【网络攻防原理与技术】第5章:拒绝服务攻击
5.1 概述
拒绝服务攻击(DoS Denial of Service), 通过消耗⽹络带宽或者系统资源,使得⽹络或者系统不堪负荷,以⾄于瘫痪⽽停⽌提供正常的⽹络服务或者⽹络服务质量显著下降,或者通过更改系统配置使得系统⽆法正常⼯作,大多数情况下,拒绝服务攻击指的是前者。
DDoS指多个攻击者同时向⼀个多个⽬标发起拒绝服务攻击。
拒绝服务攻击的分类:
(1)按攻击目标分类
- 结点型DoS
- 主机型:主要对主机的CPU、磁盘、操作系统等进行DoS攻击
- 应用型:主要对应用软件进行DoS攻击
- ⽹络连接型:
利⽤⽬标⽤户获取服务器资源时需要交换DNS数据包的特性,发送⼤量的
伪装DNS数据包导致⽬标⽤户⽹络拥塞,不能访问⽬标服务器。
(2)按攻击方式分类
- 资源破坏型DoS:耗尽网络带宽、主机内存、CPU和磁盘等
- 物理破坏型DoS:摧毁主机或网络结点的DoS攻击
- 服务终止型DoS:攻击导致服务崩溃或终止
(3)按受害者类型分类
- 服务器端DoS:以服务器端为攻击目标
- 客户端DoS:以客户端为目标
(4)按攻击是否直接针对受害者分类
- 直接型DoS:直接对受害者攻击
- 间接型DoS:
(5)属性分类法
- 攻击静态属性
- 攻击动态属性
- 攻击交互属性
(6)舞厅分类法
- 舞伴类:与受害主机通信
- 风暴类:用大量噪声干扰受害者
- 陷阱类:干扰正常用户与受害主机的通信
- 介入类:切断正常用户与受害主机的通信连接
(7)按攻击机制分类
- 剧毒包(杀手包):利用协议本身或软件的漏洞,向目标发送一些异常的包,使目标系统在处理时出现异常
- 风暴型:向目标发送大量数据包
- 重定向型(中间人攻击):如果重定向的目的主机不存在则为拒绝服务攻击
5.2 剧毒包型拒绝服务攻击
利⽤协议本身或者软件的漏洞,向受害者主机发送⼀些畸形的数据包使得受害者的主机崩溃。
- 碎片攻击(Teardrop)
利⽤异常的数据分⽚导致接收⽅在处理分⽚数据时崩溃。 - Ping of Death攻击(死亡之ping 或 ICMP Bug攻击)
利⽤协议实现时的漏洞,向受害者发送超⻓的ping包,导致受害者系统异常 - Land攻击
向受害者发送TCP SYN包,⽽这些包的源地址和⽬的IP地址被伪装成受害者的IP地 址。源端⼝和⽬的端⼝也是相同的。(感觉有点像是自身形成了一个回路,然后系统就崩溃了) - 循环攻击(振荡攻击)
当两个都会产⽣输出的端⼝之间建⽴连接以后,第⼀个端⼝的输出成为第⼆个端⼝的输⼊,导致第⼆个端⼝产⽣输出,同时第⼆个端⼝的输出也成为第⼀个端⼝的输⼊。如此,⼀两个端⼝之间就会有⼤量的数据包产⽣。导致拒绝服务。
5.3 风暴型拒绝服务攻击
主要通过向攻击目标发送大量的数据包,达到瘫痪的目的
攻击原理(步骤):
(1)攻击者通过扫描工具寻找一个或多个能够入侵的系统
(2)攻击者利用扫描工具大量扫描并攻击存在安全漏洞的系统
(3)攻击者通过Handler通知Agent攻击的目标和攻击类型等
风暴型拒绝服务攻击能够成功的原因:
(1)TCP/IP协议存在漏洞
(2)网络提供best-effort服务,不区分数据流量是否为攻击流量
(3)因特网没有认证机制,从而容易进行IP欺骗
(4)因特网中的路由器不具备数据追踪功能,因而无法验证一个数据包是否来自其声称的地方
(5)网络带宽和系统资源是有限的,这是最根本的原因
- 直接⻛暴型攻击
⽤于攻击的分组类型包括:TCP floods、ICMP echo请求/响应报⽂、UDP洪流- PING⻛暴攻击
- SYN⻛暴攻击(建⽴TCP半连接),消耗服务器半连接资源。
- TCP连接耗尽型(建⽴完整的TCP连接)
- UDP⻛暴攻击:向受害者主机发送⼤量较⻓的UDP数据包,占⽤⽹络带宽,达到阻塞⽹络的⽬的。
- HTTP⻛暴攻击:⽤HTTP协议对⽹⻚上的资源进⾏合法请求,不停地从受害者出获取数据,占⽤连接的同时占⽤带宽。
- 对邮件系统的攻击
- 邮件炸弹:往⼀个邮件地址发送⼤量相同的邮件,耗尽其存储空间。
- 垃圾邮件
反射型拒绝服务攻击:
