資源描述:
《Dos與DDos攻擊技術(shù)及防范》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)�。
1、DoS(DenialofService)攻擊其中文含義是拒絕服務(wù)攻擊����,這種攻擊行動(dòng)使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息,消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源�����,導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)���。黑客不正當(dāng)?shù)夭捎脴?biāo)準(zhǔn)協(xié)議或連接方法��,向攻擊的服務(wù)發(fā)出大量的訊息����,占用及超越受攻擊服務(wù)器所能處理的能力�����,使它當(dāng)(Down)機(jī)或不能正常地為用戶服務(wù)?����! 熬芙^服務(wù)”是如何攻擊的 通過(guò)普通的網(wǎng)絡(luò)連線�����,使用者傳送信息要求服務(wù)器予以確定�。服務(wù)器于是回復(fù)用戶。用戶被確定后�,就可登入服務(wù)器?��! 熬芙^服務(wù)”的攻擊
2�、方式為:用戶傳送眾多要求確認(rèn)的信息到服務(wù)器���,使服務(wù)器里充斥著這種無(wú)用的信息?����! ∷械男畔⒍加行杌貜?fù)的虛假地址,以至于當(dāng)服務(wù)器試圖回傳時(shí)�,卻無(wú)法找到用戶。服務(wù)器于是暫時(shí)等候�����,有時(shí)超過(guò)一分鐘����,然后再切斷連接。服務(wù)器切斷連接時(shí)�,黑客再度傳送新一批需要確認(rèn)的信息,這個(gè)過(guò)程周而復(fù)始�,最終導(dǎo)致服務(wù)器無(wú)法動(dòng)彈,癱瘓?jiān)诘?�。在這些DoS攻擊方法中���,又可以分為下列幾種: TCPSYNFlooding Smurf Fraggle 1.TCPSynFlooding 由于TCP協(xié)議連接三次握手的需要�����,在每
3����、個(gè)TCP建立連接時(shí),都要發(fā)送一個(gè)帶SYN標(biāo)記的數(shù)據(jù)包��,如果在服務(wù)器端發(fā)送應(yīng)答包后����,客戶端不發(fā)出確認(rèn),服務(wù)器會(huì)等待到數(shù)據(jù)超時(shí)�,如果大量的帶SYN標(biāo)記的數(shù)據(jù)包發(fā)到服務(wù)器端后都沒(méi)有應(yīng)答,會(huì)使服務(wù)器端的TCP資源迅速枯竭����,導(dǎo)致正常的連接不能進(jìn)入,甚至?xí)?dǎo)致服務(wù)器的系統(tǒng)崩潰��。這就是TCP SYNFlooding攻擊的過(guò)程���。圖1TCPSyn攻擊 TCPSyn攻擊是由受控制的大量客戶發(fā)出TCP請(qǐng)求但不作回復(fù)���,使服務(wù)器資源被占用,再也無(wú)法正常為用戶服務(wù)��。服務(wù)器要等待超時(shí)(TimeOut)才能斷開(kāi)已分配的資源���。2
4��、.Smurf黑客采用ICMP(InternetControlMessageProtocolRFC792)技術(shù)進(jìn)行攻擊�。常用的ICMP有PING�。首先黑客找出網(wǎng)絡(luò)上有哪些路由器會(huì)回應(yīng)ICMP請(qǐng)求。然后用一個(gè)虛假的IP源地址向路由器的廣播地址發(fā)出訊息��,路由器會(huì)把這訊息廣播到網(wǎng)絡(luò)上所連接的每一臺(tái)設(shè)備�。這些設(shè)備又馬上回應(yīng),這樣會(huì)產(chǎn)生大量訊息流量���,從而占用所有設(shè)備的資源及網(wǎng)絡(luò)帶寬���,而回應(yīng)的地址就是受攻擊的目標(biāo)。例如用500Kbit/sec流量的ICMPecho(PING)包廣播到100臺(tái)設(shè)備�����,產(chǎn)生100個(gè)PI
5�����、NG回應(yīng)�����,便產(chǎn)生50Mbit/sec流量。這些流量流向被攻擊的服務(wù)器,便會(huì)使這服務(wù)器癱瘓�。 ICMPSmurf的襲擊加深了ICMP的泛濫程度�,導(dǎo)致了在一個(gè)數(shù)據(jù)包產(chǎn)生成千的ICMP數(shù)據(jù)包發(fā)送到一個(gè)根本不需要它們的主機(jī)中去,傳輸多重信息包的服務(wù)器用作Smurf的放大器���。3.Fraggle:Fraggle 基本概念及做法像Smurf,但它是采用UDPecho訊息�����?! ∪绾巫钃酢熬芙^服務(wù)”的攻擊 阻擋“拒絕服務(wù)”的攻擊的常用方法之一是:在網(wǎng)絡(luò)上建立一個(gè)過(guò)濾器(filter)或偵測(cè)器(sniffer)
6����、,在信息到達(dá)網(wǎng)站服務(wù)器之前阻擋信息�����。過(guò)濾器會(huì)偵察可疑的攻擊行動(dòng)���。如果某種可疑行動(dòng)經(jīng)常出現(xiàn)����,過(guò)濾器能接受指示,阻擋包含那種信息��,讓網(wǎng)站服務(wù)器的對(duì)外連接線路保持暢通�?! DoS: DDoS(DistributedDenialofService)其中文含義為分布式拒絕服務(wù)攻擊?��! istributedDoS是黑客控制一些數(shù)量的PC機(jī)或路由器�����,用這些PC機(jī)或路由器發(fā)動(dòng)DoS攻擊���。因?yàn)楹诳妥约旱腜C機(jī)可能不足夠產(chǎn)生出大量的訊息,使遭受攻擊的網(wǎng)絡(luò)服務(wù)器處理能力全部被占用�。 黑客采用IPSpoofing技
7����、術(shù),令他自己的IP地址隱藏��,所以很難追查。如果是在DistributedDoS情況下����,被追查出來(lái)的都是被黑客控制的用戶的IP地址;他們本身也是受害者��?��! 『诳鸵话悴捎靡恍┻h(yuǎn)程控制軟件�����,好像Trinoo,TribalFloodNetwork,Stacheldraht及其他DoS程序��。美國(guó)政府資助的cERT(ComputerEmergencyResponseTeam)及FBI都有免費(fèi)軟件如find_dosv31�,給企業(yè)檢查自己的網(wǎng)絡(luò)有沒(méi)有被黑客安裝這些遠(yuǎn)程控制軟件����。但黑客亦同時(shí)在修改軟件以逃避這些檢查軟
8、件����。這是一場(chǎng)持久的網(wǎng)上戰(zhàn)爭(zhēng)。圖3黑客圖 攻擊者在Client(客戶端)操縱攻擊過(guò)程��。每個(gè)Handler(主控端)是一臺(tái)已被入侵并運(yùn)行了特定程序的系統(tǒng)主機(jī)。每個(gè)主控端主機(jī)能夠控制多個(gè)Agent(代理端)��。每個(gè)代理端也是一臺(tái)已被入侵并運(yùn)行某種特定程序的系統(tǒng)主機(jī)�����。每個(gè)響應(yīng)攻擊命令的代理端會(huì)向被攻擊目標(biāo)主機(jī)發(fā)送拒絕服務(wù)攻擊數(shù)據(jù)包�����?�! 榱颂岣叻植际骄芙^服務(wù)攻擊的成功率��,攻擊者需要控制成百上千的被入侵主機(jī)�����。這些主機(jī)通常是Linux和SUN機(jī)器�����,但這些攻擊工具也能夠移植到其它平
