拒绝服务
- DoS(Denial of Service)
- DDoS()
- 一对一的攻击完全拼各自的资源,效果差
- 多对一的攻击汇聚资源能力,重点在于量大,属于资源耗尽型
- 最强大最危险的攻击,攻击方式众多
- Bill gates 僵尸程序
Anonymous
- 世界最著名的黑客组织
- 组织结构宽松,人员来自世界各地
- 以DDoS攻击著称的无政府主义者
- 攻击恐怖组织也攻击政府宗教机构
- 近些年来涉足政治斗争
- 成员露面时均带有Guy Fawkes面具
- 最早的核心成员来自4chan图片社区
- 惯常雇佣外围黑客成员发动DDoS攻击
- 口号:We are Anonymous, We are Legion, We do not forgive, We do not forget, Expect us
类型
- D网络
- 基于巨量的Flood耗尽目标网络带宽资源
- ICMP Flood、UDP Flood
- D协议
- 攻击协议漏洞发起的拒绝服务攻击
- 如SynFlood、Ping of Death、ARP、DNS、802.11、SSL
- D应用
- 针对应用软件和操作系统漏洞发起的拒绝服务攻击
- 大量频繁访问消耗系统资源严重的应用
- 通常表现为操作系统正常运行,网络流量不大,但服务停止响应
- 可以是一击毙命,也可以是耗尽目标资源
SYN Flood(半连接)
用scapy直接发SYN,本机操作系统会自动回复RST给被攻击方发来的SYN/ACK
- 需要在本机操作系统防火墙进行设置,阻止发出RST
- 并不会占用太多CPU或内存资源,但是会耗尽TCP连接数。
常常伴随IP欺骗
- 伪造源IP地址
- 大部分ISP会在路由限制出站ip地址
- 企业防火墙也会进行入站过滤
- 受害者可能是源、目的地址
- 防火墙基于地址的验证可以通过伪造地址绕过
- 压力测试模拟多用户可能就使用了IP地址欺骗
- 通过上层协议(比如TCP序列号)防止IP欺骗
- 伪造源IP地址
Smurf攻击(广播ping)
- 世界上最古老的DDoS攻击技术
- 向广播地址发送伪造源地址的ICMP echo Request(Ping)包
- LAN所有计算机向伪造的源地址返回响应包
- 对现代操作系统几乎无效(不响应目标为广播的ping)
Sockstress(全连接)
- 2008年由Jack C.Louis 发现
- 针对TCP服务的拒绝服务攻击
- 消耗被攻击目标系统资源(不消耗网络资源)
- 与攻击目标建立大量socket链接
- 完成三次握手,最后的ACK包window大小为0(客户端不接受数据)
- 攻击者资源消耗小(CPU、内存、带宽)
- 异步攻击,单机可拒绝服务高配资源服务器
- Window窗口实现的TCP流控
- 防御措施
- 根本的防御方法是采用白名单(不实际)
- 折中对策:限制单位时间内每IP建立的TCP连接数
- 封杀每30秒与80端口建立连接超过10个的IP地址
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP
- 封杀每30秒与80端口建立连接超过10个的IP地址
- 对DDoS攻击无效
TearDrop(IP分片重叠)
- 主要针对早期微软操作系统
- 使用IP分段偏移实现分段覆盖,接收端处理分段覆盖时可被拒绝服务
- 攻击效果:被攻击者蓝屏、重启、卡死