常见DDOS攻击原理
1. winnuke攻击
winnuke是利用NetBIOS协议中一个OOB(Out of Band)的漏洞,也就是所谓的带外数据漏洞而进行的,它的原理是通过TCP/IP协议传递一个Urgent紧急数据包到计算机的137、138或139端口,当win95/NT收到这个数据包之后就会瞬间死机或蓝屏,不重新启动计算机就无法继续使用TCP/IP协议来访问网络。
带外数据OOB是指TCP连接中发送的一种特殊数据,它的优先级高于一般的数据,带外数据在报头中设置了URG标志,可以不按照通常的次序进入TCP缓冲区,而是进入另外一个缓冲区,立即可以被进程读取或根据进程设置使用SIGURG信号通知进程有带外数据到来。
后来的Winnuke系列工具已经从最初对单个IP的攻击发展到可以攻击一个IP区间范围的计算机,可以检测和选择端口,并且可以进行连续攻击,还能验证攻击的效果,所以使用它可以造成某个IP地址区间的计算机全部蓝屏死机。
此类攻击是由于利用软件开发过程中对某种特定类型的报文或请求没有处理,导致软件遇到这类型报文时运行出现异常,软件崩溃甚至系统崩溃。防范此类攻击的方法就是升级系统或给系统打补丁,也可以删除NetBIOS协议或关闭137、138、139端口。
2.Smurf攻击
Smurf攻击是一种病毒攻击,以最初发动这种攻击的程序“Smurf”来命名。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。
Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。
3.Fraggle攻击
类似于Smurf,使用UDP应答消息而非ICMP。UDP端口7(ECHO)和端口19(Chargen)在收到UDP报文后,都会产生回应。在UDP的7号端口收到报文后,会回应收到的内容,而UDP的19号端口在收到报文后,会产生一串字符流。它们都同ICMP一样,会产生大量无用的应答报文,占满网路带宽。攻击者可以向子网广播地址发送源地址为受害网络或受害主机的UDP包,端口号用7或19.子网络启用了此功能的每个系统都会向受害者的主机做出响应,从而引发大量的包,导致受害网络的阻塞或受害主机的崩溃;子网上没有启动这些功能的系统将产生一个ICMP不可达的消息,因而仍然消耗带宽。也可将源端口改为Chargen。目的端口为ECHO,这样会自动不停地产生回应报文,其危害性更大。
处理方法:
检查进入防火墙的UDP报文,若目的端口号为7或19,则直接拒绝,并将攻击记录到日志,否则允许通过。
4. 死亡之ping
最简单的基于IP的攻击可能要数著名的死亡之ping,这种攻击主要是由于单个包的长度超过了IP协议规范所规定的包长度。产生这样的包很容易,事实上,许多操作系统都提供了称为ping的网络工具。在为Windows操作系统中开一个DOS窗口,输入ping -l 65500 目标ip -t (65500 表示数据长度上限,-t 表示不停地ping目标地址)就可达到该目的。UNIX系统也有类似情况。
5. DNS query flood
该攻击是UDP Flood的一种变形,由于DNS服务在互联网中有着不可替代的作用,一旦DNS服务器瘫痪,影响很大。
UDP DNS Query Flood攻击采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名,被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,DNS 服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域 名超时。
根据微软的统计数据,一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而我们知道,在一台P3的PC机上可以轻易 地构造出每秒钟几万个域名解析请求,足以使一台硬件配置极高的DNS服务器瘫痪,由此可见DNS 服务器的脆弱性。同时需要注意的是,蠕虫扩散也会带来大量的域名解析请求。
6. CC攻击
CC攻击是基于应用层HTTP协议发起的DDos攻击,也被称为HTTP Flood。
CC攻击利用代理服务器向网站发送大量需要较长计算时间的URL请求,如数据库查询等,导致服务器进行大量计算而很快达到自身的处理能力而形成DOS,而攻击者一旦发送请求给代理后就主动断开连接,因为代理并不因为客户端这边连接的断开就不去连接目标服务器,因此攻击机的资源消耗相对很小,而从目标服务器看来,来自代理的请求都是合法的。
参考文档链接
https://blog.csdn.net/wdkirchhoff/article/details/45560655
http://blog.163.com/creative_1230/blog/static/297686032010113113922901/
http://blog.chinaunix.net/uid-20556054-id-3164909.html
常见DDOS攻击原理相关推荐
- 带你了解DDoS攻击的原理,让你轻松学会DDoS攻击原理及防护措施
DDoS攻击原理是什么? 随着网络时代的到来,网络安全变得越来越重要.在互联网的安全领域,DDoS(Distributed DenialofService)攻击技术因为它的隐蔽性,高效性一直是网络攻击 ...
