来源:蜘蛛抓取(WebSpider)
时间:2016-09-11 06:17
标签:
mac地址泛洪攻击
渗透测试(4)
1.SYN泛洪攻击
原理:在三次握手中,客户端发送数据包时包里的源IP是虚假IP,导致服务器在返回SYN数据包时不知道返回给谁。
工具:低版本windows可以使用HUC SYN工具
在命令行输入syn即可查看命令格式。
2.SYN泛洪DDOS攻击
被攻击者(服务器)性能一般很好,普通的单台攻击不一定能特别成功。因此攻击者控制肉鸡,在肉鸡上安装木马的服务器端,黑客控制端监听端口,做实验的时候可以在被攻击端打开wireshark抓TCP包观察,或者在命令行看netstat -an,可以看到大量的TCP半开连接。
防范:添加防火墙或者修改TCP注册表信息(regedit)
3.TCP RESET攻击
TCP头中RST通常为0,要断开连接时为1,攻击者冒充其他客户机发送RESET数据包,断开连接。集线器网络中,攻击者能够方便地坚听双方会话,从而冒充,但是在交换机网络中则需要先进行中间人攻击。
步骤:在kali linux中输入命令:ech0 &1&&/proc/sys/net/ipv4/ip_forward打开路由功能,然后冒充双方ip:arpspoof -i eth0 -t 192.168.222.1 192.168.222.2;arpspoof -i eth0 -t 192.168.222.2 192.168.222.1;这样客户机与服务器之间的所有包都会经过kali发出去。在kali中造数据包:netwox 78 -i “ip”,此ip为你想要断开连接的客户机ip
4.UDP泛洪攻击
原理:攻击者发送大量的UDP包给服务器,服务器发送大量回复,工具UDP flooder
5.ICMP Smurf攻击
原理:攻击者发送数据包的源ip地址是被攻击者的ip地址,目的ip地址是被攻击者所在网段的广播地址,这样大量icmp echo reply就到了被攻击者那里了。前提是:最后一跳路由器能转发这个数据包。
参考知识库
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:1922次
排名:千里之外
原创:55篇2693人阅读
工具使用笔记(111)
会话发起协议(Session Initiation Protocol,缩写SIP)
会话描述协议(Session Description Protocol或简写SDP)描述的是流媒体的初始化参数。
SIP与H.323一样,是用于VoIP最主要的信令协议之一。SIP最初由IETF标准化和管理,而H.323VoIP协议则从传统上与ITU有着更多的联系。
SIP的设计目标之一是提供类似公用交换电话网(PSTN)中呼叫处理功能的扩展集。在这个扩展集中,实现类似日常电话的操作:拨号,振铃,回铃音或者忙音,只是实现方式和术语有所不同。
SIP也实现了许多七号信令系统(SS7)中更高级的呼叫处理功能,尽管这两个协议相差很远。SS7是一个高度集中处理的协议,其特点表现为高复杂度的中心网络结构和无智能的哑终端(传统的电话机)。SIP则是一个点对点协议,所以它只需要一个相对简单的(因此也高度可扩展的)核心网络,而将处理工作下放给连接在网络边缘的智能端点(装有硬件或软件的终端设备)。SIP的许多功能在端点中实现,这与传统的SS7将其在网络核心设备实现的作法大异其趣。
SIP同HTTP相似并采用了后者的一些设计原则:SIP报文是人类可读的,并且也是采取请求-应答的流程。SIP借用了许多HTTP状态码,如常见的'404 not found'。
SDP用于和RTSP以及SIP协同工作,也可被单独用来描述多播会话。
& 通过TCP/UDP进行泛洪攻击的SIP/SDP会话,该工具可以在本i机产生大量的流量,因为需要在本地读取数据进行对外发送。所以在流量监控时可能会产生40M/s的速度。
root@kali:~# inviteflood -h
inviteflood - Version 2.0
& & & & & & & June 09, 2006
&Mandatory -
& & interface (e.g. eth0)
& & target user (e.g. && or john.doe or 5000 or &1+210-555-1212&)
& & target domain (e.g.
