Dos攻击
攻击者利用系统及协议漏洞大量消耗网络带宽及系统资源,使得合法系统用户无法及时得到服务和系统资源
Dos攻击特点
①较难确认
合法用户在无法获得服务时,通常认为是服务器因故障短暂失效,不认为受到攻击
②隐蔽
dos往往隐藏在正常的访问请求中
③资源限制
占用系统资源。
初步判断
①短时间出现大量报文
②CPU利用率提高
③主机长时间无响应
④主机随机崩溃
常见dos攻击分为带宽、协议、逻辑攻击
1.带宽攻击
攻击者利用大量垃圾数据流填充目标的网络链路,目标网络设备如果不能及时处理发送给它的大量流量,就会导致响应速度变慢甚至系统崩溃,进而停止服务。
攻击流量可以基于TCP,UDP,ICMP协议的报文。通常服务器或网络设备通常都会配置吞吐量的限制,此时攻击者只需要短时间内发送大量小的报文就可能达到目标设置的吞吐量限制,而不需要发送过多的报文去填满带宽。
①UDP防洪
向目标的指定UDP端口发送大量无用UDP报文以占满目标带宽,目标系统接收到UDP报文时,会确定目的端口对应的进程,如果该端口未打开,系统会生成“ICMP端口不可达”报文发送给源地址。攻击者短时间向目标端口发送海量报文时,目标系统很可能会瘫痪。
②Smurf攻击
攻击者伪造大量源IP为受害主机IP,目标地址为广播地址的ICMP Echo请求报文,当网络中的每台主机接受该报文时,都会向受害主机的IP发送ICMP Echo应答报文,使受害主机短时间内收到大量ICMP报文,导致其带宽被消耗。
…
2.协议攻击
利用网络协议的设计和实现漏洞进行的攻击
①SYN洪水攻击
利用TCP协议的设计缺陷,发送大量伪造的TCP连接请求,使得目标主机用于处理三路握手连接的内存资源耗尽,从而停止TCP服务。攻击者伪造不同IP地址发送多个同步连接请求报文,目标主机再发送同步连接应答报文后,由于源地址是伪造的,目标主机无法收到三鹿握手的最后确认保温,使得TCP连接无法正确建立。目标主机会等待75s左右才会丢弃这个未完成的连接,当攻击者持续发送伪造的连接请求报文,目标主机的内存会被这些未完成的连接填满,从而无法响应正常连接请求,导致服务停止。
②land攻击
特殊的SYN握手报文,报文源地址和目标地址都设置为目标主机地址,源端口设置为与目标端口相同,使得目标主机向自身发二链路连接握手报文,造成目标主机的连接管理混乱。
…
3.逻辑攻击
利用目标系统或服务程序的实现漏洞发起攻击。
…
防御
使用多种网络安全专用设备和工具组成防御体系,包括防火墙,基于主机入侵检测系统,基于特征的网络入侵检测系统,网络行为异常检测器等…
例:
1)带宽资源要充足
带宽直接决定了抗DOS和DDOS攻击的能力,至少要选择100M带宽的,有钱的话,越多越好
2)服务器的硬件配置
在带宽以及流量有充分保障的前提下,服务器的硬件配置必须得跟上
3)规范自身操作设置
对于DOS和DDOS攻击的防范,主要的防御能力还是取决于服务器以及机房本身。但是,对于咱们用户来说,也需要做到安全操作才行。例如,不要上传陌生、特殊后缀名的文件到服务器上、不要点击来历不明的链接、不安装来路不明的软件,从而杜绝因自身操作问题而导致服务器被攻击。同时,最好是定期对网站的文件进行安全扫描,这样对新出现的漏洞、病毒文件也能及时的发现并清理
4)机房防火墙的配置
一般来说,在骨干节点配置防火墙的话,能有效抵御DOS和DDOS攻击。因为防火墙在发现受到攻击时,可以将攻击导向一些“无用”的服务器类似堡垒机,这样可以保护运行中的服务器不被攻击
5)搭建CDN
小实验
1)在win系统上搭建了个iis服务器,简单地放了个静态网页上去,然后使用内网穿透工具NATAPP,使得另一台攻击机可以访问到该iis服务器的页面。
2)也可以找个实验靶场环境做测试
这里用到了WAS的压力测试工具
选择测试目标站点
选择线程,自己环境的话线程越大攻击效果越明显。(如果不想喝茶,勿随便利用工具测试站点!!!!!!!!!!!!!!)
看到服务器cpu可利用资源消耗殆尽
DDos攻击
与Dos相比单一的Dos攻击是采用一对一的方式,当攻击目标的CPU速度、内存或网络带宽等指标不高,攻击效果比较明显。如果目标是大型服务器,如商业web服务器或dns服务器,那么一台机器进行Dos攻击很难达到目标。
DDos使用C/S模式,同时操纵多台主机向目标发起攻击,当同时发起攻击的主机数量较大时,受攻击的目标主机资源很快耗尽。DDos是实施最快,攻击能力最强并且破坏性最大的攻击方式。
在DDos攻击体系中包含三种角色
1)攻击者
使用一台主机作为主控制台,操作整个攻击流程,并向主控端发送攻击命令。
2)主控端
攻击者预先利用主机的安全漏洞拿到主机权限从而控制主机,同时这些主机可以控制其他代理主机,主控端负责接收攻击者发送的攻击指令,并分发到它控制的代理主机
3)代理端
也是攻击者预先控制的主机,负责运行攻击程序,接收主控端转发的执行,它是攻击的执行者
实施一次DDos攻击,最重要的是足够多的主控端和代理端。攻击者需要利用各种攻击方法有效获取网络主机的系统控制权,并且在这些主机上隐蔽后门程序和dos攻击程序。这些受控主机的形成,称为“僵尸网络”。
防御
一、基础设施
增加带宽,增强cpu性能,采用合理的网络部署结构等
二、网络边界
DDOS检测和防御技术,如:
1.动态挑战算法
对传输层和应用层协议栈进行模拟。可参考SYN Cookie技术
2.多层次限速
从不同粒度和不同协议层次,对IP报文的吞吐量进行限制。用于抵御带宽攻击
3.访问控制
实现网络层、传输层和应用层不同层次的不同访问控制策略。HTTP协议,对报文的url,user-agent和cookie等参数对具体报文设置不同策略的决定;DNS协议,对DNS查询的名字、类型、RR记录设置相关策略
4.行为分析
对IP报文的行为和特征进行建模分析,建立通用特征库,包括ip,url和上传下载的文件信息,提取可疑报文特征指纹,在网络边界自动检测并丢弃可疑攻击报文
常用攻击工具
仅分享相关工具,仅做压力测试,若用于非法攻击,后果自负
LOIC (仅适用于win7/8)
Hyenae (双系统ddos工具)
SlowHTTPTest (http协议攻击工具)
Goldeneye (python小工具)
…
GOT IT!
******************************************************
阅读《网络攻防》以及本人对此做的实验小结~