爆破鬼才攻击成长高吗只能打一下什么鬼
点击联系发帖人
时间:2018-05-10 01:57
您现在的位置: >>
>> 玩家激情分享 1小时抓30只鬼的攻略技巧
玩家激情分享 1小时抓30只鬼的攻略技巧
紧急爆料:凌波城完整游戏内截图大曝光
凌波城完整游戏内截图大曝光
但是&&&&
快&&&&&&&
2回合清完&一回合1分钟吧&&&我说的5回合&&1回合也许5秒钟&&&&
这30只鬼的时间就是省在这里了&&
30只鬼 就是驿站 领任务 找鬼的时间 杀
很快很快&&
说到这也许有人已经想明白了&&
我继续说具体方法&
第一回合封系封主
&&1回合不中可以2回合继续&&2回合不中&&不再封了&防&
清小的清小&&最佳效果是一回合清完
所以说魔王更好点 法系最好带速度 比小快才行 不让小出手
天宫 轰
其他的人和宝宝 注意&&其他全部的哦&&全部防御&&&&
二回合
天宫轰&&&其他全部 防御
我说的是最佳状态&&主封上了&小清完了&&&所以我说队伍配置有一点要求&&&但不高
不难要是这点都做不到&&那&&就别说什么了&
3回合&&&
天宫轰&&&大唐扫&&
其他全部防御&
4回合&
大唐扫&其他全部防御&
5回合&
大唐扫&&其他全部防御&
一直这样扫下去&
对&&我没说错&&主不出手&&队友全不出手&&&实际的效果就是&&&&大唐连扫&&&&&
嗨皮吧&&有成就感吧血腥暴力吧&&&&
有人能想像我说的&&&&每回合&多少时间&&&很短&很短&&&&&
我说的是理念&是方法&&实际要看队伍和运气
最好的配置&最好的状况运气好的情况&
鬼都是好找的&僵尸牛头少&双封封系1次中&&清小的一回合清&没小出手&&&天宫轰的中&&&大唐伤害够高&&&&
30个很轻松&&&&&&&很轻松&&&&往上无极限&&&&
运气不好&&&
25个没什么问题的&&&25个对于平常的鬼队&要什么队伍&什么配置&&&什么运气&大家都明白&&
大体意思就是这样&&具体操作还可以看实际&&
真有个超牛的宝宝&超高的宠修也可以出手一下俩下的,攻的或是单法的高驱的&&&自己试试&就知道哪样省时间了&&
高速路修出来了
开宾利都能走&&&&给大家修的是高速公路&&总比田间小道开车快&&&具体怎么开&&60迈肯定要过&&管你一手握方向盘&还是2只手握&&&&
这样捉鬼&&&应该算是双倍3倍4倍很高的利用了&&&天宫盘丝不大力又怎样&&一样能组队&&&
本文由玩家&莫莫&原创发布,转载请注明作者及出处,并于文首保留此行。
进入论坛原帖讨论:
&原创发布,转载请注明作者及出处,并于文首保留此行。
进入论坛原帖讨论:
<button onclick='javascript:var _title=document.var _url=document.location.if( document.all ) {var _text=_title+" - "+ _clipboardData.setData("Text",_text);this.innerHTML="已经复制成功,请用 Ctrl+V 粘贴";}'>点击复制文章地址,推荐给QQ和MSN上的朋友
看完本文后有何评价?
已有0人评价,点选表情后可看到其他玩家的表态。
<span onclick='javascript:if(document.all){clipboardData.setData("Text",location.href);this.innerHTML="[文章地址已复制]";}'
class="btn">[与更多人共享]
近期热门资料
计算器/模拟器
友情链接: |DDOS攻击是什么鬼?是无解的吗?看一下十几种常见DDOS攻击原理DDOS攻击是什么鬼?是无解的吗?看一下十几种常见DDOS攻击原理帆鸿福百家号互联网的快速发展,也DDOS攻击日益猖獗和便利,从原来的的兆单位到如今G单位和百G单位的流量攻击,使得DDOS攻击已经成为不可忽视的网络安全课题。DDOS攻击:中文全称分布式拒绝服务攻击,英文全写Distributed Denial of Service。我把DDOS攻击按攻击方式划分为三类,一类带宽阻塞型攻击,超量的数据包将服务器或服务器群的出口造成阻塞,使正常的访问无法进入或访问目标服务缓慢;二类是资源耗尽型攻击,通过各种数据包消耗系统资源,如连接、磁盘存储、内存等,从而正常用户的服务访问不能正常进行;三类是畸形包攻击,利用畸形的报文使目标主机在收到报文后读取报文内容时产生崩溃。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存磁盘大大增加,网络带宽也增加迅速,这使得DoS攻击的困难程度加大了。这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。DDoS就是利用更多的傀儡机来发起进攻,比从前更大的规模来进攻受害者。DDOS攻击由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题之一,给网络社会带来了极大的危害。同时,拒绝服务攻击也将是未来信息战的重要手段之一。分布式拒绝服务(DDoS)攻击中的分布式的意思是借助于客户/服务器(C/S)技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,使用各自方式将被控代理程序安装在Internet上的许多计算机(通常所说的‘肉鸡’)上,在一个设定的时间点上主控程序将与大量代理程序通讯,激活代理程序,代理程序收到指令时就发动攻击。就目前的技术而讲,主控程序能在几秒钟内激活成百上千次代理程序的运行,按照攻击者发出的指令进行攻击。