or an IPv4 address)
& & IPv4 addr of flood target (ddd.ddd.ddd.ddd)
& & flood stage (i.e. number of packets)
&Optional -
& & -a flood tool &From:& alias (e.g. jane.doe)
& & -i IPv4 source IP address [default is IP address of interface]
& & -S srcPort &(0 - 65535) [default is well-known discard port 9]
& & -D destPort (0 - 65535) [default is well-known SIP port 5060]
& & -l lineString line used by SNOM [default is blank]
& & -s sleep time btwn INVITE msgs (usec)
& & -h help - print this usage
& & -v verbose output mode
0x02 使用示例
使用接口eth0 并且提供5000用户,使用100个包向目标域名(example.local)&和泛洪主机(192.168.1.5) 进行泛洪攻击。
root@kali:~# inviteflood eth0 5000 example.local 192.168.1.5 100
inviteflood - Version 2.0
& & & & & & & June 09, 2006
source IPv4 addr:port & = 192.168.1.202:9
dest & IPv4 addr:port & = 192.168.1.5:5060
targeted UA & & & & & & = .1.1
Flooding destination with 100 packets
欢迎大家分享更好的思路,热切期待^^_^^ !!!
参考知识库
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:282238次
积分:3750
积分:3750
排名:第6043名
原创:120篇
转载:12篇
评论:14条
(2)(30)(46)(24)(11)(16)(4)(1)在目前的应用经济下,企业对于应用交付的需求与日剧增。而安全特别是防能力成为应用交付厂商必备的服务项目,是为虚拟和云数据中心提供应用交付和应用安全解决方案的领导厂商,其解决方案为关键业务应用提供充分的弹性、最大的IT效率和完整的业务灵敏性。Radware解决方案帮助全球上万家企业和运营商快速应对市场挑战,保持业务的连续性,在实现最高生产效率的同时有效降低成本。近日,天极网采访了Radware中国区首席架构师,就目前的DDoS市场的热点问题进行了讨论。新形势下的DDoS市场如果说以前的DDoS攻击是长时间的持续性行为,那么步入新常态后,DDoS攻击时间都低于一小时,不再像以前持续那么久。姚宏洲表示,产生效果后会在企业防御前撤退,同时通过变化攻击手法维持攻击的有效性。虽然目前很多运营商提供了流量清洗服务,但是在受到攻击通知并启动运营商的流量清洗服务之前,攻击者可能已经转移了。所以这需要企业在应对DDoS攻击的时候需要更加有效的防御解决方案。此外,DDoS攻击影响的范围在扩大,比如、政府和。对于ISP来说,以前DDoS攻击的对象是商的客户,现在自身也成为被攻击的对象。在攻击手法上,DDoS攻击出现加密型的攻击,通过加密,攻击直接穿透防火墙。而且攻击是多维度的,不同类型的攻击混合使用。而且DDoS攻击的地域特征不是那么明显,也就是在中国发生的攻击也会出现在。另外,DDoS攻击不再像以前那样偏向于偏向整个服务的阻断,所谓阻断就是服务完全不可用。姚宏洲解释说,现在的DDoS让服务变慢而不是直接阻断,通过影响服务的客户体验实现攻击。比如服务响应慢,其实是DDoS强制占用整个业务系统资源,从而拖慢系统,服务受到干扰,直接影响客户满意度。DDoS攻击的自动化也是目前的一个新特征。姚宏洲说,如果攻击自动化,我们的防护也要自动化,才能够匹配它,攻击一直在变,你也要有方法。目前大多采用加速,这样的一个问题是虽然加速了企业应用交付,但是安全问题也隐藏其中。比如CDN加速的是静态资源。动态资源,它会溯源到真实的数据中心的来。经过CDN加速溯源,对于客户的数据中心而言,他有一个困扰,就是他所看的IP都是CDN的IP,因为CDN会做一个地址转换,在IP层看到的是CDN的IP。攻击的用户跟实际的用户是夹杂在一起的。所以你需要有一套机制,判断攻击者跟非攻击者。以前以一个IP去判断是好人还是坏人,现在必须要更深层次判断,比如基于行为模式。针对于此,Radware有一个机制是根据指纹进行识别。对于我们的目的站点而言,同一个源地址,有攻击行为,又有正常行为。虽然都是同一个IP来的,但是这个请求是从某一台特定设备出来,另外的请求是从另外一台设备出来,这是我们所谓的设备指纹。