洪水攻击
1.说明
洪水攻击是现在黑客比较常用的技术之一,由于它实施比较简单,产生的影响大,而且能够快速占用服务器的资源,使得服务器宕机。
2.主要攻击:
ICMP:向目标主机长时间、连续、大量地发送ICMP数据包,也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”,使得目标主机耗费大量的CPU资源处理,疲于奔命。
TCP SYN:泛洪发生在OSI的第四层的传输层,利用三次握手。攻击者发送TCP SYN ,当服务器返回ACK的时候,攻击者不进行回复确认,那么服务器这个TCP连接就会被挂起,处于一个等待回应状态,这个状态会占用服务器资源,当大量地进行TCP SYN攻击的时候,服务器会因为资源(主要CPU和内存)消耗,最终会导致服务器宕机。
DDoS:攻击发生在OSI的第三、四层,是一种分布式拒绝服务攻击。通常,攻击者使用偷窃账号将DDoS的主程序安装在一个计算机上,在设定的时间主程序会将大量的代理程序通讯,当代理程序收到指令就会进行攻击。(代理程序安装在网络上许多计算机上)
Smurf:攻击发生在OSI的第三层,即伪装ICMP广播ping,如果路由器没有关闭定向广播,那么攻击就可以在某个网络内对其他网络发送定向广播,由于每个主机都默认恢复Ping,所以网络主机越多,造成的影响越严重,最终导致链路流量过大而拒绝服务,属于泛洪攻击。
阿拉丁UDP洪水攻击:泛洪方式是流量型的DoS攻击,常见利用大量UDP小包冲击DNS服务器或者Radius认证服务器等,因为UDP协议是一种无连接服务,在攻击过程,攻击者可以发送大量伪造源IP地址的小UDP。如果只是开启了一个UDP端口的服务,可以针对该服务进行攻击。
软件下载地址:http://down2.smzy.com/sort01514/smzy_aldUDPhsgjq.rar
DNS Query Flood:DNS查询攻击全称UDP DNS Query Flood,攻击采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络上根本不存在的域名,被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,DNS 服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。(一台DNS服务器最高承载每秒9000个请求,同时需要注意的是,蠕虫扩散也会带来大量的域名解析请求。)
DHCP报文泛洪攻击:DHCP报文泛洪攻击是指:恶意用户利用工具伪造大量DHCP报文发送到服务器,一方面恶意耗尽了IP资源,使得合法用户无法获得IP资源;另一方面,如果交换机上开启了DHCP Snooping功能,会将接收到的DHCP报文上送到CPU。因此大量的DHCP报文攻击设备会使DHCP服务器高负荷运行,甚至会导致设备瘫痪。
3.影响范围:
ICMP攻击:能促使服务器宕机,影响范围是服务器对外的服务类型。
TCP SYN攻击:服务器资源一直处于满载,响应服务会变慢,最终会宕机。
DDoS:制造高流量的无用数据,造成网络拥塞,使得受害主机无法正常与外界连接。
Smurf:与ICMP攻击影响大致相同。
UDP攻击:能够让系统瘫痪,服务器宕机。
DNS Query Flood:制造高访问查询,DNS服务器严重负载,造成DNS解析域名超时。
DHCP报文泛洪攻击:使得DHCP服务器高负载运行,甚至使设备瘫痪。
洪水攻击防御
1.说明
防御针对攻击的类型进行反击或者限制行为,对进行攻击者进行黑名单处理,或直接丢弃查询包。
2.防护方式:
TCP SYN攻击防御:①增加TCP backlog队列 ②减少SYN-RECEIVED的时间 ③SYN缓存堆栈 ④SYN-cookies生成与验证
防火墙/代理
在网络中就能够通过两种方法缓冲SYN洪泛攻击,一种是对连接发起人伪装SYN-ACK包,另一种是对服务器伪装ACK包
如果连接发起人是合法的,防火墙/代理就会收到ACK,然后在它自己和服务器之间建立连接并伪装连接发起人的地址。防火墙/代理将连接双方分割开。这种分割能够抵御SYN洪泛攻击,因为服务器方根本没接受收过攻击者的SYN。只要防火墙/代理实现了一些基于TCP的防御策略,比如SYN cookies或SYN 缓存,他就能够保护所有在其后面的服务器免于SYN洪泛攻击。
还有一种是响应SYN-ACK的伪装ACK包通过防火墙/代理到达服务器。这种伪装防止服务器的TCB一直停留在SYN-RECEIVED状态,因此保证了backlog队列中的空余空间。防火墙/代理将会停留等待一段时间,如果连接发起人正确的ACK没有被检测到,它将会通过伪装的TCP RET报文使服务器释放TCB。对合法的连接,数据包流能够在没有防火墙/代理的影响下继续进行
ICMP攻击防御:①防火墙设置强制drop策略 ②设置允许ping的网段 ③设置TTL的值,阻止TTL值少于设定值的访问 ④设置防火墙对数据包一致性检查 ⑤直接过滤ICMP报文
DDoS防御:①Random Drop(随机丢包) ②特征匹配:统计攻击报文的特征、定义特征库等等 ③ SYN Cookic
Smurf攻击防御:①对边界路由器的回音应答(echo reply)信息包进行过滤,然后丢弃它们,使网络避免被拥塞。 ②在Cisco路由器上设置防止包传递到广播地址上( no ip directed-broadcast)
UDP攻击防御:①判断包大小(如大包,则防止UDP碎片攻击,大小一般不少于1500。极端情况下,可以考虑丢弃所有UDP碎片) ②攻击端口为业务端口 ③攻击端口为费业务端口
DHCP报文泛洪防御:①三层交换设备的接口设置dhcp snooping ②检测DHCP Request报文帧头MAC地址与DHCP数据区中CHADDR字段是否相同的功能,相同则转发报文,否则丢弃。
网友评论