拒绝服务

拒绝服务

  • DoS(Denial of Service)
  • DDoS()
    • 一对一的攻击完全拼各自的资源,效果差
    • 多对一的攻击汇聚资源能力,重点在于量大,属于资源耗尽型
  • 最强大最危险的攻击,攻击方式众多
  • Bill gates 僵尸程序
Anonymous
  • 世界最著名的黑客组织
  • 组织结构宽松,人员来自世界各地
  • 以DDoS攻击著称的无政府主义者
  • 攻击恐怖组织也攻击政府宗教机构
  • 近些年来涉足政治斗争
  • 成员露面时均带有Guy Fawkes面具
  • 最早的核心成员来自4chan图片社区
  • 惯常雇佣外围黑客成员发动DDoS攻击
  • 口号:We are Anonymous, We are Legion, We do not forgive, We do not forget, Expect us
类型
  • D网络
    • 基于巨量的Flood耗尽目标网络带宽资源
    • ICMP Flood、UDP Flood
  • D协议
    • 攻击协议漏洞发起的拒绝服务攻击
    • 如SynFlood、Ping of Death、ARP、DNS、802.11、SSL
  • D应用
    • 针对应用软件和操作系统漏洞发起的拒绝服务攻击
    • 大量频繁访问消耗系统资源严重的应用
    • 通常表现为操作系统正常运行,网络流量不大,但服务停止响应
    • 可以是一击毙命,也可以是耗尽目标资源

SYN Flood(半连接)

  • 用scapy直接发SYN,本机操作系统会自动回复RST给被攻击方发来的SYN/ACK

    • 需要在本机操作系统防火墙进行设置,阻止发出RST
    • 并不会占用太多CPU或内存资源,但是会耗尽TCP连接数。
  • 常常伴随IP欺骗

    • 伪造源IP地址
      • 大部分ISP会在路由限制出站ip地址
      • 企业防火墙也会进行入站过滤
    • 受害者可能是源、目的地址
    • 防火墙基于地址的验证可以通过伪造地址绕过
    • 压力测试模拟多用户可能就使用了IP地址欺骗
    • 通过上层协议(比如TCP序列号)防止IP欺骗

Smurf攻击(广播ping)

  • 世界上最古老的DDoS攻击技术
    • 向广播地址发送伪造源地址的ICMP echo Request(Ping)包
    • LAN所有计算机向伪造的源地址返回响应包
    • 对现代操作系统几乎无效(不响应目标为广播的ping)

Sockstress(全连接)

  • 2008年由Jack C.Louis 发现
  • 针对TCP服务的拒绝服务攻击
    • 消耗被攻击目标系统资源(不消耗网络资源)
    • 与攻击目标建立大量socket链接
    • 完成三次握手,最后的ACK包window大小为0(客户端不接受数据)
    • 攻击者资源消耗小(CPU、内存、带宽)
    • 异步攻击,单机可拒绝服务高配资源服务器
    • Window窗口实现的TCP流控
  • 防御措施
    • 根本的防御方法是采用白名单(不实际)
    • 折中对策:限制单位时间内每IP建立的TCP连接数
      • 封杀每30秒与80端口建立连接超过10个的IP地址
        • iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
        • iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP
    • 对DDoS攻击无效

TearDrop(IP分片重叠)

  • 主要针对早期微软操作系统
  • 使用IP分段偏移实现分段覆盖,接收端处理分段覆盖时可被拒绝服务
  • 攻击效果:被攻击者蓝屏、重启、卡死