不光CDN,手机上网也是同样如此。通过基站进行IP地址转换,而通过设备指纹可以很好解决这个问题。指纹识别技术可以让Radware客户无需IP地址就可以实现对最终用户设备的追踪。通过使用设备的多种特性进行设备的准确识别并与其它设备进行区分。Radware可以利用追踪技术生成设备信誉档案,档案中包括可以帮助用户检测并缓解DDoS攻击、入侵和欺诈行为等威胁的历史行为信息。精确的设备级检测可以实现更加有效的流量防护,能够识别那些可以规避基于IP地址的安全措施的数据流。这些数据流包括来自内容分发网络并带有白名单列表中IP的的恶意流量、采用动态主机配置的流量(每次访问时都会生成一个新的IP地址)。转换NAT设备允许多个设备共享同一个IP地址,同时,匿名代理服务也使在不影响合法用户/设备的前提下进行IP地址拦截变得非常困难,而设备指纹识别技术则可以很好地识别这些利用转换设备进行互联网访问的恶意用户。目前的DDoS攻击量非常大,姚宏洲表示,为什么攻击量会突然上升那么多?实际上跟所谓的攻击和肉机攻击有直接关系。从持续性的攻击行为,变成大概一个小时内的攻击行为。但是它可以在这么短的时间内实现如此大的攻击量,就是依靠(Botnet)实现统一的。针对目前大流量,Radware推出全新攻击缓解平台DefensePro x4420,提供高达300Gbps/230Mpps的攻击防御处理能力。Radware的这一全新平台可以防御当前最棘手的高容量DDoS攻击,如:UDP反射攻击、分片泛洪攻击和OOS泛洪攻击等,同时还可以识别和缓解隐藏在多载体攻击中的复杂低容量威胁。作为业界首个可以支持100Gb接口及每秒2.3亿个攻击包处理能力的专用攻击缓解平台,Radware DefensePro x4420支持多租户使用环境,可以为每个租户提供多达1000条主动、独立的处理能力和定制化的管理及报告功能。下的DDoS攻击我们知道目前云计算、移动、物联网等对于企业IT基础设施产生了巨大的影响,对应着企业安全也受到这些技术趋势的影响。比如物联网,姚宏洲表示,IoT物联网成为,带宽不大,但是请求比较多,请求的巨量直接实现服务的阻断和干扰。另外,的发展虽然给企业带了红利,但是的云端迁移让其脱离企业本地的安全体系,而云提供商并不具备这样的安全防护,从云端来的数据直接进入企业内部。这对于企业安全造成了很大的困扰。所以,企业需要在云端部署安全解决方案,实现本地防护体系与云端互动。姚宏洲说,虽然目前市面上的安全厂商也推出了云端的解决方案,而其也实现了与本地的互动。但是他们的这种互动只是局限于通知联动的功能,如何实现防护信令和策略的同步才是本地物理的防护扩展到云端虚拟化环境的关键。这也是Radware云端安全策略的最大优势。信息的沟通内容非常重要,姚宏洲以消防员接到失火通知为例,如果只是单纯告知失火,消防员并不能有针对性地灭火。当详细告知失火地址、失火时间、失火类型等信息,消防员才能提前准备好相应的有效设备进行快速灭火。对应企业安全也是如此,本地设备遭受攻击的详细信息被上传到云端,才能部署更为有效的防御手段。同步派发到云端,或者是甚至有人在攻击云端的时候,你可以把这个信息,通知本地设备,这样形成一个防护网才能真正实现云端的防护。拿指纹来说,如果有人攻击本地,我会记录他的设备指纹,然后把这个相同的设备指纹派发到云端防护设备,这样就可以很好地实现企业混合云环境的安全防护。对于云端如何实现自身的安全防护,姚宏洲给出了相应的建议。CSP应该保护好自身的基础设施,在保护基础设施以外,还可以再卖给他的客户,变成一个安全的增值服务,实现创收。目前Radware针对CSP除了安全防护方案,还有页面加速及服务等级保障监控的方案。Radware会从两个方向来看,一个是应用交付,一个是应用安全,从这两个面实现应用保障。补充说,我们跟CSP的整合,最重要的是灵活度,也就是我们的API跟他们的业务的绑定。从应用交付和应用安全两个方面实现自动化的联动。另外,我们看到在CSP中普及,Radware也提供了相应的API来实现与的集成。所以,Radware的安全设备不单单只是考虑到所谓的安全威胁防护,实际上也注重应用的保障跟其他第三方的开放整合。在商务模式上,Radware也是非常灵活的,可以根据客户需求进行定制,比如服务采用Radware,而品牌采用他们自己的,可以据此提高ROI投资回报率,实现安全服务的拓展。总结目前攻击市场呈现了很多新的特征,创新性将应用交付和应用安全进行整合,而从最大程度保障企业业务的连续性。一点资讯正在帮你跳转到原文随笔 - 1198&
文章 - 45&评论 - 181&trackbacks - 0
源地址没有找到,间接引用地址:http://wushank./6004
DoS到底是什么?接触较早的同志会直接想到的DOS--DiskOperationSystem?不,此DoS非彼DOS也,DoS即DenialOfService,拒绝服务的缩写。
&&& DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
&一、概念理解:
