DOS攻击(Denial-of-Service Attack)是什么? 拒绝服务攻击。 目的是破坏目标系统的可用性,使用目标网络或系统资源临时中断或停止服务,从而防止合法用户访问对服务的干扰。 资源包括但不限于:
网络——带宽
服务器——内存、CPU、I/O…
—— APP应用程序处理要求能力,占操作系统使用权的份额
防火墙——吞吐量、并发连接数DDOS(Distributed Denial-of-Service Attack)、分布式拒绝服务攻击、位于不同位置的多台计算机同时向一个或多个目标发起拒绝服务攻击。
*目的: **自豪、经济、信息战、政治理由。
为了寻求经济效益或进行商业竞争,电商平台之间可能在特定的日子里相互攻击,干扰对方平台的正常工作; 为了政治目的,攻击者可能在重大节日或政治敏感日期攻击学校和政府等官方网站。
*特点: **往往不需要高科技,但很难防护,是影响互联网信息系统可用性的重要危害之一,可以说是乱打高洋葱的技术。
按照实施攻击的想法分类的是什么?
1 .滥用合理服务要求——服务资源过度消费
2 .创建高业务量的浪费数据——以占用网络带宽
3 .使用传输协议缺陷——构建畸形分组,导致目标主机崩溃
4 .利用服务程序漏洞——发送特殊格式的数据,导致服务处理错误
#怎么做
#剧毒包型——杀手包
##### 现在基本失效,只理解为思路的扩展碎片攻击/泪滴攻击/Teardrop
目标系统:早期windows95、98、3.x和NT/2.x版本的android/6.0 IOS
攻击效果:系统蓝屏、重启、手机卡死
利用原理:异常数据片,接收方在处理片数据时会崩溃,并利用——段偏移值实现段复盖范围
瓷砖包装的测试步骤:
1-kali启动wireshark包
2合7 ping命令: ping -l 3800 IP地址
分析ping分片包: id/fragment offset/totallength /…http://www.Sina.com /
原理:利用协议实现的漏洞向目标主机发送超长的ping数据包
目标系统:早期存在操作系统以处理ICMP协议包漏洞
测试:检查ping-l 65540192.168.134.131|ping-s 65540 IP地址系统返回的信息
效果:当前系统已修复并禁用。死亡之Ping
该攻击方式采用特别构建的TCP SYN分组,通常用于打开新连接。 目标机器打开源地址和目的地址都是其IP地址的空连接,持续自我响应并消耗系统资源直到崩溃。 这种攻击方法与SYN洪泛攻击不同
攻击特征:数据包中源地址和目标地址相同
攻击效果:系统崩溃,重新启动。 但是,现在新型系统也进行了修改,有可能击中windows xp前的系统。
##风暴型
风暴型是什么? 在Land攻击(局域网拒绝服务攻击)的大量上消耗过多的资源,达到拒绝服务的目的。
分类:
直接风暴型——曾经风光如画,但由于目前信息安全领域的发展,直接风暴型除简单外没有其他优势,本身就是源地址,容易追溯暴露;
反射型——可以通过请求第三方,将业务增长反射到攻击目标,并成为当前主流。无用数据包
原理:向目标主机发送大量ICMP响应请求消息,导致目标主机系统忙于处理这些消息而降低性能。
效果:可以说这种方式只在一台主机上几乎没有攻击效果。 在尝试中,即使使用Linux系统发送最大数据的报纸,被攻击者的网络变动也相当小。 此外,该方法在实践中几乎是无效的,因为它可能自动过滤大量的ICMP消息,具体取决于路由器和运营商。Ping风暴
想法:利用TCP连接建立三次握手
原理:发送大量SYN消息,但未响应服务器的SYN ACK响应消息,导致服务器维护大量半连接列表,消耗服务器的半连接资源
半连接资源:连接数!