大多数代理程序发出的攻击流量从被攻击者的角度来看与正常流量差别不明显,这就造成防范DDOS攻击十分的困难。上面讲了一下DDOS攻击是什么,下面讲一下常见的DDOS攻击的攻击原理。Syn flood:利用了TCP三次握手中的弱点。具体的方法是:攻击主机向目标主机发出SYN报文发起TCP连接,但是攻击主机并不回复最后一个ack报文,使得TCP握手无法完成,而目标主机在TCP握手中需要分配资源维持这些未完成的连接,当这样的连接到达一定数目后,目标主机就无法再响应其他的连接请求。构造出Synflood报文比较容易,只要将syn位置1,然后连接目标主机的某个可用服务的端口即可。Udp flood:由于UDP协议是无连接的,因此它不可能占用目标主机的连接数,而只是通过发送大量UDP报文占用目标主机的带宽。通常情况下可以认为这是一种自杀式的攻击,因为在发送报文的过程中,不仅目标主机带宽被占用,发包主机的带宽也会收到严重的影响。构造udpflood报文不需要很特殊的置位,只要在同一时间内发送足够多数量的UDP报文就可以形成。ICMP flood:原理同UDPflood,不同的是报文中装载的是ICMP报文。CC攻击:向受害者发起大量HTTP Get/Post请求,主要请求动态页面,涉及到数据库访问操作,消耗受害者服务器有效资源,从而无法响应正常的请求。IPsweep:严格的说,IPsweep并不能算是正式的攻击,IPsweep的过程只是向各个地址发送ping包等待回应,用以探测网络中存活的主机,从而为下一步的攻击做准备。Portscan:一种端口扫描方式。其方法是对指定目标的端口发送SYN报文发起TCP连接,如果主机返回的是SYN+ACK,那么表示这个端口上有相应的服务开放,如果主机返回的是RST,那么说明这个端口没有服务在监听。Land:在Land攻击中主要运用了两种手段:IP欺骗和SYNflood。Land攻击的原理是在IP首部将目标主机的IP同时填写为源地址和目的地址,然后再封装一个SYN的TCP报文发送出去,这样,收到报文的主机要向源地址响应SYN并且维持一个未完成的连接,而源地址又是它本身,因此这样循环进行下去后会最终造成主机资源耗尽无法响应请求。Smurf:Smurf攻击是一种综合了IP欺骗和洪泛攻击的攻击手段。首先,报文的内容被构造成需要回应的特定请求(如ICMP request),而报文的源地址被伪造成要攻击的目标主机,收到该报文的主机将会对报文发起响应(如ICMP reply),而响应报文就会全部发送到伪造的源地址。通常情况下为了产生更大的报文流量,目标地址会构造成某个子网的广播地址,这样只要发送一个报文就能产生一个子网的流量,使攻击的效果更加明显。相比于传统的洪泛攻击,smurf攻击不占据自己的带宽,并且有利于隐藏自己的地址。PING of death:正常的IP报文长度不能超过65535字节,这是由IP首部的16位长度字段决定的,收到超过65535字节的IP报文系统会出错。但是由于IP分片和偏移量的存在,使得我们可以够造出超过65535字节的IP报文。首先,13位的偏移量其最大值为8191,也就是说它所能表示最大的偏移量是65528,同时我们知道IP分片的最后一个报文是没有偏移量的,但是每个报文有各自的报文长度。那么分片报文到达目的后需要进行重组,重组后的IP报文长度就是用最大的一个偏移量加上最后一个报文的长度,虽然偏移量限定在65528,但是单个报文长度却可以做得很大,例如1000,那么最后得到重组的报文长度就是=66528,超出了65535的限制,那么收到这样的报文的主机就有可能产生崩溃死机等情况。WinNuke:针对windows系统的DoS攻击。攻击报文中将URG置位,同时将目标端口设为139端口,139端口是netbios协议的端口,当这样一份报文发送到目标主机后,会产生netbios的碎片重叠,导致主机崩溃。Ip option攻击:IP option是IP报文首部的可选信息,其中可以带有调试控制信息,也可以带有一些路由信息或安全性的信息,但是事实上IP选项信息在通信中基本是不需要的,一般的路由器接收到它们后都会选择丢弃,而IP选项如果配置错误——例如配置不完整,字段残缺——收到报文的主机会出现错误。TearDrop:利用IP碎片重组的攻击。在IP报头中的偏移量字段,它本身表示的是该分片相对于未分片的报文的数据的偏移量,假如收到的报文中,第二个分片的报文的偏移量小于它前一个报文的长度,在进行分片重组时会消耗主机巨大的资源,造成不能响应正常的服务。Targa3:向目标主机发送长度、标识、地址、端口等都随机的碎片报文,令目标主机的协议栈在处理这些不规范数据的时候产生崩溃,影响正常服务的提供。IP欺骗:构造数据报文时将IP首部的源地址进行修改,变成其他的IP地址,这种手段通常作为一些攻击的辅助手段进行,隐藏自己的地址,同时将攻击引导到目标主机上,一个典型的应用就是smurf攻击。PS:DDOS攻击流量多种多样,很多DDOS攻击不是预设防御策略所能够防范的,一般情况下是发现攻击后人为的分析攻击包特征,针对性的进行防御。本文仅代表作者观点,不代表百度立场。系作者授权百家号发表,未经许可不得转载。帆鸿福百家号最近更新:简介:本人有丰富的写作经验。作者最新文章相关文章拒绝服务攻击_百度百科
清除历史记录关闭
声明:百科词条人人可编辑,词条创建和修改均免费,绝不存在官方及代理商付费代编,请勿上当受骗。
拒绝服务攻击
