DoS为Denial of Service的简称,意思是拒绝服务。DoS攻击是一种使被攻击者无法正常提供服务的攻击。常见的攻击方式有以下几种类型:
LAND
Local Area Network Denial attack,局域网拒绝服务攻击。攻击者构造了一个TCP SYN数据包,包中的源地址和目的地址都为被攻击主机的地址。被攻击的主机收到之后,就会给自己地址发一个SYN+ACK,接着又会给自己地址发一个ACK,创建了一个空连接并一直等待,直到这个连接超时。如果攻击者发送了大量的这种数据包,就会把被攻击主机的连接占满。
解决方案:
在防火墙或路由器配置规则,如果是源地址和目的地址相同,则丢弃掉
Ping of Death
IP4 ping数据包最大允许大小为65,535字节,攻击者可以发送超过65,635的ping包。被攻击者收到之后,会将数据包进行分段,当把这些数据包重组之后,可能会缓冲区溢出导致的死机、重启等现象。
解决方案:
对重组的数据包进行检查,同时创建一个足够大的缓冲区去处理超过最大大小的数据包。
SYN Flooding
攻击者使用伪造的源地址去向被攻击主机发送SYN握手请求,被被攻击主机返回一个SYN+ACK,但是因为源地址是不存在的,所以收不到接下来的ACK消息,连接不会正常建立,会等待一段时间之后超时。如果攻击者发送了大量的这种SYN请求,就会导致被攻击主机创建了大量的TCB队列,导致其它正常请求无法建立。
解决方案:
使用SYN cookie机制,这种机制的原理是:
(1)只收到SYN之后,不分配资源,只有收到最终的ACK之后才分配资源;
(2)服务器收到SYN之后,根据服务器自身的一个密钥+SYN包中的部分信息(IP、端口和序列号)计算出返回的SYN+ACK中的序列号,这个序列号是攻击者无法计算出来的,因为攻击者不知道服务器的密钥。因此攻击者最终无法发送正确的ACK消息,这样就会保证不会分配服务器资源。
ICMP Redirection
攻击者伪装成路由器,向被攻击主机发送ICMP重定向报文,被攻击主机会更新自己的路由表,下次访问某个地址的时候,就会将请求发送给攻击者,攻击者这样就截取到了被攻击主机的信息。
解决方案:
可以在路由器或防火墙上关闭ICMP重定向功能,或者直接过滤掉ICMP包
Smurf攻击
攻击者伪造成被攻击主机的IP向其它不同的主机发送ICMP请求,收到ICMP请求的这些主机就会把请求全部到返回给被攻击主机,导致其资源占满。
解决方案:
在交换机上对ICMP消息进行限流,超过一定阈值就进行丢弃处理
Winnuke
windows系统的139端口是给NetBIOS用的,用于局域网主机之间的通信。如果往139端口发送一个URG位为1的请求,会导致windows系统出现蓝屏。
解决方案:
判断URG位是否为1,或者是在防火墙或路由器设备上对这类报文进行过滤
DHCP Flood
(1)攻击者使用大量伪造的MAC地址向DHCP服务器发起请求来获取IP地址,最终将DHCP服务器的地址池耗尽
(2)当DHCP服务器收到大量请求导致无法处理新的请求时,攻击者又将自己伪造成DHCP服务器给其它主机分配地址。这时,包括网关、DNS服务器等信息,都是由攻击者伪造的,这样的话其它主机访问的网站就会被攻击者替换成了钓鱼网站
解决方案:
(1)在交换机上开启DHCP snooping,只允许真实的DHCP服务器发送DHCP Offer报文;
(2)设置DHCP请求报警功能,请求超过一定阈值,就发送报警,并丢弃掉新的DHCP请求
ARP Flood
攻击者使用不同的<mac,ip>地址对发送大量的ARP报文,最终导致交换机的ARP表溢出
解决方案:
(1)交换机上对IP和MAC进行绑定,如果发现不一致的报文,则丢弃
(2)在DHCP服务器上记录分配的IP和MAC绑定关系,如果发现不一致的报文,则丢弃
(3)ARP限速,如果某段时间某个端口发送了大量的ARP报文,则将此端口屏蔽
ICMP Flood
用一台或多台攻击主机向被攻击主机发送大量的ICMP请求,将被攻击主机资源占满
解决方案:
在交换机上对ICMP消息进行限流,超过一定阈值就进行丢弃处理