欢迎来到知了堂!
联系电话:知了堂-电话号码 028-62016472

Dos攻击奇淫技巧(一)-知了堂

Dos攻击奇淫技巧(一)

      本篇文章是知了堂信息安全老师,针对本周刚好有学员去面试信安岗位,问到了Dos攻击相关的知识,有针对性的写了一篇关于Dos攻击做一个介绍。文章系知了堂老师原创!


 
 
       Dos攻击目前在安全行业里面的危害可以说是排在NO.1位,那么我从以下几个方面和大家介绍下什么是Dos攻击,DDos攻击,攻击类型和方式,还有就是攻击实战,以及方法措施!本文较长,分两次发布
       一:那么什么是Dos呢?

拒绝服务攻击(Denailof Service),DoS即攻击者想方设法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一个小部分,只要能够对目标系统造成麻烦,使正常的服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因该攻击利用了网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。

      二:拒绝服务攻击的原理是什么呢?
拒绝服务攻击通常是利用传输协议的漏洞、系统存在的漏洞、服务的漏洞,对目标系统发起大规模的攻击,用超出目标系统处理能力的海量数据包消耗可用系统资源、带宽资源等,或造成程序缓冲区溢出错误,致使其无法处理合法用户的正常请求,无法提供正常服务,最终导致网络服务瘫痪,甚至引起系统死机。

      三:拒绝服务攻击的分类
实现拒绝服务攻击的方法多种多样,最常见的主要有以下几种。
     1.滥用合理的服务请求
过度地请求目标系统的正常服务,占用过多服务资源,导致系统超载,无法响应其他请求。这些服务资源通常包括网络带宽、文件系统空间容量、开放的进程或连接数等。
    2.制造大量无用数据
恶意地制造和发送大量各种随机无用的数据包,目的仅在于用这些大量的无用数据占据网络带宽,造成网络拥塞,使正常的通信无法顺利进行。
   3.利用传输协议缺陷
利用传输协议上的缺陷,构造畸形的数据包并发送,导致目标主机无法处理,出现错误或崩溃,而拒绝服务。
  4.利用服务程序的漏洞
针对主机上的服务程序的特定漏洞,发送一些有针对性的特殊格式的数据包,导致服务处理错误而拒绝服务。

    四、拒绝服务攻击的方式
拒绝服务攻击主要分为两种,语义攻击(Semantic)和暴力攻击(Brute)。
语义攻击指的是利用目标系统实现时的缺陷和漏洞,对目标主机进行的拒绝服务攻击,这种攻击往往不需要攻击者具有很高的攻击带宽,有时只需要发送1个数据包就可以达到攻击目的,对这种攻击的防范只需要修补系统中存在的缺陷即可。
暴力攻击指的是不需要目标系统存在漏洞或缺陷,而是仅仅靠发送超过目标系统服务能力的服务请求数量来达到攻击的目的,也就是通常所说的风暴攻击。所以防御这类攻击必须借助于受害者上游路由器等的帮助,对攻击数据进行过滤或分流。
某些攻击方式,兼具语义和暴力两种攻击的特征,比如SYN风暴攻击,虽然利用了TCP协议本身的缺陷,但仍然需要攻击者发送大量的攻击请求,用户要防御这种攻击,不仅需要对系统本身进行增强,而且也需要增大资源的服务能力。还有一些攻击方式,是利用系统设计缺陷,产生比攻击者带宽更高的通信数据来进行暴力攻击的,如DNS请求攻击和Smurf攻击。这些攻击方式在对协议和系统进行改进后可以消除或减轻危害,所以可把它们归于语义攻击的范畴。