测试步骤:
1-kali打开wireshark包
2-kali使用scapy制作“攻击包”
I=IP I.dst=’ 192.168.* * *.* * ‘ # I.display ) t=TCP ) ) t.dport=135# t.display ) Sr1 ) I/t )
4-kali安装本地防火墙iptables,禁止操作系统向目标主机发送reset数据包
命令: iptables-a output-ptcp– TCP-flagsrstrst-dip地址-j DROP
重复scapy生成“攻击包”
6-wireshark捕获包分析:目标主机连续发出三个SYN ACK,但得不到第三个ACK
,等待一段时间目标主机reset
注意:常伴随IP欺骗(伪造IP地址)——一方面逃避追踪;另一方面为了攻击能成功。
应对方法
1.缩短SYN Timeout时间
2.设置SYN Cookie
3.负反馈策略
4.退让策略
5.分布式DNS负载均衡
6.防火墙
##其他直接风暴方法
TCP连接耗尽攻击
UDP风暴攻击
HTTP风暴攻击
邮件系统DoS攻击
反射型
反射型DDoSDistributed Reflection Denial of Service, DRDoS)
·特点/原理:
1-利用应用层协议
2-反射节点——开放特定服务的服务器
3-将源IP地址伪造成攻击目标的的IP地址
NTP反射攻击
**NTP:**是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十毫秒),且可介由加密确认的方式来防止恶毒的协议攻击。时间按NTP服务器的等级传播。按照离外部UTC源的远近把所有服务器归入不同的Stratum(层)中。(端口号123)
攻击效果保证:开放时间服务器(原子时间)约有80万台(1800左右常用服务器)
攻击原理:Monlist功能
测试:
1-Ubuntu开启NTP服务
2-kali扫描网段内开启NTP服务主机:nmap -sU -p123 192.168.134.0/24
扫描结果:发现192.168.134.130开放NTP服务
3-kali开启wireshark抓包
4-kali测试monlist功能,命令:ntpdc -n -c monlist 192.168.134.130
5-对照kali返回结果,wireshark抓包分析:查询包234B——>响应包410B5条记录,6条记录就是482B)
6-攻击win7测试:利用IP欺骗,kali中scapy伪造源地址NTP查询包
(1)scapy按照NTP数据包格式构造发包:sendIPdst=“192.168.134.130”, dst=“192.168.134.129”)/UDPsport=40874)/NTPversion=2,mode=7,stratum=0,poll=3,precision=42))
(2)wireshark抓包分析:查询包90B——>响应包410B5条记录,6条记录就是482B)
禁用monlist功能(可用4.2.7以上版本)
1-配置NTP策略文件:sudo vi /etc/ntp.conf
2-找到两行,去掉前面的注释号#,表示禁用
restrict -4…
restrict -6 …
3-关停NTP服务再开启,即:sudo service ntp stop/start
###DNS放大攻击
DNS协议放大效果——查询请求流量小,但响应流量可能非常巨大
前提:利用配置缺陷——DNS服务器配置不当,成为递归查询服务器
测试:
环境:目标主机win7 192.168.134.129/攻击主机Kali 192.168.134.131
过程:
1-kali启动wireshark抓包(测试效果)
2-DNS查询:命令 dig any qq.com @114.114.114.114
反复试探多个域名,找到放大效果最好的
3-scapy构造数据包
i=IP)i.dst=”114.114.114.114″i.src=”192.168.134.131″# i.display)u=UDP)# u.display)u.dport=53d=DNS)d.rd=1d.qdcount=1q=DNSQR)q.qname='[baidu.com]http://baidu.com)’q.qtype=255d.dq=qr=i/u/d) # r.display)sr1r)
4-wireshark抓包分析——查询包和响应包
5-重复scapy构造数据包过程——源地址改为192.168.134.129
攻击原理
伪造源地址为被攻击目标地址,向递归域名查询服务器发起查询;DNS服务器成为流量放大和实施“攻击者”,大量DNS服务器实现DDoS
小结:产生大流量的攻击方法
1-单机的带宽优势
2-巨大单机数量形成的流量汇聚
3-利用协议特性实现放大效果
#怎么防
对于各厂商来说最简单有效的办法就是买更多更好的服务器,zxdxh提供服务的算力能比攻击者调动起来一切资源的总和还大时,就没人能让你拒绝服务。在资源有限的情况下,想完全阻止是不可能的,因为无法分辨请求的好坏,所以只能尽量减少被攻击的机会。
防御措施 防范手段:
1.限制带宽
2.终端防御
3.入口过滤
###检测方法:
检测难点在于不容易定位攻击者的位置,反射攻击已成为主流,可能构造合理请求,系统无法分辨。
1.依据攻击工具的“特征标志”检测
特定端口:不同攻击工具常使用的端口固定且不相同
标志位:序列号
特定数据内容
2.统计检测
3.主机网络连接特征检测
4.根据异常流量来检测
检测原理/思路:DoS工具产生的网络通信信息有两种
1-网络通信——在DoS攻击代理与目标主机之间
2-控制信息——在DoS管理者与攻击代理之间
异常现象
1-明显超出网络正常工作时的极限通信流量现象
2-特大型ICMP和UDP数据包
3-不属于正常连接通信的TCP和UDP数据包
4-数据段内容只包含文字和数字字符
响应
丢弃恶意分组
源端控制
追溯攻击源端,阻止它发起新攻击
流量清洗——最有效的对抗风暴型DDoS方法
对DDoS攻击与正常业务数据混合在一起的流量进行净化,净化掉DDoS攻击流量,保留正常业务流量
过程:攻击监测和判断、流量牵引、清洗过滤、流量回送