DOS拒绝服务攻击
初識DOS攻擊與防御
- DOS攻擊概念
所謂拒絕服務攻擊,通常是利用傳輸協議中的某個弱點、系統或服務存在的漏洞,對目標系統發起大規模的進攻,使其無法處理合法用戶的正常請求和提供正常服務,最終導致網絡服務癱瘓,甚至系統死機。簡言之,DOS攻擊是使目標系統癱瘓,是一種典型的損人不利己的攻擊。 - DOS攻擊原因
內因:網絡協議的安全缺陷。
外因:利益驅使的蓄意行為,即攻擊者故意為之;偶然、無意事件。 - DOS攻擊原理
攻擊原理:利用合理的請求占用過多的服務資源(網絡帶寬、文件系統空間容量、開放的進程、允許的連接),使得服務超載,無法響應正常的服務請求。 - DOS攻擊方法
(1)耗盡計算機資源,如帶寬、內存、磁盤空間、處理器時間;
(2)破壞配置信息,如路由信息;
(3)破壞狀態信息,如TCP鏈接中斷;
(4)破壞網絡硬件;
(5)破壞通信介質,阻擋正常通信。
DOS常見攻擊技術
- SYN Flood(SYN洪水攻擊)
基本思想:利用TCP協議缺陷,發送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負載或內存不足)的攻擊方式。
攻擊過程:在三次握手過程中,假設客戶端發送SYN分組后突然死機或掉線,服務器端發送SYN/ACK應答后無法收到客戶端反饋的ACK分組,即第三次握手無法完成,這種情況被稱為半開的TCP連接狀態;此時,服務器端一般會重復發送ACK分組3-5次,并等待一段時間后丟棄這個半開連接,這段時間稱為SYN Timeout,大約為30秒至2分鐘。
如果一個惡意攻擊者大量模擬以上情況,偽造大量源IP地址,服務器端為了維護一個非常大的半開連接列表而消耗非常多的資源,如果服務器的TCP/IP棧不夠強大,最后可能會導致堆棧溢出或崩潰,即使服務器端足夠強大,服務器端將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求,此時,從正常客戶的角度來看,服務器失去了響應,這種情況稱為服務器端受到了SYN Flood攻擊。
攻擊者實施這種攻擊一般有兩種方法:
(1)向目標端發送SYN分組,并確保發送分組的地址不會應答SYN/ACK分組,這需要監聽數據包,并且在主機或路由器上進行阻斷;
(2)偽裝成當時不在線的IP地址,向目標機發動攻擊。
防御措施:
(1)縮短SYN Timeout時間;
(2)設置SYN Cookie,即給每一個連接請求的IP地址分配一個Cookie,如果短時間內連續收到某個IP的重復的SYN報文,就可以認定受到了該攻擊,以后該IP地址發來的數據包將被丟棄;
(3)設置路由器和防火墻在給定時間內只允許數量有限的半開TCP連接發生。 - ICMP Flood
Smurf Flood
攻擊過程:攻擊者發送源地址偽造的ICMP數據包,目的地址設為某個網絡的地址,源地址設為被攻擊主機(一般指web服務器),收到此ICMP數據包的主機會向源地址返回應答包,因此該應答包都指向了被攻擊主機,使得被攻擊主機在某一個時間段內被成千上萬的數據包淹沒,從而造成拒絕服務。
防御措施:配置路由器禁止IP廣播包進網
Ping of Death(死亡之Ping)
攻擊過程:發送一些尺寸超大(大于64K)的ICMP包。
防御措施:最有效防御方式是禁止ICMP報文通過網絡安全設備。 - Land 攻擊(Local Area Network Denial Attack/局域網拒絕服務攻擊)
攻擊過程:發送具有相同源地址和目標地址的欺騙數據包,即攻擊者構造特殊的SYN包,目的地址和源地址都是受害主機,受害主機接收該SYN包后,會向自己回復SYN/ACK包,第三次握手時自己回復給自己一個ACK包,大量這樣的數據包會使目標主機建立很多無向連接,占用大量系統資源,最終導致崩潰。
防御措施:
(1)防火墻攔截攻擊包;
(2)操作系統修復漏洞;
(3)配置路由器,屏蔽源地址與目標地址相同的數據包。 - TearDrop 攻擊(淚滴攻擊)
攻擊過程:是基于UDP的病態分片數據包的攻擊方法,即攻擊者向目標主機發送大量的、過大的錯位IP碎片,某些操作系統收到重疊偏移的偽造分片數據包時,就會出現系統崩潰或重啟。
現象:對于Windows系統會導致藍屏死機,并顯示STOP0x0000000A錯誤。
防御方法:添加系統補丁程序,丟棄收到的病態分片數據包并對這種攻擊進行審計。
暫存:
認識DDOS攻擊
DDOS攻擊:Distributed Denial of Service分布式拒絕服務攻擊,利用合理的請求造成資源過載,導致服務不可用的一種攻擊方式,是一種分布式的、協同的大規模攻擊方式。
特點:利用若干個網絡節點(肉雞、僵尸網絡)同時向目標發起攻擊。
CC攻擊
原理:對一些資源消耗較大的應用頁面不斷發起正常請求,以達到造成消耗服務器端資源的目的。
防御方法:
(1)優化服務器性能:應用代碼性能優化、網絡架構優化。
(2)限制請求頻率:可以通過IP地址和Cookie定位一個客戶端,針對過頻繁訪問,采取重定向頁面。
(3)驗證碼機制:有效阻止自動化重放攻擊的有效行為之一。
總結
- 上一篇: Python函数和装饰器
- 下一篇: rrpp协议如何修改_【网安学术】基于N