Dos攻擊
攻擊者利用系統及協議漏洞大量消耗網絡帶寬及系統資源,使得合法系統用戶無法及時得到服務和系統資源
Dos攻擊特點
①較難確認
合法用戶在無法獲得服務時,通常認爲是服務器因故障短暫失效,不認爲受到攻擊
②隱蔽
dos往往隱藏在正常的訪問請求中
③資源限制
佔用系統資源。
初步判斷
①短時間出現大量報文
②CPU利用率提高
③主機長時間無響應
④主機隨機崩潰
常見dos攻擊分爲帶寬、協議、邏輯攻擊
1.帶寬攻擊
攻擊者利用大量垃圾數據流填充目標的網絡鏈路,目標網絡設備如果不能及時處理髮送給它的大量流量,就會導致響應速度變慢甚至系統崩潰,進而停止服務。
攻擊流量可以基於TCP,UDP,ICMP協議的報文。通常服務器或網絡設備通常都會配置吞吐量的限制,此時攻擊者只需要短時間內發送大量小的報文就可能達到目標設置的吞吐量限制,而不需要發送過多的報文去填滿帶寬。
①UDP防洪
向目標的指定UDP端口發送大量無用UDP報文以佔滿目標帶寬,目標系統接收到UDP報文時,會確定目的端口對應的進程,如果該端口未打開,系統會生成“ICMP端口不可達”報文發送給源地址。攻擊者短時間向目標端口發送海量報文時,目標系統很可能會癱瘓。
②Smurf攻擊
攻擊者僞造大量源IP爲受害主機IP,目標地址爲廣播地址的ICMP Echo請求報文,當網絡中的每臺主機接受該報文時,都會向受害主機的IP發送ICMP Echo應答報文,使受害主機短時間內收到大量ICMP報文,導致其帶寬被消耗。
…
2.協議攻擊
利用網絡協議的設計和實現漏洞進行的攻擊
①SYN洪水攻擊
利用TCP協議的設計缺陷,發送大量僞造的TCP連接請求,使得目標主機用於處理三路握手連接的內存資源耗盡,從而停止TCP服務。攻擊者僞造不同IP地址發送多個同步連接請求報文,目標主機再發送同步連接應答報文後,由於源地址是僞造的,目標主機無法收到三鹿握手的最後確認保溫,使得TCP連接無法正確建立。目標主機會等待75s左右纔會丟棄這個未完成的連接,當攻擊者持續發送僞造的連接請求報文,目標主機的內存會被這些未完成的連接填滿,從而無法響應正常連接請求,導致服務停止。
②land攻擊
特殊的SYN握手報文,報文源地址和目標地址都設置爲目標主機地址,源端口設置爲與目標端口相同,使得目標主機向自身發二鏈路連接握手報文,造成目標主機的連接管理混亂。
…
3.邏輯攻擊
利用目標系統或服務程序的實現漏洞發起攻擊。
…
防禦
使用多種網絡安全專用設備和工具組成防禦體系,包括防火牆,基於主機入侵檢測系統,基於特徵的網絡入侵檢測系統,網絡行爲異常檢測器等…
例:
1)帶寬資源要充足
帶寬直接決定了抗DOS和DDOS攻擊的能力,至少要選擇100M帶寬的,有錢的話,越多越好
2)服務器的硬件配置
在帶寬以及流量有充分保障的前提下,服務器的硬件配置必須得跟上
3)規範自身操作設置
對於DOS和DDOS攻擊的防範,主要的防禦能力還是取決於服務器以及機房本身。但是,對於咱們用戶來說,也需要做到安全操作纔行。例如,不要上傳陌生、特殊後綴名的文件到服務器上、不要點擊來歷不明的鏈接、不安裝來路不明的軟件,從而杜絕因自身操作問題而導致服務器被攻擊。同時,最好是定期對網站的文件進行安全掃描,這樣對新出現的漏洞、病毒文件也能及時的發現並清理
4)機房防火牆的配置
一般來說,在骨幹節點配置防火牆的話,能有效抵禦DOS和DDOS攻擊。因爲防火牆在發現受到攻擊時,可以將攻擊導向一些“無用”的服務器類似堡壘機,這樣可以保護運行中的服務器不被攻擊
5)搭建CDN
小實驗
1)在win系統上搭建了個iis服務器,簡單地放了個靜態網頁上去,然後使用內網穿透工具NATAPP,使得另一臺攻擊機可以訪問到該iis服務器的頁面。
2)也可以找個實驗靶場環境做測試
這裏用到了WAS的壓力測試工具
選擇測試目標站點
選擇線程,自己環境的話線程越大攻擊效果越明顯。(如果不想喝茶,勿隨便利用工具測試站點!!!!!!!!!!!!!!)
看到服務器cpu可利用資源消耗殆盡
DDos攻擊
與Dos相比單一的Dos攻擊是採用一對一的方式,當攻擊目標的CPU速度、內存或網絡帶寬等指標不高,攻擊效果比較明顯。如果目標是大型服務器,如商業web服務器或dns服務器,那麼一臺機器進行Dos攻擊很難達到目標。
DDos使用C/S模式,同時操縱多臺主機向目標發起攻擊,當同時發起攻擊的主機數量較大時,受攻擊的目標主機資源很快耗盡。DDos是實施最快,攻擊能力最強並且破壞性最大的攻擊方式。
在DDos攻擊體系中包含三種角色
1)攻擊者
使用一臺主機作爲主控制檯,操作整個攻擊流程,並向主控端發送攻擊命令。
2)主控端
攻擊者預先利用主機的安全漏洞拿到主機權限從而控制主機,同時這些主機可以控制其他代理主機,主控端負責接收攻擊者發送的攻擊指令,並分發到它控制的代理主機
3)代理端
也是攻擊者預先控制的主機,負責運行攻擊程序,接收主控端轉發的執行,它是攻擊的執行者
實施一次DDos攻擊,最重要的是足夠多的主控端和代理端。攻擊者需要利用各種攻擊方法有效獲取網絡主機的系統控制權,並且在這些主機上隱蔽後門程序和dos攻擊程序。這些受控主機的形成,稱爲“殭屍網絡”。
防禦
一、基礎設施
增加帶寬,增強cpu性能,採用合理的網絡部署結構等
二、網絡邊界
DDOS檢測和防禦技術,如:
1.動態挑戰算法
對傳輸層和應用層協議棧進行模擬。可參考SYN Cookie技術
2.多層次限速
從不同粒度和不同協議層次,對IP報文的吞吐量進行限制。用於抵禦帶寬攻擊
3.訪問控制
實現網絡層、傳輸層和應用層不同層次的不同訪問控制策略。HTTP協議,對報文的url,user-agent和cookie等參數對具體報文設置不同策略的決定;DNS協議,對DNS查詢的名字、類型、RR記錄設置相關策略
4.行爲分析
對IP報文的行爲和特徵進行建模分析,建立通用特徵庫,包括ip,url和上傳下載的文件信息,提取可疑報文特徵指紋,在網絡邊界自動檢測並丟棄可疑攻擊報文
常用攻擊工具
僅分享相關工具,僅做壓力測試,若用於非法攻擊,後果自負
LOIC (僅適用於win7/8)
Hyenae (雙系統ddos工具)
SlowHTTPTest (http協議攻擊工具)
Goldeneye (python小工具)
…
GOT IT!
******************************************************
閱讀《網絡攻防》以及本人對此做的實驗小結~