不直接向目标主机发送数据包,而是通过中间主机间接向目标主机发送大量数据包。攻击者⼀般伪装源地址为受害主机的IP地 址,向⼀台⾼速、⾼带宽服务器或者⼤量服务器发送⼤量数据包。服务器收到这些包以后就向这个源地址回复⼤量响应包。这样就变成了多台⾼性能的服务器向⽬标主机发起DoS攻击。⼀般攻击者会选择使⽤回复响应包数量远⼤于请求数据包的协议服务器,形成流量放⼤攻击,增强破坏性。
NTP反射式拒绝服务攻击
- NTP协议:⽹络中⽤来同步各个计算机时间的协议。使⽤UDP通信。当⼀个NTP服务器收到⼀个monlist请求包以后,就会返回与NTP服务器进⾏通信过
的最后600个客户端的IP地址。响应包按照6个IP地址⼀组,⼀次请求最多会返回100个响应包。 - 攻击者实施NTP攻击的步骤
- 扫描。利⽤扫描软件在Internet上扫描开放了123端⼝的服务器。并进⼀步确认其是否开启了NTP服务。
- 攻击。利⽤控制的僵⼫⽹络伪装被攻击主机的IP向NTP服务器发送monlist请求。
- 防治⽅法
需要基础电信运营商在全⽹范围内组织实施源地址验证。
在国际出⼊⼝和互联互通层⾯对NTP流量进⾏监测和调控,降低来⾃国外⼤规模NTP DRDoS攻击的可能性。
- NTP协议:⽹络中⽤来同步各个计算机时间的协议。使⽤UDP通信。当⼀个NTP服务器收到⼀个monlist请求包以后,就会返回与NTP服务器进⾏通信过
SSDP反射式拒绝服务攻击
Simple Service Discovery Protocol 。⽤于在局域⽹内发现通⽤的即插即⽤设备。UPnP协议。(通⽤即插即⽤技术)- SSDP DRDoS 攻击流量就是⼤量的SSDP应答消息。
- 攻击者通过伪造SSDP请求源地址字段,使得智能即插即⽤设备将SSDP应答消息发送⾄攻击⽬标
- 防范:
- 关闭不需要要启动即插即⽤服务设备的即插即⽤服务。
- 确认所有连接外⽹的设备没有将即插即⽤服务暴露于互联⽹上。对⾮信任⽹络禁⽤SSDP协议。防⽌设备被攻击者利⽤为攻击反射结点。
僵尸网络
僵⼫主⼈通过命令与控制信道控制的具有协同性的恶意计算机群IRC僵⼫⽹络
- 控制者通过⼀个IRC服务器控制⼤量僵⼫主机。但是当IRC服务器被攻破,控制者就回失去对僵⼫⽹络的控制权。结构简单,但是健壮性差,容易被摧毁。
P2P僵⼫⽹络
基于P2P控制与命令机制。⽹络中的每⼀台僵⼫主机都与该僵⼫⽹络中的某台或者某些僵⼫主机建⽴连接。⽽且建⽴连接之后,它还可以对所要连接的主机进⾏更新。这样,僵⼫⽹络主⼈只要通过向⼀台对等主机发送控制信息,进⽽控制整个⽹络。
5.4 拒绝服务攻击的应用
拒绝服务攻击除了直接用于瘫痪攻击目标外,还可以作为特权提升攻击,获得非法访问的一种辅助技术。
SYN Flood可以用于IP劫持、IP欺骗等。
一些系统在启动时会有漏洞,可以通过拒绝服务攻击使之重启,然后利用漏洞
对DNS的拒绝服务攻击可以达到冒充地址的目的。
5.5 拒绝服务攻击的检测及响应技术
拒绝服务攻击检测技术
- DoS攻击工具的特征标志检测:特定端口、标志位、特定数据内容
- 根据异常流量来检测:大量目标主机域名解析、极限通讯流量、特大型的ICMP和UDP数据包、不属于正常连接通信的TCP和UDP数据包、数据段内容只包含文字和数字字符
拒绝服务攻击响应技术
从原理上讲,主要有4种应对DoS攻击的方法:第一种是通过丢弃恶意分组的方法;第二种是在源端控制DoS攻击;第三种是追溯发起攻击的源端;第四种是路由器动态检测流量并进行监控
- 分组过滤,丢弃恶意分组
- 源端控制:通常参与DoS攻击的分组使用的源IP地址都是假冒的,可以通过源端过滤减少或消除假冒IP地址的访问,如使用路由器检查来自与其直连的网络分组源IP地址,如果非法则扔掉。
- 追溯:IP追溯、ICMP追溯、链路测试(从离受害主机最近的路由器开始,交互测试其上游链路,递归执行,知道确定攻击路径)
- 路由器动态检测和控制:攻击检测系统、攻击缓解系统、监控管理系统
- 流量清洗(最有效)对DDoS攻击与正常业务数据混合在⼀起的流量进⾏净化,净化掉DDoS攻击流量,保留正常的业务流量。
【网络攻防原理与技术】第5章:拒绝服务攻击相关推荐
- 网络攻防原理与技术 第一章 课后题
1.6 习题 一.单项选择题 1.安全属性"CIA"不包括(D). A.完整性 B.机密性 C.可用性 D.可控性 2.属于被动攻击的是(B). A.中断 B.截获 C.篡改 D. ...