&&& 作个形象的比喻来理解DoS。街头的餐馆是为大众提供餐饮服务,如果一群地痞流氓要DoS餐馆的话,手段会很多,比如霸占着餐桌不结账,堵住餐馆的大门不让路,骚扰餐馆的服务员或厨子不能干活,甚至更恶劣&&相应的计算机和网络系统则是为用户提供互联网资源的,如果有要进行DoS攻击的话,可以想象同样有好多手段!今天最常见的DoS攻击有对计算机网络的带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用都被消耗殆尽,最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
&&& 传统上,攻击者所面临的主要问题是,由于较小的网络规模和较慢的的限制,攻击者无法发出过多的请求。虽然类似&thepingofdeath&的攻击类型只需要较少量的包就可以摧毁一个没有打过的UNIX系统,但大多数的DoS攻击还是需要相当大的带宽的,而以个人为单位的们很难使用高带宽的资源。为了克服这个缺点,DoS攻击者开发了分布式的攻击。攻击者简单利用工具集合许多的来同时对同一个目标发动大量的攻击请求,这就是DDoS攻击。
无论是DoS攻击还是DDoS攻击,简单的看,都只是一种破坏网络服务的方式,虽然具体的实现方式千变万化,但都有一个共同点,就是其根本目的是使受害或网络无法及时接收并处理外界请求,或无法及时回应外界请求。其具体表现方式有以下几种:
& 1. 制造大流量无用数据,造成通往被攻击的,使被攻击主机无法正常和外界通信。
& 2. 利用被攻击提供服务或上处理重复连接的,反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它正常的请求。
& 3. 利用被攻击所提供服务或的本身实现,反复发送畸形的攻击数据引发系统错误的分配大量,使主机处于甚至死机。
&&& 要理解dos攻击,首先要理解TCP连接的三次握手过程(Three-wayhandshake)。在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。
&&& 1.第一次握手:建立连接时,发送SYN包((SYN=i)到服务器,并进入SYN SEND状态,等待服务器确认;
&&& 2.第二次握手:服务器收到SYN包,必须确认客户的SYN (ACK=i+1 ),同时自己也发送一个SYN包((SYN=j)}即SYN+ACK包,此时服务器进入SYN_RECV状态;
&&& 3.第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ACK=j+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手,客户端与服务器开始传送数据。
&&& 在上述过程中,还有一些重要的概念:
&& 1. 半连接:收到SYN包而还未收到ACK包时的连接状态称为半连接,即尚未完全完成三次握手的TCP连接。
&& 2. 半连接队列:在三次握手协议中,服务器维护一个半连接队列,该队列为每个客户端的SYN包(SYN=i )开设一个条目,该条目表明服务器已收到SYN包,并向客户发出确认,正在等待客户的确认包。这些条目所标识的连接在服务器处于SYN_ RECV状态,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状态。
&& 3. Backlog参数:表示半连接队列的最大容纳数目。
&& 4. SYN-ACK重传次数:服务器发送完SYN-ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间 仍未收到客户确认包,进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息、从半连接队列中删除。注意,每次重传等待的时间不一定 相同。
&& 5. 半连接存活时间:是指半连接队列的条目存活的最长时间,也即服务从收到SYN包到确认这个报文无效的最长时间,该时间值是所有重传请求包的最长等待时间总和。有时也称半连接存活时间为Timeout时间、SYN_RECV存活时间。
上面三个参数对系统的TCP连接状况有很大影响。
&&& SYN洪水攻击属于DoS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。 SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。从图 4-3可看到,服务器接收到连接请求(SYN=i )将此信息加入未连接队列,并发送请求包给客户端( SYN=j,ACK=i+1 ),此时进入SYN_RECV状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合IP欺骗,SYN攻击能 达到很好的效果,通常,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送SYN包,服务器回复确认包,并等待客户的确认,由于源地址是不存 在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN 请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。过程如下:
