常见的DOS攻击手段有哪些
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络宽带攻击和连通性攻击。DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。常见类型如下:第一种:SYN flood(SYN泛洪)SYN泛洪是一种DOS攻击,攻击者向目标系统发送一系列SYN请求,企图使用大量服务器资源使系统对合法流量无响应。第二种:Teardrop Attacks(泪滴攻击)泪滴攻击涉及黑客向受害者的机器发送重叠的,超大的有效载荷的破碎和混乱的IP片段。由于TCP/IP碎片重新组装的方式存在错误,因此显然会导致操作系统和服务器崩溃。所有操作系统的许多类型的服务器都容易受到这种类型的DOS攻击,包括Linux。第三种:Low-rate Denial-of-Service attacks(低速拒绝服务攻击)这是非常致命的DoS攻击!低速率DoS攻击旨在利用TCP的慢速时间动态,能够执行重传超时机制以降低TCP吞吐量。简而言之,黑客可以通过发送高速率和密集突发来反复进入RTO状态来创建TCP溢出-同时在慢速RTO时间尺度上。受害节点处的TCP吞吐量将大幅降低,而黑客的平均速率较低,因此难以被检测到。第四种:Internet Control Message Protocol flood(Internet控制消息协议(ICMP)泛洪)Internet控制消息协议是一种用于IP操作,诊断和错误的无连接协议。ICMP Flood-发送异常大量的任何类型的ICMP数据包,可能会淹没尝试处理每个传入ICMP请求的目标服务器,这可能导致拒绝-目标服务器的服务条件。第五种:Peer-to-peer attacks(点对点攻击)点对点网络是一种分布式网络,其中网络中的各个节点充当资源的供应者和消费者,与集中式客户端-服务器模型相反,客户端-服务器或操作系统节点请求访问中央服务器提供的资源。
DOS攻击有多少种?
SYN FLOOD
利用服务器的连接缓冲区,利用特殊的程序,设置TCP的header,向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中。
如果SYN请求超过了服务器能容纳的限度,缓冲区队列满,那么服务器就不再接收新的请求;其他合法用户的连接都被拒绝,可以持续SYN请求发送,直到缓冲区中都是自己的只有SYN标志的请求。
IP欺骗
DOS攻击这种攻击利用RST位来实现的,比如现在有一个合法用户已经同服务器建立正常连接,攻击者构造攻击的TCP数据,伪装自己的IP为正常ip,向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从合法用户发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户再发送合法数据,服务器就已经没有这样的连接了,该用户必须重新开始建立连接。
带宽DOS攻击
如果连接带宽足够大而服务器又不是很大,可以发送请求,来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大,配合上SYN一起实施DOS,威力巨大。
自身消耗的DOS攻击
这种是老式的攻击手法。说老式,是因为老式的系统有这样的自身BUG,比如win
95这样的系统。这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同,发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快地把资源消耗光,直接导致宕机。这种伪装对一些身份认证系统威胁还是很大的。
塞满服务器的硬盘
如果服务器可以没有限制地执行写操作,那么都能成为塞满硬盘造成DOS攻击的途径:
1、发送垃圾邮件:一般公司的服务器可能把邮件服务器和Web服务器都放在一起,破坏者可以发送大量的垃圾邮件,这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中,直到邮箱被撑破或者把硬盘塞满。
2、让日志记录满:入侵者可以构造大量的错误信息发送出来,服务器记录这些错误,可能就造成日志文件非常庞大,甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志,甚至就不能发现入侵者真正的入侵途径。
3、向匿名FTP塞垃圾文件,这样也会塞满硬盘空间。
用路由器防止DoS拒绝服务疯狂攻击的方法