拒绝服务攻击即是攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。其实对进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为本身的安全缺陷,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让实现两种效果:一是迫使服务器的满,不接收新的请求;二是使用IP欺骗,迫使服务器把非法用户的连接复位,影响合法用户的连接。
拒绝服务攻击基本概念
拒绝服务攻击,英文名称是Denial of Service,简称DOS,即拒绝服务,造成其攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽, 最后导致合法的用户请求无法通过。
连通性攻击指用大量的连接请求冲击,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。常用攻击手段有:同步洪流、WinNuke、死亡之PNG、Echl攻击、ICMP/SMURF、Finger炸弹、Land攻击、Ping洪流、Rwhod、tearDrop、TARGA3、UDP攻击、OOB等。
拒绝服务攻击原理
SYN Flood是当前最流行的(拒绝服务攻击)与(Distributed Denial Of Service)的方式之一,这是一种利用缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或)的攻击方式。
SYN Flood攻击的过程在TCP协议中被称为(Three-way Handshake),而SYN Flood拒绝服务
典型的分布式拒绝服务攻击网络结构图
攻击就是通过三次握手而实现的。
(1) 攻击者向被攻击发送一个包含SYN标志的TCP,SYN(Synchronize)即同步报文。同步报文会指明客户端使用的以及TCP连接的初始序号。这时同被攻击服务器建立了第一次握手。
(2) 受害服务器在收到攻击者的SYN报文后,将返回一个SYN+ACK的报文,表示攻击者的请求被接受,同时TCP序号被加一,ACK(Acknowledgment)即确认,这样就同被攻击服务器建立了。
(3) 攻击者也返回一个确认ACK给受害,同样TCP被加一,到此一个TCP连接完成,完成。
具体原理是:TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服
分布式拒绝服务攻击网络结构图
务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒~2分钟);一个用户出现异常导致的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址),服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保存并遍历也会消耗非常多的时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的栈不够强大,最后的结果往往是崩溃—— 即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况就称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
SYN COOKIE 是SYN cookie的一个扩展,SYN cookie是建立在TCP堆栈上的,他为linux操作系统提供保护。SYN cookie防火墙是linux的 一大特色,你可以使用一个防火墙来保护你的网络以避免遭受SYN。
下面是SYN cookie防火墙的原理
client firewall server
------ ---------- ------
1. SYN----------- - - - - - - - - - -&
2. &------------SYN-ACK(cookie)
3. ACK----------- - - - - - - - - - -&
4. - - - - - - -SYN---------------&
5. &- - - - - - - - - ------------SYN-ACK
6. - - - - - - -ACK---------------&
7. -----------& relay the -------&
&----------- connection &-------
1:一个SYN包从C发送到S
2:在这里扮演了S的角色来回应一个带SYN cookie的SYN-ACK包给C
3:C发送ACK包,接着防火墙和C的连接就建立了。
4:防火墙这个时候扮演C的角色发送一个SYN给S
5:S返回一个SYN给C
6:防火墙扮演C发送一个ACK确认包给S,这个时候防火墙和S的连接也就建立了
7:防火墙转发C和S间的数据
如果系统遭受SYN Flood,那么第三步就不会有,而且无论在防火墙还是S都不会收到相应在第一步的SYN包,所以我们就击退了这次SYN洪水攻击。
IP欺骗性攻击
DDOS攻击给运营商带来的损害
这种攻击利用RST位来实现。假设有一个合法用户(61.61.61.61)已经同建立了正常的连接,攻
击者构造攻击的TCP数据,伪装自己的IP为61.61.61.61,并向服务器发送一个带有RST位的TCP。服务器接收到这样的数据后,认为从61.61.61.61发送的连接有错误,就会清空中建立好的连接。这时,如果合法用户61.61.61.61再发送合法数据,就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击时,攻击者会伪造大量的,向目标发送RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。