&&&&&& 攻击主机C(地址伪装后为C&)-----大量SYN包----&被攻击主机
&&&&&& C&&-------SYN/ACK包----被攻击主机
由于C&地址不可达,被攻击主机等待SYN包超时。攻击主机通过发大量SYN包填满未连接队列,导致正常SYN包被拒绝服务。另外,SYN洪水攻击还可以通过发大量ACK包进行DoS攻击。
&&& 拒绝服务攻击是一种对网络危害巨大的恶意攻击。今天,DoS具有代表性的攻击手段包括PingofDeath、TearDrop、UDPflood、SYNflood、LandAttack、IPSpoofingDoS等。看看它们又是怎么实现的。&
&& 1. 死亡之ping (pingofdeath)
&&& ICMP(InternetControlMessageProtocol,)在Internet上用于错误处理和传递控制信息。它的功能之一是与联系,通过发送一个&回音请求&(echorequest)信息包看看是否&活着&。最普通的ping就是这个功能。而在TCP/IP的RFC文档中对包的最大尺寸都有严格限制规定,许多的栈都规定ICMP包大小为64KB,且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成。"PingofDeath"就是故意产生畸形的测试Ping(PacketInternetGroper)包,声称自己的尺寸超过ICMP上限,也就是加载的尺寸超过64KB上限,使未采取保护措施的网络系统出现错误,导致TCP/IP协议栈崩溃,最终接收方。
&& 泪滴攻击利用在TCP/IP协议栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP协议栈(例如NT在servicepack4以前)在收到含有重叠偏移的伪造分段时将崩溃。
&& 3. UDP泛洪(UDPflood)
&&& UDPflood攻击:如今在Internet上UDP(用户协议)的应用比较广泛,很多提供WWW和Mail等服务通常是使用Unix的,它们默认打开一些被恶意利用的UDP服务。如echo服务会显示接收到的每一个,而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符。UDPflood假冒攻击就是利用这两个简单的TCP/IP服务的进行恶意攻击,通过伪造与某一的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,通过将Chargen和Echo服务互指,来回传送毫无用处且占满带宽的垃圾数据,在两台主机之间生成足够多的无用数据流,这一飞快地导致网络可用带宽耗尽。
&& 4. SYN泛洪(SYNflood)
&&& SYNflood攻击:我们知道当用户进行一次标准的 TCP(TransmissionControlProtocol)连接时,会有一个3次握手过程。首先是请求服务方发送一个 SYN(SynchronizeSequenceNumber)消息,服务方收到SYN后,会向请求方回送一个SYN-ACK表示确认,当请求方收到 SYN-ACK后,再次向服务方发送一个ACK消息,这样一次TCP连接建立成功。&SYNFlooding&则专门针对TCP协议栈在两台间初始化连接握手的过程进行DoS攻击,其在实现过程中只进行前2个步骤:当服务方收到请求方的SYN-ACK确认消息后,请求方由于采用源地址欺骗等手段使得服务方收不到ACK回应,于是服务方会在一定时间处于等待接收请求方ACK消息的状态。而对于某台来说,可用的TCP连接是有限的,因为他们只有有限的内存用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直至缓冲区里的连接企图超时。如果恶意攻击方快速连续地发送此类连接请求,该可用的TCP连接队列将很快被阻塞,系统可用资源急剧减少,网络可用带宽迅速缩小,长此下去,除了少数幸运用户的请求可以插在大量虚假请求间得到应答外,服务器将无法向用户提供正常的合法服务。
&&& 5. Land(LandAttack)攻击
&&& 在中,利用一个特别打造的SYN包--它的原地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个,每一个这样的连接都将保留直到超时,在Land攻击下,许多UNIX将崩溃,NT变得极其缓慢(大约持续五分钟)。
& && 这种攻击利用栈的RST位来实现,使用IP欺骗,迫使把合法用户的连接复位,影响合法用户的连接。假设现在有一个合法用户(100.100.100.100)已经同建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为100.100.100.100,并向服务器发送一个带有RST位的TCP。接收到这样的数据后,认为从100.100.100.100发送的连接有错误,就会清空中已建立好的连接。这时,合法用户100.100.100.100再发送合法数据,就已经没有这样的连接了,该用户就被拒绝服务而只能重新开始建立新的连接。