- 【网络攻防原理与技术】第1章:绪论
1.1 网络空间安全概述 "网络空间"的4要素:设施(互联网.通信网.计算机系统.自动化控制系统.数字设备).用户(人们).操作(应用.服务)和数据. 网络空间安全主要包含4个层次 ...
- 【网络攻防原理与技术】第3章:网络侦察技术
3.1 概述 ⽹络侦察需要侦察的⽬标的基本信息 静态信息 各种联系信息,包括姓名.邮箱.电话号码等 DNS.Web服务器 主机所在的⽹络段,IP地址 ⽹络拓扑结构 动态信息 ⽬标主机是否开机 ⽬标主机 ...
- 【网络攻防原理与技术】第4章:网络扫描技术
4.1 网络扫描基本概念 目的: 判断主机的⼯作状态.即其是否开机.若其没有开机,⼀切攻击都是徒劳的.(主机扫描) 判断主机端⼝的开放状态.(端⼝扫描) 判断主机服务的操作系统类型(操作系统识别) 判 ...
- 网络攻防技术的技术基础,网络攻防原理与技术
1.人工神经网络好学吗 神经网络是人工智能的一部分,只是解决问题的一种方法,不过现在神经网络很"流行",说它流行是因为神经网络还有好多需要改进和完善的地方,正因如此大家才会去研究它 ...
- 网络攻防原理及应用 知识梳理
文章目录 网络攻防原理及应用课程 复习 第一章 概述 1. 网络安全的引入 2. 网络安全的目标 3. 网络的主要安全威胁 4. 网络安全体系 5. 网络攻击手段 6. 网络防御手段 7. 密码技术应 ...
- 计算机tcpip网络原理与应用,清华大学出版社-图书详情-《TCP/IP网络编程原理与技术》...
前言 随着Internet的发展,网络技术已经渗透到人们的生活和工作中.TCP/IP已经成为最流行的网络协议,且还在演变以满足未来的需要.在速度越来越快的计算机硬件和不断更新的软件发展的背后,TCP/ ...
- CT原理与技术 第2章 扫描成像系统
CT 2 扫描成像系统 \quad 数据采集系统:包含X线高压发生器.X线管.准直器.滤过器.探测器.扫描架.扫描床.前置放大器及接口电路等 图像重建阶段:工作站.计算机 图像显示.记录和存储系统:它 ...
- 人工智能原理与技术 第1章 作业
1.14 检查AI的文献,去发现现在计算机是否能够解决下列任务: a. 打正规的乒乓球比赛. 能,在1988年,安德森的机器人达到了合理的乒乓球熟练程度. b. 在埃及开罗市中心开车. 不能,尽管自动 ...
最新文章
- zabbix 系统搭建(LAMP环境)+keepalived LVS配置
- 大开源时代,“仁慈的独裁者”管理模式还走得通吗?
- Intel Realsense D435 python 实战(一)
- VMware / 三种联网方法及原理
- 分享一个凭实力赚钱例子,值得借鉴学习
- switch芯片上的QoS,VLAN介绍
- Loadrunner教程–常用操做流程
- 2018网易内推测试工程师面试记录
- 什么是收缩压和舒张压?
- OPPO发布小布虚拟人,开放面向开发者的多元AI能力
- 解决Android studio 方法数超过65536的问题
- iDev苹果开发者大会出品人-唐巧专访:用 HTML5 写移动应用终究不会成为主流
- js后代选择器_后代选择器和子元素选择器的区别
- 数显电接点压力表与指针电接点压力表的区别
- 华为用户的福利!1分钱就可以坐公交车,操作方法教程
- 人们怎么总跟质数过不去?
- 不完整拼音模糊匹配算法
- tcpdump进行DNS抓包
- AspectJ in action
- win10,win11后在cmd命令行输入python自动调用微软应用商店
热门文章
- 解决安装Ubuntu16.04时因NVIDIA显卡造成的卡在开机logo界面的问题
- ArcGIS操作之OD图制作
- 台式电脑(ubuntu系统)开机界面循环This product is covered by one or more of the following patents
- (转载)线程天敌TerminateThread与SuspendThread
- 深度学习与神经网络(七)——卷积神经网络之池化pooling 上采样upsample与降采样downsample(下采样)(subsample)(nn.MaxPool2d)
- 如何让小米手机其中一个应用一直保持wifi连接设置
- Ogre 3D 配置
- ip被禁止后访问网页403 易语言
- php的soapclient,如何使用SoapClient类进行PHP SOAP调用
- 智能控制中的智能控制技术在智能交通中的应用