hflg日 w1目l F-A町可IHJISJlT?的8%够x-hJ145C.DCCOM125.647i2&6O.L7D.1&E.«ICMPDi日*口向达a(MW55.0006LW同而E凯1UDP演蹬匚=5L：H在白15岫=象EL34OLDCHXKCa.oajcii125.frlTG.2DW.L7Q.E.GC.«aIEMP01据La00«M5机1用1慎9曲513了 L旧氏做而2Q网UDP谜B»E=5L37LSfiMn=aii顾OlKHXMflG.DOGCZZ12土*旬W.L79.ICH!.eeICMPS2172OitXWKlSUDP64nwn-SU&EiHSS 口迫2171aiwwcflICMP91甘国口作战；0LDDM243.&M257L25L54.7a.XtE&UK162海胃匚只34丘日毒口71血0.G0W90.KM26C125.U76.206G.t791M.99IWP91M3?aoooojEGtkglOS眼 SHKL2L64.7.2aEDUDP海石匚汩加日宛浏I:朝&IMW360.皿3前125.M.76J&6CaL?giO.9aICMP91目 ®it口?M3cuxuninC.DOG33ELZ1.1W.?4.HH!513B4L2ifl4.7fl.KtB0UCFBilUL-5L3Bi.巨底壹口 =EIWLaooffiiaflQ.KM 邨12丸悝舐2。125.1162-4620*1591日®*LPE£E49-5a CO DMG.KK35Dg.gioam 艮 wragtwmaaBEiUCFIU押展匚=乂3花,巨列邱IG.MM35b125.76.20皿祁.y网IMP01ss 轮*30/41LJS.64-.n6.20I3I/ZI叫可IS3/2Li我们看到此处的UDP请求只做了最小的填充，只填充了 18个字节，正好符合以太网的最小发包 规则。而发送小包相对需要的时间少，利于数据包的大量发送，我们可以看到在1S钟内就有超过4000 个UDP数据包发送。而每一次UDP请求，系统都会做出一次端口不可达的报错，因此此种报错很多如图：WhQ 八 & < 0 -L W "IE 1名字款至名字45.515w.n9125.1Vs 口N遂1962dHTTP蜩成£!知.网i F 1* 瞄W124.1V TTCPSJS'?承3SL25.CTCP iEEiM#壮70V TC HPH3K2KP虽苦125i rs HM芾蚂AMa Pia®而工就上kmf笔4S.4QE&', s rFitiS 型_£i皿点匚不可沽 泗.克什刷于»3B33E3击邰&哄言佃仁不或走皿 5.恢 I. M&JI359C5.ft£7rwCnT- flFftl 3 4S 3 MSHL63W7填充攻击，不仅可以出现在UDP协议中，还会有ICMP，TCP协议利用。无论是利用什么协议做攻 击，最主要的还是数据包中有大量无用字节，而且数据包比较齐整。填充攻击的防御主要是要在防火墙去过滤一些分片，和大量重复数据的发送。