UDP洪水攻击
攻击者利用简单的服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。
Ping洪流攻击
由于在早期的阶段,对包的最大尺寸都有限制。许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成。当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机。
teardrop攻击
是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
Land攻击原理是:用一个特别打造的SYN包,它的原地址和目标地址都被设置成某一个地址。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留,直到超时,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续5分钟)。
一个简单的原理就是:通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害的方式进行。最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致。它比ping of death洪水的流量高出1或2个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。
Fraggle攻击
原理:实际上就是对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP。
拒绝服务攻击属性分类
J.Mirkovic和P. Reiher [Mirkovic04]提出了拒绝服务攻击的属性分类法,即将攻击属性分为攻击静态属性、攻击动态属性和攻击交互属性三类,根据DoS攻击的这些属性的不同,就可以对攻击进行详细的分类。凡是在攻击开始前就已经确定,在一次连续的攻击中通常不会再发生改变的属性,称为攻击静态属性。攻击静态属性是由攻击者和攻击本身所确定的,是攻击基本的属性。那些在攻击过程中可以进行动态改变的属性,如攻击的目标选取、时间选择、使用源地址的方式,称为攻击动态属性。而那些不仅与攻击者相关而且与具体受害者的配置、检测与服务能力也有关系的属性,称为攻击交互属性。
攻击静态属性
攻击静态属性主要包括攻击控制模式、攻击通信模式、攻击技术原理、攻击协议和攻击协议层等。
(1)攻击控制方式
攻击直接关系到攻击源的隐蔽程度。根据攻击者控制攻击机的方式可以分为以下三个等级:直接控制方式(Direct)、间接控制方式(Indirect)和自动控制方式(Auto)。
最早的拒绝服务攻击通常是手工直接进行的,即对目标的确定、攻击的发起和中止都是由用户直接在攻击上进行手工操作的。这种攻击追踪起来相对容易,如果能对攻击包进行准确的追踪,通常就能找到攻击者所在的位置。由于直接控制方式存在的缺点和攻击者想要控制大量攻击机发起更大规模攻击的需求,攻击者开始构建的攻击网络。多层结构的攻击网络给针对这种攻击的追踪带来很大困难,受害者在追踪到攻击机之后,还需要从攻击机出发继续追踪控制器,如果攻击者到最后一层控制器之间存在多重时,还需要进行多次追踪才能最终找到攻击者,这种追踪不仅需要人工进行操作,耗费时间长,而且对技术也有很高的要求。这种攻击模式,是目前最常用的一种攻击模式。自动攻击方式,是在释放的或攻击程序中预先设定了攻击模式,使其在特定时刻对指定目标发起攻击。这种方式的攻击,从攻击机往往难以对攻击者进行追踪,但是这种的攻击对技术要求也很高。Mydoom蠕虫对SCO网站和Microsoft网站的攻击就属于第三种类型[TA04-028A]。
(2)攻击通信方式
在间接控制的攻击中,控制者和攻击机之间可以使用多种通信方式,它们之间使用的通信方式也是影响追踪难度的重要因素之一。攻击通信方式可以分为三种方式,分别是:双向通信方式(bi)、单向通信方式(mono)和间接通信方式(indirection)。
双向通信方式是指根据攻击端接收到的控制中包含了控制者的真实IP地址,例如当控制器使用TCP与攻击机连接时,该通信方式就是双向通信。这种通信方式,可以很容易地从攻击机查找到其上一级的控制器。
单向通信方式指的是攻击者向攻击机发送指令时的数据包并不包含发送者的真实地址信息,例如用伪造IP地址的UDP包向攻击机发送指令。这一类的攻击很难从攻击机查找到控制器,只有通过包标记等IP追踪手段,才有可能查找到给攻击机发送指令的机器的真实地址。但是,这种通信方式在控制上存在若干局限性,例如控制者难以得到攻击机的信息反馈和状态。
间接通信方式是一种通过第三者进行交换的双向通信方式,这种通信方式具有隐蔽性强、难以追踪、难以监控和过滤等特点,对攻击机的审计和追踪往往只能追溯到某个被用于通信中介的公用上就再难以继续进行。这种通信方式已发现的主要是通过IRC(Internet Relay Chat)进行通信[Jose Nazario],从2000年8月出现的名为Trinity的DDoS攻击工具开始,已经有多种DDoS攻击工具及采纳了这种通信方式。在基于IRC的傀儡网络中,若干攻击者连接到Internet上的某个IRC服务器上,并通过服务器的聊天程序向傀儡发送指令。
(3)攻击原理
DoS攻击原理主要分为两种,分别是:语义攻击(Semantic)和(Brute)。