&& &&7.&smurf攻击
&&& Smurf是一种简单但有效的DDoS攻击技术,它利用了ICMP(Internet控制信息协议)。ICMP在Internet上用于错误处理和传递控制信息。它的功能之一是与主机联系,通过发送一个&回音请求&(echorequest)信息包看看主机是否&活着&。最普通的ping就使用了这个功能。Smurf是用一个偷来的帐号安装到一个计算机上的,然后用一个伪造的源地址连续ping一个或多个,这就导致所有计算机所响应的那个计算机并不是实际发送这个信息包的那个计算机。这个伪造的源地址,实际上就是攻击的目标,它将被极大数量的响应信息量所淹没。对这个伪造信息包做出响应的计算机网络就成为攻击的不知情的。
&& 1. SYN Flood攻击&&&&& 原理:&&& 问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的 ACK报文的(第三次握手无法完成),这 种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒 -2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个 非常大的半连接列表而消耗非常 多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重 试。实际上如果服务器的TCP/IP栈不够强大,最 后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的 正常请求比率非常之小),此时从 正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。&&&&& 防范:&&& 第一种是缩短SYN Timeout时间&&&& 第二种方法是设置SYN Cookie,就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被一概丢弃。&&&&&&&&&& &netstat -n -p tcp &result.txt
&&& 2. Smurf攻击:&&&&&& 原理:&&& 发送伪装的ICMP数据包,目的地址设为某个网络的广播地址,源地址设为要攻击的目的主机,使所有收到此ICMP数据包的主机都将对目的主机发出一个回应,使被攻击主机在某一段时间内收到 成千上万的数据包&&&&&& 防范:&&&& 在cisco路由器上配置如下可以防止将包传递到广播地址上:& & & && Router(config-if)# no ip directed-broadcast
&&& 3. Ping of Death&&&&&& 原理:&&&& "ping of death"攻击就是我们常说的"死亡Ping"这种攻击通过发送大于65536字节的ICMP包使操作系统崩溃;通常不可能发送大于65536个字节的ICMP包,但可以把报文分割成片段,然后在目标主机上重组;最终会导致被攻击目标缓冲区溢出,引起拒绝服务攻击。有些时候导致telnet和http服务停止,有些时候路由器重启。
&&& 4. 泪滴攻击&&&&&& 原理:&&&& 对于一些大的IP数据包,往往需要对其进行拆分传送,这是为了迎合链路层的MTU(最大传输单元)的要求。比如,一个6000字节的IP包,在MTU为2000的链路上传输的时候,就需要分成3个IP 包。在IP报头中有一个偏移字段和一个拆分标志(MF)。如果MF标志设置为1,则表示这个IP包是一个大IP包的片段,其中偏移字段指出了这个片段在整 个IP包中的位置。例如,对一个6000字 节的IP包进行拆分(MTU为2 000),则3个片段中偏移字段的值依次为0,。这样接收端在全部接收完IP数据包后,就可以根据这些信息重新组装这几个分次接收的拆分IP包。在这 里就有一个安全漏洞可以利用了,就是如果黑客们在截取IP数据包后,把偏移字段设置成不正确的值,这样接收端在收到这些分拆的数据包后,就不能按数据包中 的偏移字段值正确组合这些拆 分的数据包,但接收端会不断尝试,这样就可能致使目标计算机操作系统因资源耗尽而崩溃。
&&&& 5. DRDOS&&&&&&& 原理:&&& 攻击时,攻击者巧妙的利用了反弹服务器群来将洪 水数据包反弹给目标主机 反弹服务是指某些服务器在收到一个请求数据报后就会产生一个回应数据报。所有的 Web 服务器、DNS 服务器及路 由器都是反弹服务器,他们会对 SYN 报文或其他 TCP 报文回应 SYNACKs 或 RST 报文, 以及对一些 IP 报文回应 ICMP 数据报超时或目的地不可达消息的数据 报。任何用于普通目的 TCP 连 接许可的网络服务器都可以用做数据包反射服务器
阅读(...) 评论()