拒绝服务(DoS)攻击是目前黑客广泛使用的一种攻击手段,它通过独占网络资源、使其他主机不能进行正常访问,从而导致宕机或网络瘫痪。 DoS攻击主要分为Smurf、SYNFlood和Fraggle三种,在Smurf攻击中,攻击者使用ICMP数据包阻塞服务器和其他网络资源;SYNFlood攻击使用数量巨大的TCP半连接来占用网络资源;Fraggle攻击与Smurf攻击原理类似,使用UDPecho请求而不是ICMPecho请求发起攻击。 尽管网络安全专家都在着力开发阻止DoS攻击的设备,但收效不大,因为DoS攻击利用了TCP协议本身的弱点。正确配置路由器能够有效防止DoS攻击。以Cisco路由器为例,Cisco路由器中的IOS软件具有许多防止DoS攻击的特性,保护路由器自身和内部网络的安全。 使用扩展访问列表 扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型,也可以阻止DoS攻击。ShowIPaccess-list命令能够显示每个扩展访问列表的匹配数据包,根据数据包的类型,用户就可以确定DoS攻击的种类。如果网络中出现了大量建立TCP连接的请求,这表明网络受到了SYNFlood攻击,这时用户就可以改变访问列表的配置,阻止DoS攻击。 使用QoS 使用服务质量优化(QoS)特征,如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)以及定制队列(CQ)等,都可以有效阻止DoS攻击。需要注意的是,不同的QoS策略对付不同DoS攻击的效果是有差别的。例如,WFQ对付PingFlood攻击要比防止SYNFlood攻击更有效,这是因为PingFlood通常会在WFQ中表现为一个单独的传输队列,而SYNFlood攻击中的每一个数据包都会表现为一个单独的数据流。此外,人们可以利用CAR来限制ICMP数据包流量的速度,防止Smurf攻击,也可以用来限制SYN数据包的流量速度,防止SYNFlood攻击。使用QoS防止DoS攻击,需要用户弄清楚QoS以及DoS攻击的原理,这样才能针对DoS攻击的不同类型采取相应的'防范措施。 使用单一地址逆向转发 逆向转发(RPF)是路由器的一个输入功能,该功能用来检查路由器接口所接收的每一个数据包。如果路由器接收到一个源IP地址为10.10.10.1的数据包,但是CEF(CiscoExpressForwarding)路由表中没有为该IP地址提供任何路由信息,路由器就会丢弃该数据包,因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。 使用RPF功能需要将路由器设为快速转发模式(CEFswitching),并且不能将启用RPF功能的接口配置为CEF交换。RPF在防止IP地址欺骗方面比访问列表具有优势,首先它能动态地接受动态和静态路由表中的变化;第二RPF所需要的操作维护较少;第三RPF作为一个反欺骗的工具,对路由器本身产生的性能冲击,要比使用访问列表小得多。 使用TCP拦截 Cisco在IOS11.3版以后,引入了TCP拦截功能,这项功能可以有效防止SYNFlood攻击内部主机。 在TCP连接请求到达目标主机之前,TCP拦截通过拦截和验证来阻止这种攻击。TCP拦截可以在拦截和监视两种模式下工作。在拦截模式下,路由器拦截到达的TCP同步请求,并代表服务器建立与客户机的连接,如果连接成功,则代表客户机建立与服务器的连接,并将两个连接进行透明合并。在整个连接期间,路由器会一直拦截和发送数据包。对于非法的连接请求,路由器提供更为严格的对于half-open的超时限制,以防止自身的资源被SYN攻击耗尽。在监视模式下,路由器被动地观察流经路由器的连接请求,如果连接超过了所配置的建立时间,路由器就会关闭此连接。 在Cisco路由器上开启TCP拦截功能需要两个步骤:一是配置扩展访问列表,以确定需要保护的IP地址;二是开启TCP拦截。配置访问列表是为了定义需要进行TCP拦截的源地址和目的地址,保护内部目标主机或网络。在配置时,用户通常需要将源地址设为any,并且指定具体的目标网络或主机。如果不配置访问列表,路由器将会允许所有的请求经过。 使用基于内容的访问控制 基于内容的访问控制(CBAC)是对Cisco传统访问列表的扩展,它基于应用层会话信息,智能化地过滤TCP和UDP数据包,防止DoS攻击。 CBAC通过设置超时时限值和会话门限值来决定会话的维持时间以及何时删除半连接。对TCP而言,半连接是指一个没有完成三阶段握手过程的会话。对UDP而言,半连接是指路由器没有检测到返回流量的会话。 CBAC正是通过监视半连接的数量和产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候,用户可以判断是遭受了洪水攻击。CBAC每分钟检测一次已经存在的半连接数量和试图建立连接的频率,当已经存在的半连接数量超过了门限值,路由器就会删除一些半连接,以保证新建立连接的需求,路由器持续删除半连接,直到存在的半连接数量低于另一个门限值;同样,当试图建立连接的频率超过门限值,路由器就会采取相同的措施,删除一部分连接请求,并持续到请求连接的数量低于另一个门限值。通过这种连续不断的监视和删除,CBAC可以有效防止SYNFlood和Fraggle攻击。 路由器是企业内部网络的第一道防护屏障,也是黑客攻击的一个重要目标,如果路由器很容易被攻破,那么企业内部网络的安全也就无从谈起,因此在路由器上采取适当措施,防止各种DoS攻击是非常必要的。用户需要注意的是,以上介绍的几种方法,对付不同类型的DoS攻击的能力是不同的,对路由器CPU和内存资源的占用也有很大差别,在实际环境中,用户需要根据自身情况和路由器的性能来选择使用适当的方式。