语义攻击指的是利用目标系统实现时的缺陷和漏洞,对目标主机进行的拒绝服务攻击,这种攻击往往不需要攻击者具有很高的攻击带宽,有时只需要发送1个就可以达到攻击目的,对这种攻击的防范只需要修补系统中存在的缺陷即可。暴力攻击指的是不需要目标系统存在漏洞或缺陷,而是仅仅靠发送超过目标系统服务能力的服务请求数量来达到攻击的目的,也就是通常所说的风暴攻击。所以防御这类攻击必须借助于受害者上游等的帮助,对攻击数据进行过滤或分流。某些攻击方式,兼具语义和暴力两种攻击的特征,比如SYN风暴攻击,虽然利用了TCP协议本身的缺陷,但仍然需要攻击者发送大量的攻击请求,用户要防御这种攻击,不仅需要对系统本身进行增强,而且也需要增大资源的服务能力。还有一些攻击方式,是利用系统设计缺陷,产生比攻击者带宽更高的通信数据来进行暴力攻击的,如DNS请求攻击和Smurf攻击,参见4.2.3节以及文献[IN-2000-04]和[CA-1998-01]。这些攻击方式在对协议和系统进行改进后可以消除或减轻危害,所以可把它们归于语义攻击的范畴。
(4)攻击协议层
攻击所在的层可以分为以下四类:、网络层、和。
数据链路层的拒绝服务攻击[Convery] [Fischbach01][Fischbach02]受协议本身限制,只能发生在内部,这种类型的攻击比较少见。针对IP层的攻击主要是针对目标系统处理IP包时所出现的漏洞进行的,如IP[Anderson01],针对传输层的攻击在实际中出现较多,SYN风暴、ACK风暴等都是这类攻击,面向应用层的攻击也较多,剧毒包攻击中很多利用应用程序漏洞的(例如的攻击)都属于此类型。
(5)攻击协议
攻击所涉及的最高层的具体协议,如SMTP、ICMP、UDP、HTTP等。攻击所涉及的协议层越高,则受害者对攻击包进行分析所需消耗的计算资源就越大。
攻击动态属性
攻击动态属性主要包括攻击源地址类型、攻击包数据生成模式和攻击目标类型。
(1)攻击源地址类型
攻击者在攻击包中使用的源地址类型可以分为三种:真实地址(True)、伪造合法地址(Forge Legal)和伪造非法地址(Forge Illegal)。
攻击时攻击者可以使用合法的IP地址,也可以使用伪造的IP地址。伪造的IP地址可以使攻击者更容易逃避追踪,同时增大受害者对攻击包进行鉴别、过滤的难度,但某些类型的攻击必须使用真实的IP地址,例如连接耗尽攻击。使用真实IP地址的攻击方式由于易被追踪和防御等原因,近些年来使用比例逐渐下降。使用伪造IP地址的攻击又分为两种情况:一种是使用网络中已存在的IP地址,这种伪造方式也是反射攻击所必需的源地址类型;另外一种是使用网络中尚未分配或者是保留的IP地址(例如192.168.0.0/16、172.16.0.0/12等内部网络保留地址[RFC1918])。
(2)攻击包数据生成模式
攻击包中包含的数据信息模式主要有5种:不需要生成数据(None)、统一生成模式(Unique)、随机生成模式(Random)、字典模式(Dictionary)和生成函数模式(Function)。
在攻击者实施风暴式拒绝服务攻击时,攻击者需要发送大量的到目标,这些数据包所包含的数据信息载荷可以有多种生成模式,不同的生成模式对受害者在攻击包的检测和过滤能力方面有很大的影响。某些攻击包不需要包含载荷或者只需包含适当的固定的载荷,例如SYN风暴攻击和ACK风暴攻击,这两种攻击发送的数据包中的载荷都是空的,所以这种攻击是无法通过载荷进行分析的。但是对于另外一些类型的攻击包,就需要携带相应的载荷。
攻击包载荷的生成方式可以分为4种:第一种是发送带有相同载荷的包,这样的包由于带有明显的特征,很容易被检测出来。第二种是发送带有随机生成的载荷的包,这种随机生成的载荷虽然难以用的方式来检测,然而随机生成的载荷在某些应用中可能生成大量没有实际意义的包,这些没有意义的包也很容易被过滤掉,但是攻击者仍然可以精心设计载荷的随机生成方式,使得受害者只有解析到应用层协议才能识别出攻击数据包,从而增加了过滤的困难性。第三种方式是攻击者从若干有意义载荷的集合中按照某种规则每次取出一个填充到攻击包中,这种方式当集合的规模较小时,也比较容易被检测出来。最后一种方式是按照某种规则每次生成不同的载荷,这种方式依生成函数的不同,其检测的难度也是不同的。
(3)攻击目标类型
攻击目标类型可以分为以下6类:应用程序(Application)、系统(System)、网络(Critical)、网络(Network)、(Infrastructure)和(Internet)。
针对特定应用程序的攻击是较为常见的攻击方式,其中以剧毒包攻击较多,它包括针对特定程序的,利用应用程序漏洞进行的拒绝服务攻击,以及针对一类应用的,使用连接耗尽方式进行的拒绝服务攻击。针对系统的攻击也很常见,像SYN风暴、UDP风暴[CA-1996-01]以及可以导致、重启的剧毒包攻击都可以导致整个系统难以提供服务。针对网络关键资源的攻击包括对特定DNS、的攻击。而面向网络的攻击指的是将整个局域网的所有作为目标进行的攻击。针对网络基础设施的攻击需要攻击者拥有相当的资源和技术,攻击目标是根、、大型证书服务器等网络基础设施,这种攻击发生次数虽然不多,但一旦攻击成功,造成的损失是难以估量的[Naraine02]。针对Internet的攻击是指通过、病毒发起的,在整个Internet上蔓延并导致大量主机、网络拒绝服务的攻击,这种攻击的损失尤为严重。
拒绝服务攻击交互属性
攻击的动态属性不仅与攻击者的攻击方式、能力有关,也与受害者的能力有关。主要包括攻击的可检测程度和攻击影响。
(1)可检测程度
根据能否对攻击进行检测和过滤,受害者对攻击数据的检测能力从低到高分为以下三个等级:可过滤(Filterable)、有特征但无法过滤(Unfilterable)和无法识别(Noncharacterizable)。
