幾種常見的DoS攻擊

DoS爲Denial of Service的簡稱,意思是拒絕服務。DoS攻擊是一種使被攻擊者無法正常提供服務的攻擊。常見的攻擊方式有以下幾種類型:
 
LAND
Local Area Network Denial attack,局域網拒絕服務攻擊。攻擊者構造了一個TCP SYN數據包,包中的源地址和目的地址都爲被攻擊主機的地址。被攻擊的主機收到之後,就會給自己地址發一個SYN+ACK,接着又會給自己地址發一個ACK,創建了一個空連接並一直等待,直到這個連接超時。如果攻擊者發送了大量的這種數據包,就會把被攻擊主機的連接佔滿。
0
解決方案:
在防火牆或路由器配置規則,如果是源地址和目的地址相同,則丟棄掉
 
 
Ping of Death
IP4 ping數據包最大允許大小爲65,535字節,攻擊者可以發送超過65,635的ping包。被攻擊者收到之後,會將數據包進行分段,當把這些數據包重組之後,可能會緩衝區溢出導致的死機、重啓等現象。
0
解決方案:
對重組的數據包進行檢查,同時創建一個足夠大的緩衝區去處理超過最大大小的數據包。
 
 
SYN Flooding
攻擊者使用僞造的源地址去向被攻擊主機發送SYN握手請求,被被攻擊主機返回一個SYN+ACK,但是因爲源地址是不存在的,所以收不到接下來的ACK消息,連接不會正常建立,會等待一段時間之後超時。如果攻擊者發送了大量的這種SYN請求,就會導致被攻擊主機創建了大量的TCB隊列,導致其它正常請求無法建立。
0
解決方案:
使用SYN cookie機制,這種機制的原理是:
(1)只收到SYN之後,不分配資源,只有收到最終的ACK之後才分配資源;
(2)服務器收到SYN之後,根據服務器自身的一個密鑰+SYN包中的部分信息(IP、端口和序列號)計算出返回的SYN+ACK中的序列號,這個序列號是攻擊者無法計算出來的,因爲攻擊者不知道服務器的密鑰。因此攻擊者最終無法發送正確的ACK消息,這樣就會保證不會分配服務器資源。
 
ICMP Redirection
攻擊者僞裝成路由器,向被攻擊主機發送ICMP重定向報文,被攻擊主機會更新自己的路由表,下次訪問某個地址的時候,就會將請求發送給攻擊者,攻擊者這樣就截取到了被攻擊主機的信息。
解決方案:
可以在路由器或防火牆上關閉ICMP重定向功能,或者直接過濾掉ICMP包
 
Smurf攻擊
攻擊者僞造成被攻擊主機的IP向其它不同的主機發送ICMP請求,收到ICMP請求的這些主機就會把請求全部到返回給被攻擊主機,導致其資源佔滿。
0
解決方案:
在交換機上對ICMP消息進行限流,超過一定閾值就進行丟棄處理
 
Winnuke
windows系統的139端口是給NetBIOS用的,用於局域網主機之間的通信。如果往139端口發送一個URG位爲1的請求,會導致windows系統出現藍屏。
解決方案:
判斷URG位是否爲1,或者是在防火牆或路由器設備上對這類報文進行過濾
 
DHCP Flood
(1)攻擊者使用大量僞造的MAC地址向DHCP服務器發起請求來獲取IP地址,最終將DHCP服務器的地址池耗盡
0
(2)當DHCP服務器收到大量請求導致無法處理新的請求時,攻擊者又將自己僞造成DHCP服務器給其它主機分配地址。這時,包括網關、DNS服務器等信息,都是由攻擊者僞造的,這樣的話其它主機訪問的網站就會被攻擊者替換成了釣魚網站
0
解決方案:
(1)在交換機上開啓DHCP snooping,只允許真實的DHCP服務器發送DHCP Offer報文;
(2)設置DHCP請求報警功能,請求超過一定閾值,就發送報警,並丟棄掉新的DHCP請求
 
ARP Flood
攻擊者使用不同的<mac,ip>地址對發送大量的ARP報文,最終導致交換機的ARP表溢出
0
解決方案:
(1)交換機上對IP和MAC進行綁定,如果發現不一致的報文,則丟棄
(2)在DHCP服務器上記錄分配的IP和MAC綁定關係,如果發現不一致的報文,則丟棄
(3)ARP限速,如果某段時間某個端口發送了大量的ARP報文,則將此端口屏蔽
 
ICMP Flood
用一臺或多臺攻擊主機向被攻擊主機發送大量的ICMP請求,將被攻擊主機資源佔滿
 
解決方案:
在交換機上對ICMP消息進行限流,超過一定閾值就進行丟棄處理
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章