发布网友 发布时间:2022-03-27 04:42
共3个回答
懂视网 时间:2022-03-27 09:03
拒绝服务攻击有:
1、IP欺骗性攻击
这种攻击利用RST位来实现。假设有一个合法用户(61.61.61.61)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为61.61.61.61,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从61.61.61.61发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户61.61.61.61再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击时,攻击者会伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。
2、UDP洪水攻击
攻击者利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。
3、Ping洪流攻击
由于在早期的阶段,路由器对包的最大尺寸都有。许多操作系统对TCP/IP栈的实现在ICMP包上都是规定KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机。
4、teardrop攻击
泪滴攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
5、Land攻击
Land攻击原理是:用一个特别打造的SYN包,它的原地址和目标地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留,直到超时,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续5分钟)。
6、Smurf攻击
一个简单的Smurf攻击原理就是:通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞。它比ping of death洪水的流量高出1或2个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。
7、Fraggle攻击
原理:Fraggle攻击实际上就是对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP。
热心网友 时间:2022-03-27 06:11
拒绝服务攻击是一种拒绝用户或客户端对特定的系统和网络资源进行访问的技术。
其实现可以是利用操作系统或软件的漏洞,也可以在使用非常大数量的合法请求,其结果都会形成过多的资源消耗或使资源崩溃,以实现对资源的拒绝访问目的。
ping of death
ICMP报文是由系统内核或进程直接处理而不是通过端口,因此构造ICMP报文一向是攻击主机的最好方法之一。
一个完整的IP数据包最大为65535Byte,如果底层协议的MTU小于上层IP数据包的大小,IP包就应该分片,并由接收者进行重组。
典型的以太网的MTU为1500Byte。ICMP作为内嵌于IP中的协议,其容许的最大数据量应该是65535-20-8Byte。其中,20为IP头的大小,8为ICMP头的大小。
在很多操作系统的早期版本中,对网络数据包的最大尺寸有*。对单个IP报文的处理过程中通常要设置有一定大小的缓冲区,以应付IP分片的情况。接收数据包时,网络层协议要对IP分片进行重组,可是,如果重组后的数据报文长度超过了IP报文缓冲区的上限时,就会出现溢出现象,导致TCP/IP协议栈的崩溃。
早期的Ping工具允许任意设置发送数据的字节数,于是,黑客只需要简单地利用ping工具就可以让目标主机拒绝服务。
防御:
死Ping的问题已经是一个比较古老的问题了。
现在所有的标准TCP/IP实现都能够对付超大尺寸的包,例如Windows 2000中的Ping命令只允许发送65500Byte大小的数据,Linux则一律是84Byte,不分片。并且大多数防火墙能够自动过滤这些攻击。并且只有ping会造成这种问题。
在早期的操作系统,如Windows NT 3.51或windows 95中,都存在这样的问题。 因此,Ping of Death对于仍在使用的早期未打补丁的操作系统仍然奏效。
tear drop
利用早期某些操作系统中TCP/IP协议栈对IP分片包进行重组时的漏洞。Windows 3.1/95/NT以及Linux 2.1.63以前的版本都存在这个问题。
攻击者向目标主机发送两个分片的IP包。第一个IP包的数据偏移(offset)设为0,有效数据长度为N。第二个IP包的数据偏移设为K(K<N),有效数据长度为S(K+S<N)。
操作系统需要将分片的IP包组合成一个完整的IP包,IP分片含有指示该分段包含的是原包的哪一段的信息。重组的时候,免不了出现一些重叠现象,需要对此进行处理。
syn floor
由于这种攻击使用的是正常的TCP网络服务都不会禁止的SYN类型数据包,而且数据包很小,很容易快速产生。最重要的是,黑客根本不需要得到目标主机的返回信息,所以他可以伪造数据包的源IP地址和源端口,让目标主机无法追查来源。
如果黑客源源不断的发送这种SYN包,每一个源IP地址都是随机产生的一些虚假地址。导致受害者不能再进行IP过滤或追查攻击源,受害者的目标端口未完成队列就不断壮大,因为超时丢弃总没有新接收的速度快。所以,一直到该队列被拥塞满了为止,所有外来的连接请求不会再得到正常响应。
所以这种攻击不容易防范。一般需要借助防火墙。例如,防火墙在接收到客户端的SYN请求后,并不立即转发给服务器,而是代表服务器建立了完整的TCP连接之后,才向服务器 转发真正的连接请求。如国内的天网防火墙。
land
攻击者为接收设备伪造一个特定的数据包,在数据包的来源和目的地址域都包含接收设备的因特网地址,还包含了相同的来源和目的端口号。这种伪造的数据包使得设备试图向伪造的数据包中的目的地址和端口做出应答,而扰乱设备。
smurf
smurf来源于最初发起这种攻击的程序名字。
在Smurf攻击中,攻击者发送一个ICMP echo请求包,并设置源地址为受攻击主机的IP地址,目的地址为广播地址。如果网段为10.2.1.0-24,那么广播地址为10.2.1.255。因此,大量的ICMP echo响应包会发送到被攻击主机,而消耗其网络带宽和CPU周期。同时,通向受攻击主机的路由器也会崩溃。
之所以smurf攻击屡屡奏效,并非受害主机的操作系统或者网络协议有什么问题,而在于这种攻击的“借力”效果。黑客可以利用自己有限的带宽,同时找到一个高带宽的网络作为反弹攻击跳板,转而攻击一个有限带宽的受害系统。最终的结果,就好比一个宽敞的高速公路,却有一个极狭窄的出口,可是所有车辆都必须从这个出口通行,从而导致交通堵塞。更严重的是,这种攻击不仅能使被害主机拒绝服务,该主机所在网络也连带受害,所有与外界网络的通信都会受到影响
分布式拒绝服务攻击
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小、网络带宽小时其效果明显。随着计算机处理能力增长,内存增加,出现千兆级别的网络,加强了对恶意攻击包的"消化能力",加大了 DoS攻击的困难程度。例如攻击软件每秒钟可以发送3,000个攻击包,但主机和网络带宽每秒钟可以处理10,000个攻击包。如图所示,一个比较完善的DDoS攻击体系分成四大部分。第2和第3部分分别用做控制和实际发起攻击。对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。
热心网友 时间:2022-03-27 07:46
拒绝服务攻击指的是DDOS攻击,也叫洪水攻击,是肉鸡向服务器发送大量垃圾数据包让服务器信息堵塞造成无法提供服务!