第一种情况是,对于受害者来说,攻击包具有较为明显的可识别特征,而且通过过滤具有这些特征的数据包,可以有效地防御攻击,保证服务的持续进行。第二种情况是,对于受害者来说,攻击包虽然具有较为明显的可识别特征,但是如果过滤具有这些特征的,虽然可以阻断攻击包,但同时也会影响到服务的持续进行,从而无法从根本上防止拒绝服务。第三种情况是,对于受害者来说,攻击包与其他正常的数据包之间,没有明显的特征可以区分,也就是说,所有的包,在受害者看来,都是正常的。
(2)攻击影响
根据攻击对目标造成的破坏程度,攻击影响自低向高可以分为:无效(None)、服务降低(Degrade)、可自恢复的服务破坏(Self-recoverable)、可人工恢复的服务破坏(Manu-recoverable)以及不可恢复的服务破坏(Non-recoverable)。
如果目标系统在拒绝服务攻击发生时,仍然可以提供正常服务,则该攻击是无效的攻击。如果攻击能力不足以导致目标完全拒绝服务,但造成了目标的服务能力降低,这种效果称之为服务降低。而当攻击能力达到一定程度时,攻击就可以使目标完全丧失服务能力,称之为服务破坏。服务破坏又可以分为可恢复的服务破坏和不可恢复的服务破坏,网络拒绝服务攻击所造成的服务破坏通常都是可恢复的。一般来说,风暴型的DDoS攻击所导致的服务破坏都是可以自恢复的,当攻击数据流消失时,目标就可以恢复正常工作状态。而某些利用的攻击可以导致目标崩溃、重启,这时就需要对系统进行人工恢复;还有一些攻击利用目标系统的漏洞对目标的文件系统进行破坏,导致系统的关键数据丢失,往往会导致不可恢复的服务破坏,即使系统重新提供服务,仍然无法恢复到破坏之前的服务状态。
拒绝服务攻击动机
与其他类型的攻击一样,攻击者发起拒绝服务攻击的动机也是多种多样的,不同的时间和场合发生的、由不同的攻击者发起的、针对不同的受害者的攻击可能有着不同的目的。这里,把拒绝服务攻击的一些主要目的进行归纳。需要说明的是,这里列出的没有也不可能包含所有的攻击目的;同时,这些目的也不是排他性的,一次攻击事件可能会有着多重的目的。
作为练习手段
由于DoS攻击非常简单,还可以从网上直接进行自动攻击。因此,这种攻击可以被一些自认为是或者想要成为黑客而实际上是(Script Kiddies)的人用做练习攻击技术的手段。而其他的一些特权提升攻击(除通过等进行自动攻击外),通常都会或多或少地牵涉到一些技术性的东西,从而掌握起来会有一定的难度。
黑客们常常以能攻破某系统作为向同伴炫耀,提高在黑客社会中的可信度及知名度的资本,拒绝服务攻击虽然技术要求不是很高,有时也被一些人特别是一些“所谓的”黑客用来炫耀。
仇恨或报复
仇恨或报复也常常是攻击的动机。寻求报复通常都基于强烈的感情,攻击者可能竭尽所能地发起攻击,因而一般具有较大的破坏性。同时,拒绝服务攻击当是报复者的首选攻击方式,因为他们的目的主要是破坏而非对系统的控制或窃取信息。因仇恨而发起攻击的人员有:
前雇员,由于被解雇、下岗或者因为其他不愉快的原因辞职而感到不满的。
现雇员,感到其雇主应该提升自己、增加薪水或以其他方式承认其工作,而愿望没有得到满足的,尤其是哪些因为类似原因,打算辞职的。
现雇员,因为政治斗争、升职竞争等原因而恶意破坏他人工作成绩的。
外部人员,由于对公司充满仇恨,例如不满的客户或者竞争对手的雇员,他们可能希望损害公司的利益或者使其陷入困境。
外部人员,他们可能仇恨公司所雇用的某个人,这个人也许是前男/女朋友,前配偶等。
4.恶作剧或单纯为了破坏
有些系统的使用需要账户(用户名)和口令进行,而当以某个用户名登录时,如果口令连续错误的次数超过一定值,系统会锁定该账户,攻击者可以采用此方法实施对账户的拒绝服务攻击。此外,我们在现实生活中常常见到一些公共设施如通信电缆被恶意毁坏;在网络社会中,类似的情况也时有发生,这些攻击常常是为了恶作剧。
有的攻击者攻击系统是为了某种经济利益,无论是直接的还是间接的。比如A、B是两家相互竞争的依赖Internet做生意的公司,如果其中一个公司的服务质量降低或者顾客不能访问该公司的网络,顾客可能会转向另一家公司,则A就可能对B公司提供的网上服务实施拒绝服务攻击,在这里,攻击者A可以通过对B的攻击而获取经济利益。攻击者也可以受雇而发起攻击,例如在上例中,一些黑客可能受A的雇佣而攻击B的网络,类似的实际案例早有报道。
敲诈、勒索也逐渐成为了一些攻击者进行拒绝服务攻击的目的。由于拒绝服务攻击会导致较大的损失,一些攻击者以此作为敲诈勒索的手段。例如,2004年欧洲杯足球赛期间发生的一起针对一个赌博公司的敲诈案[BBC04],攻击者威胁说如果该公司不付钱就会攻击其网站,使之下线。在其他的重要体育赛事期间,也发生过多起类似的犯罪行为。
又如,Renaud Bidou在Black Hat USA 2005会议中介绍了一个以拒绝服务攻击进行敲诈勒索的例子。受害者是位于莫斯科的一个从事货币兑换的俄罗斯金融公司,受害者的业务都是从网上在线处理的。攻击者先用大约每秒150 000个的SYN风暴攻击受害者的(所有数据包指向同一个IP的同一个,即受害者关键业务所用的端口),攻击30分钟后,攻击者通过ICQ联系,要求受害者在36小时内支付指定数量的赎金,整个第一波攻击持续60分钟后停止。从第一波攻击开始起36小时后,由于没有收到赎金,攻击者发起了第二波攻击,在此次攻击中,攻击者从每秒50 000个数据包开始,按每5分钟以每秒50 000个数据包的力度递增,到20分钟时达到攻击的极限——每秒200 000个数据包,所有这些数据包都被受害者的SYNCookies措施所阻塞。第二波攻击的持续时间不长,到35分钟以后,受害者的业务得以恢复。
