資源描述:
《Dos與DDos攻擊技術及防范》由會員上傳分享�,免費在線閱讀�����,更多相關內容在工程資料-天天文庫�。
1、DoS(DenialofService)攻擊其中文含義是拒絕服務攻擊��,這種攻擊行動使網(wǎng)站服務器充斥大量要求回復的信息�����,消耗網(wǎng)絡帶寬或系統(tǒng)資源,導致網(wǎng)絡或系統(tǒng)不勝負荷以至于癱瘓而停止提供正常的網(wǎng)絡服務。黑客不正當?shù)夭捎脴藴蕝f(xié)議或連接方法�����,向攻擊的服務發(fā)出大量的訊息,占用及超越受攻擊服務器所能處理的能力��,使它當(Down)機或不能正常地為用戶服務�?! 熬芙^服務”是如何攻擊的 通過普通的網(wǎng)絡連線�,使用者傳送信息要求服務器予以確定。服務器于是回復用戶���。用戶被確定后,就可登入服務器�����。 “拒絕服務”的攻擊
2���、方式為:用戶傳送眾多要求確認的信息到服務器,使服務器里充斥著這種無用的信息����。 所有的信息都有需回復的虛假地址,以至于當服務器試圖回傳時�,卻無法找到用戶�。服務器于是暫時等候,有時超過一分鐘���,然后再切斷連接�����。服務器切斷連接時�,黑客再度傳送新一批需要確認的信息�����,這個過程周而復始�,最終導致服務器無法動彈�����,癱瘓在地。在這些DoS攻擊方法中,又可以分為下列幾種: TCPSYNFlooding Smurf Fraggle 1.TCPSynFlooding 由于TCP協(xié)議連接三次握手的需要,在每
3、個TCP建立連接時���,都要發(fā)送一個帶SYN標記的數(shù)據(jù)包,如果在服務器端發(fā)送應答包后��,客戶端不發(fā)出確認�,服務器會等待到數(shù)據(jù)超時����,如果大量的帶SYN標記的數(shù)據(jù)包發(fā)到服務器端后都沒有應答,會使服務器端的TCP資源迅速枯竭���,導致正常的連接不能進入���,甚至會導致服務器的系統(tǒng)崩潰��。這就是TCP SYNFlooding攻擊的過程����。圖1TCPSyn攻擊 TCPSyn攻擊是由受控制的大量客戶發(fā)出TCP請求但不作回復�����,使服務器資源被占用�����,再也無法正常為用戶服務。服務器要等待超時(TimeOut)才能斷開已分配的資源���。2
4��、.Smurf黑客采用ICMP(InternetControlMessageProtocolRFC792)技術進行攻擊���。常用的ICMP有PING����。首先黑客找出網(wǎng)絡上有哪些路由器會回應ICMP請求。然后用一個虛假的IP源地址向路由器的廣播地址發(fā)出訊息��,路由器會把這訊息廣播到網(wǎng)絡上所連接的每一臺設備。這些設備又馬上回應,這樣會產(chǎn)生大量訊息流量�,從而占用所有設備的資源及網(wǎng)絡帶寬,而回應的地址就是受攻擊的目標�����。例如用500Kbit/sec流量的ICMPecho(PING)包廣播到100臺設備��,產(chǎn)生100個PI
5、NG回應���,便產(chǎn)生50Mbit/sec流量�。這些流量流向被攻擊的服務器,便會使這服務器癱瘓�。 ICMPSmurf的襲擊加深了ICMP的泛濫程度����,導致了在一個數(shù)據(jù)包產(chǎn)生成千的ICMP數(shù)據(jù)包發(fā)送到一個根本不需要它們的主機中去���,傳輸多重信息包的服務器用作Smurf的放大器����。3.Fraggle:Fraggle 基本概念及做法像Smurf,但它是采用UDPecho訊息?����! ∪绾巫钃酢熬芙^服務”的攻擊 阻擋“拒絕服務”的攻擊的常用方法之一是:在網(wǎng)絡上建立一個過濾器(filter)或偵測器(sniffer)
6、,在信息到達網(wǎng)站服務器之前阻擋信息。過濾器會偵察可疑的攻擊行動��。如果某種可疑行動經(jīng)常出現(xiàn)��,過濾器能接受指示�����,阻擋包含那種信息�,讓網(wǎng)站服務器的對外連接線路保持暢通�?�! DoS: DDoS(DistributedDenialofService)其中文含義為分布式拒絕服務攻擊�?! istributedDoS是黑客控制一些數(shù)量的PC機或路由器,用這些PC機或路由器發(fā)動DoS攻擊��。因為黑客自己的PC機可能不足夠產(chǎn)生出大量的訊息�,使遭受攻擊的網(wǎng)絡服務器處理能力全部被占用��。 黑客采用IPSpoofing技
7��、術�����,令他自己的IP地址隱藏��,所以很難追查�����。如果是在DistributedDoS情況下,被追查出來的都是被黑客控制的用戶的IP地址���;他們本身也是受害者?��! 『诳鸵话悴捎靡恍┻h程控制軟件��,好像Trinoo,TribalFloodNetwork,Stacheldraht及其他DoS程序��。美國政府資助的cERT(ComputerEmergencyResponseTeam)及FBI都有免費軟件如find_dosv31�,給企業(yè)檢查自己的網(wǎng)絡有沒有被黑客安裝這些遠程控制軟件。但黑客亦同時在修改軟件以逃避這些檢查軟
8����、件。這是一場持久的網(wǎng)上戰(zhàn)爭����。圖3黑客圖 攻擊者在Client(客戶端)操縱攻擊過程�����。每個Handler(主控端)是一臺已被入侵并運行了特定程序的系統(tǒng)主機���。每個主控端主機能夠控制多個Agent(代理端)。每個代理端也是一臺已被入侵并運行某種特定程序的系統(tǒng)主機��。每個響應攻擊命令的代理端會向被攻擊目標主機發(fā)送拒絕服務攻擊數(shù)據(jù)包���。 為了提高分布式拒絕服務攻擊的成功率�����,攻擊者需要控制成百上千的被入侵主機����。這些主機通常是Linux和SUN機器,但這些攻擊工具也能夠移植到其它平