- Dos攻击与DDos攻击原理与区别,怎么防护?
Dos攻击与DDos攻击原理与区别,怎么防护? 1.原理: 1)DOS(Denial of Service)攻击,即拒绝服务,其主要危害是使计算机或网络无法提供正常的服务. 常见的DOS攻击手段有Te ...
- DDoS攻击原理及防御
转自:微点阅读 https://www.weidianyuedu.com 随着网络时代的到来,网络安全变得越来越重要.在互联网的安全领域,DDoS(Distributed DenialofServi ...
- 敌情篇 ——DDoS攻击原理
敌情篇 --DDoS攻击原理 DDoS攻击基础 DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是 ...
- DDoS攻击原理及防护方法论
从07年的爱沙尼亚DDoS信息战,到今年广西南宁30个网吧遭受到DDoS勒索,再到新浪网遭受DDoS攻击无法提供对外服务500多分钟.DDoS愈演愈烈,攻击事件明显增多,攻击流量也明显增大,形势十分严 ...
- DDOS攻击原理,种类及其防御
在网上看到这个例子感觉很形象: 我开了一家可容纳100人的老陕羊肉泡馍馆,由于用料上等,童叟无欺.平时门庭若市,生意特别红火,而对面二狗家的泡馍馆却无人问津.二狗为了对付我,想了一个办法,叫了100个 ...
- dos与ddos攻击原理
基础原理 1.TCP饿死: UDP这种传输方式不会控制自己在通信通道里的流量,可理解为不讲道理的人.他们来到了一个热闹地区的KFC中,但是他们不买东西只排队将所有食物的价格都问一遍,占满所有的座位和过 ...
- ddos压力测试_蓝盟IT外包,浅析DDoS攻击防御和DDoS攻击原理
DDoS攻击基础 DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大.最难防御的攻击之一 ...
- 最常见DDOS攻击工具有哪些?怎么防御DDOS攻击?
Botnets是由多个感染的计算机(称为"bots"或"zombies")组成的网络.这些感染的计算机受到攻击者的控制,可以同时发送大量的数据流量到目标网站,导 ...
最新文章
- 推荐一些常用感觉不错的jQuery插件
- ( Android-源代码分享)
- c语言遇到非法字符,98行的四则计算器.(支持括号)加入了非法字符的检测
- Android移动开发之【Android实战项目】DAY5-MPAndroidChart可滑动折线图
- 不同表结构数据迁移_C语言:数据结构-广义表的存储结构
- MySQL – iBatis – 文件存储
- 【数据结构】四、双向链表和双向循环链表
- 计算机网络的产生与发展可分为哪四个阶段,计算机网络形成与发展大致分为如下4个阶段...
- 关于ASA5505设置DMZ区域报错问题
- 千兆宽带网接入电脑电脑却只有百兆
- k8s 配置存储之 Configmap secret
- pptpd 安装步骤
- 基于VTK的PACS系统的开发 心路历程2
- 大连交大c语言题库,大连理工大学C语言题库(共12套) .pdf
- c51单片机汇编语言指令,单片机汇编语言指令
- vue-d2admin-axios异步请求登录,先对比一下Jquery ajax, Axios, Fetch区别
- 艾司博讯:拼多多开专营店需要多少保证金
- 复旦大学计算机网络期末考试试题,复旦大学学习计算机科学技术学院期末试题练习题.doc...
- 黑马学成在线--项目环境搭建
- CANoe学习第一周——理解CAN IG(CAN 交互式发生器)