随着越来越多的受害者选择向妥协,以拒绝服务攻击进行敲诈勒索的案例越来越多。同时,由于拒绝服务攻击常常涉及超出国界的Internet连接,对拒绝服务攻击这种犯罪行为的起诉也比较困难,这进一步加剧了问题的严重性。
这类攻击的目的是对某种的表达或者压制他人的表达。如2001年5月间,由美国间谍飞机撞毁我巡逻机引发的,中美黑客之间的一场网络大战①,以及2003年战争期间美国与伊拉克黑客之间的发生的相互攻击对方国内网络的事件就属政治原因引起的(当然,拒绝服务攻击只是当时双方采取的攻击手段之一)。又比如,某银行贷款给一家公司用于在某处建一对环境污染严重的化工厂,环境保护主义者可能会攻击该银行,后果或者是导致该银行的损失,达到报复该银行的目的,或者是迫使该银行取消该项贷款,达到保护环境的目的。
在战争条件下,交战双方如果采取信息战的方式,则拒绝服务攻击就是最常用的战术手段之一。例如,1991年,在海湾战争开战前数周,美国特工买通了国际机场的工作人员,用带有病毒的芯片替换了运往伊拉克的打印机芯片。该病毒由设计,目的就是为了破坏的防空系统,从而为美方的空中打击创造有利条件。据一本名为《不战而胜:波斯湾战争中未揭露的历史》(Triumph without Victory: The Unreported History of the Persian Gulf War)的图书称,该病毒可以逃避层层安全检测,当病毒存在于计算机上时,每次伊拉克的技术人员开一个窗口访问信息的时候,其计算机屏幕上的信息就会消失。有报道称该病毒最后确实起作用了。这里,美方通过激发病毒使得伊拉克防空系统使用的打印机不能正常工作,就是一种拒绝服务攻击。
前面讨论的目的都是由拒绝服务攻击直接达到的,事实上,拒绝服务攻击还可以作为特权提升攻击、获得非法访问的一种辅助手段。这时候,拒绝服务攻击服从于其他攻击的目的。通常,攻击者不能单纯通过拒绝服务攻击获得对某些系统、信息的非法访问,但其可作为间接手段。
SYN风暴攻击可以用于IP劫持、IP欺骗等。当攻击者想要向B冒充C时,其通常需要C不能响应B的消息,为此,攻击者可以先攻击C(如果它是在线的)使其无法对B的消息进行响应。然后攻击者就可以通过窃听发向C的数据包,或者通过猜测发向C的数据包中的序列号等,然后冒充C与第三方通信。
一些系统在启动时会有漏洞,可以通过拒绝服务攻击使之重启,然后在该系统重启时针对漏洞进行攻击。如RARP-boot,如果能令其重启,就可以将其攻破。只需知道RARP-boot在引导时监听的(通常为69),通过向其发送伪造的几乎可以完全控制其引导(Boot)过程。
有些网络配置成当关闭时所有数据包都能通过(特别是对于那些提供服务比安全更加重要的场合,如普通的ISP),则可通过对防火墙的拒绝服务攻击使其失去作用达到非法访问受防火墙保护的网络的目的。
对Windows系统的大多数配置变动在生效前都需要重新启动系统。这么一来,如果攻击者已经获得了对系统的管理性特权的变动之后,可能需要采取拒绝服务攻击的手段使系统重启或者迫使系统的真正管理员重启系统,以便其改动的配置生效。
对DNS的拒绝服务攻击可以达到地址冒充的目的。起到的是把域名解析为IP地址的作用。攻击者可以通过把DNS致瘫,然后冒充DNS的域名解析,把错误的域名-IP地址的对应关系提供给用户,以便把用户(受害者)的指向错误的网站(如攻击者的网站),或者把受害者的邮件指向错误的(如攻击者的),这样,攻击者就达到了冒充其他域名的目的。攻击者的最终目的大致有两种:一是窃取受害者的信息,但客观上导致用户不能应用相应的服务,也构成拒绝服务攻击;二是拒绝服务攻击,如蓄意使用户不能访问需要的网站,不能发送邮件到需要的等。
拒绝服务攻击防止攻击
许多现代的UNIX允许管理员设置一些限制,如限制可以使用的最大内存、CPU时间以及可以生成的最大文件等。如果当前正在开发―个新的程序,而又不想偶然地使系统变得非常缓慢,或者使其它分享这台的用户无法使用,这些限制是很有用的。Korn Shell的ulimit命令和Shell的Iimit命令可以列出当前程的资源限制。
SYN Flood防御
前文描述过,SYN Flood攻击大量消耗服务器的CPU、内存资源,并占满SYN等待队列。相应的,我们修改内核参数即可有效缓解。主要参数如下:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_synack_retries = 2
分别为启用SYN Cookie、设置SYN最大队列长度以及设置SYN+ACK最大重试次数。
SYN Cookie的作用是缓解服务器资源压力。启用之前,服务器在接到SYN数据包后,立即分配存储空间,并随机化一个数字作为SYN号发送SYN+ACK数据包。然后保存连接的状态信息等待客户端确认。启用SYN Cookie之后,服务器不再分配存储空间,而且通过基于时间种子的随机数算法设置一个SYN号,替代完全随机的SYN号。发送完SYN+ACK确认报文之后,清空资源不保存任何状态信息。直到服务器接到客户端的最终ACK包,通过Cookie检验算法鉴定是否与发出去的SYN+ACK报文序列号匹配,匹配则通过完成握手,失败则丢弃。当然,前文的高级攻击中有SYN混合ACK的攻击方法,则是对此种防御方法的反击,其中优劣由双方的硬件配置决定
tcp_max_syn_backlog则是使用服务器的内存资源,换取更大的等待队列长度,让攻击数据包不至于占满所有连接而导致正常用户无法完成握手。net.ipv4.tcp_synack_retries是降低服务器SYN+ACK报文重试次数,尽快释放等待资源。这三种措施与攻击的三种危害一一对应,完完全全地对症下药。但这些措施也是双刃剑,可能消耗服务器更多的内存资源,甚至影响正常用户建立TCP连接,需要评估服务器硬件资源和攻击大小谨慎设置。