   五:常见拒绝服务攻击行为特征与防御方法
拒绝服务攻击是最常见的一类网络攻击类型。在这一攻击原理下,它又派生了许多种不同的攻击方式。正确了解这些不同的拒绝攻击方式,就可以正确、系统的为自己所在企业部署完善的安全防护系统。下面我们针对几种典型的拒绝服务攻击原理进行简要分析,并提出相应的对策。
1.死亡之Ping(Ping of death)攻击
由于在早期的阶段,路由器对包的最大大小是有限制的,许多操作系统TCP/IP栈规定ICMP包的大小限制在64KB以内。当发送过来的数据包尺寸大小超过64KB,就会出现内存分配错误,导致TCP/IP堆栈崩溃,造成接收主机的重启或死机。这就是这种“死亡之Ping”攻击的原理所在。根据这一攻击原理,黑客们只需不断地通过Ping命令向攻击目标主机发送超过64KB的数据包,如果目标主机存在这样一个漏洞,就会缓存溢出,形成一次拒绝服务攻击。
防御方法,现在所有的标准TCP/IP协议都已具有对付超过64KB大小数据包的处理能力,并且大多数防火墙能够通过对数据包中的信息和时间间隔分析,自动过滤这些攻击。此外,对防火墙进行配置,阻断ICMP以及任何未知协议数据包,都可以防止此类攻击发生。
2. SYN洪水(SYN Flood)
SYN洪水是当前最流行的DoS与DDoS的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽的攻击方式。
3.Land攻击
Land 攻击是一种发送源地址和目的地址相同的数据包到服务器的攻击,结果通常使存在漏洞的服务器崩溃。
在Land攻击中,一个特别打造的SYN包中的源地址和目标地址都被设置成目标主机地址,目标主机在接收到这样的连接请求后,向它自己发送SYN/ACK消息,然后又向自己发回ACK数据包并创建一个空连接,每一个这样的连接都将保留直到超时掉。这种攻击会使目标主机建立很多无效的连接。
防御方法,这类攻击的检测方法相对来说比较容易,因为它可以直接从判断网络数据包的源地址和目标地址是否相同得出是否属于攻击行为。反攻击的方法当然是适当地配置防火墙设备或包过滤路由器的包过滤规则。并对这种攻击进行审计,记录事件发生的时间,源主机和目标主机的MAC地址和IP地址,从而可以有效地分析并跟踪攻击者的来源。
4.Smurf攻击
广播是指信息发送到整个网络中的所有机器上。当某台机器使用广播地址发送一个ICMP Echo请求包时(例如Ping),它就会收到N个ICMP echo响应包(N为网络中机器的总数)。当N的数目达到一定的时候,产生的应答流将会占用大量的带宽,消耗大量的网络资源。
5.UDP洪水(UDP Flood)
UDP Flood主要是利用主机自动回复的服务进行攻击。UDP协议的Echo和Chargen服务有一个特性,它们会对发送到服务端口的数据自动进行回复。Echo服务将接收到的数据返回给发送方,而Chargen服务则是在接收到数据后随机返回一些字符。
当有两个或两个以上系统存在这样的服务时,攻击者利用其中一台主机的Echo或Chargen服务端口,向另一台主机的Echo或Chargen服务端口发送数据,Echo或Chargen服务会对发送的数据自动进行回复,这样开启可Echo和Chargen服务的两台主机就会相互回复数据,一方的输出成为另一方的输入,两台主机间会形成大量往返的无用数据流。
6.IP源地址欺骗DOS攻击
这种攻击利用IP头的RST位来实现。假设现在有一个合法用户(61.61.61.61)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为61.61.61.61,并向服务器发送一个带有RST位的TCP数据包。服务器接收到这样的数据后,认为从61.61.61.61发送的连接有错误,就会清空缓冲区中建立好的连接。
这时,如果合法用户61.61.61.61再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击时,攻击者会伪造大量的源地址为其他用户IP地址、RST位置1的数据包,发送给目标服务器,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。
7.电子邮件炸弹
攻击者不停地向用户的邮箱发送大量的邮件,目的是要用垃圾邮件填满用户的邮箱,使正常的邮件因邮箱空间不足而被拒收,这也将不断吞噬邮件服务器上的硬盘空间,使其最后耗尽,无法再对外服务。
防御方法,对邮件地址进行过滤规则配置,自动删除来自同一主机的过量或重复的消息。
 
    六:分布式拒绝服务攻击
分布式拒绝服务攻击(DDos攻击)是指攻击者通过控制分布在网络各处数以百计甚至数千台傀儡主机(又称为肉鸡),发动它们同时向攻击目标进行拒绝服务攻击。
在早期,拒绝服务攻击主要是针对处理能力比较弱的单机,如个人PC,或是宅带宽连接的网站,对拥有高带宽连接高性能设备的网站影响不大。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得拒绝服务攻击攻击的困难度加大。分布式拒绝服务攻击手段应运而生。其破坏性和危害程度更大、涉及范围更广,也更难发现攻击者。
由于被攻击者在同一时间内收到大量数据包不是一台主机发送来的,这使得防御变得非常困难。同时,因为攻击来自广泛的IP地址,而且来自每台主机的数据包数量都不大,因此很有可能从入侵检测系统(Intrusion Detection System,IDS)的眼皮下溜掉,所以探测和阻止也变得更见困难。
  • 签订就业合同
  • 100%就业
  • 先就业后付款
  • 脱产班
  • 周末班
立即咨询