除了定制TCP/IP协议栈之外,还有一种常见做法是TCP首包丢弃方案,利用TCP协议的重传机制识别正常用户和攻击报文。当防御设备接到一个IP地址的SYN报文后,简单比对该IP是否存在于白名单中,存在则转发到后端。如不存在于白名单中,检查是否是该IP在一定时间段内的首次SYN报文,不是则检查是否重传报文,是重传则转发并加入白名单,不是则丢弃并加入黑名单。是首次SYN报文则丢弃并等待一段时间以试图接受该IP的SYN重传报文,等待超时则判定为攻击报文加入黑名单。
首包丢弃方案对用户体验会略有影响,因为丢弃首包重传会增大业务的响应时间,有鉴于此发展出了一种更优的TCP Proxy方案。所有的SYN数据报文由清洗设备接受,按照SYN Cookie方案处理。和设备成功建立了TCP三次握手的IP地址被判定为合法用户加入白名单,由设备伪装真实客户端IP地址再与真实服务器完成三次握手,随后转发数据。而指定时间内没有和设备完成三次握手的IP地址,被判定为恶意IP地址屏蔽一定时间。除了SYN Cookie结合TCP Proxy外,清洗设备还具备多种畸形TCP标志位数据包探测的能力,通过对SYN报文返回非预期应答测试客户端反应的方式来鉴别正常访问和恶意行为。
清洗设备的硬件具有特殊的网络处理器芯片和特别优化的操作系统、TCP/IP协议栈,可以处理非常巨大的流量和SYN队列。
HTTP Flood防御
HTTP Flood攻击防御主要通过缓存的方式进行,尽量由设备的缓存直接返回结果来保护后端业务。大型的互联网企业,会有庞大的CDN节点缓存内容。
当高级攻击者穿透缓存时,清洗设备会截获HTTP请求做特殊处理。最简单的方法就是对源IP的HTTP请求频率做统计,高于一定频率的IP地址加入黑名单。这种方法过于简单,容易带来误杀,并且无法屏蔽来自代理服务器的攻击,因此逐渐废止,取而代之的是JavaScript跳转人机识别方案。
HTTP Flood是由程序模拟HTTP请求,一般来说不会解析服务端返回数据,更不会解析JS之类代码。因此当清洗设备截获到HTTP请求时,返回一段特殊JavaScript代码,正常用户的浏览器会处理并正常跳转不影响使用,而攻击程序会攻击到空处。
DNS Flood防御
DNS攻击防御也有类似HTTP的防御手段,第一方案是缓存。其次是重发,可以是直接丢弃DNS报文导致UDP层面的请求重发,可以是返回特殊响应强制要求客户端使用TCP协议重发DNS查询请求。
特殊的,对于授权域DNS的保护,设备会在业务正常时期提取收到的DNS域名列表和ISP DNS IP列表备用,在攻击时,非此列表的请求一律丢弃,大幅降低性能压力。对于域名,实行同样的域名白名单机制,非白名单中的域名解析请求,做丢弃处理。
慢速连接攻击防
Slowloris攻击防御比较简单,主要方案有两个。
第一个是统计每个TCP连接的时长并计算单位时间内通过的报文数量即可做精确识别。一个TCP连接中,HTTP报文太少和报文太多都是不正常的,过少可能是慢速连接攻击,过多可能是使用HTTP 1.1协议进行的HTTP Flood攻击,在一个TCP连接中发送多个HTTP请求。
第二个是限制HTTP头部传输的最大许可时间。超过指定时间HTTP Header还没有传输完成,直接判定源IP地址为慢速连接攻击,中断连接并加入黑名单。
李禾,王述洋. 拒绝服务攻击/分布式拒绝服务攻击防范技术的研究[J]. 中国安全科学学报,2-136.
.51cto[引用日期]
本词条认证专家为
副教授审核
重庆第二师范学院数学与信息工程系
清除历史记录关闭}
>> 玩家激情分享 1小时抓30只鬼的攻略技巧
玩家激情分享 1小时抓30只鬼的攻略技巧
紧急爆料:凌波城完整游戏内截图大曝光
凌波城完整游戏内截图大曝光
但是&&&&
快&&&&&&&
2回合清完&一回合1分钟吧&&&我说的5回合&&1回合也许5秒钟&&&&
这30只鬼的时间就是省在这里了&&
30只鬼 就是驿站 领任务 找鬼的时间 杀
很快很快&&
说到这也许有人已经想明白了&&
我继续说具体方法&
第一回合封系封主
&&1回合不中可以2回合继续&&2回合不中&&不再封了&防&
清小的清小&&最佳效果是一回合清完
所以说魔王更好点 法系最好带速度 比小快才行 不让小出手
天宫 轰
其他的人和宝宝 注意&&其他全部的哦&&全部防御&&&&
二回合
天宫轰&&&其他全部 防御
我说的是最佳状态&&主封上了&小清完了&&&所以我说队伍配置有一点要求&&&但不高
不难要是这点都做不到&&那&&就别说什么了&
3回合&&&
天宫轰&&&大唐扫&&
其他全部防御&
4回合&
大唐扫&其他全部防御&
5回合&
大唐扫&&其他全部防御&
一直这样扫下去&
对&&我没说错&&主不出手&&队友全不出手&&&实际的效果就是&&&&大唐连扫&&&&&
嗨皮吧&&有成就感吧血腥暴力吧&&&&
有人能想像我说的&&&&每回合&多少时间&&&很短&很短&&&&&
我说的是理念&是方法&&实际要看队伍和运气
最好的配置&最好的状况运气好的情况&
鬼都是好找的&僵尸牛头少&双封封系1次中&&清小的一回合清&没小出手&&&天宫轰的中&&&大唐伤害够高&&&&
30个很轻松&&&&&&&很轻松&&&&往上无极限&&&&
运气不好&&&
25个没什么问题的&&&25个对于平常的鬼队&要什么队伍&什么配置&&&什么运气&大家都明白&&
大体意思就是这样&&具体操作还可以看实际&&
真有个超牛的宝宝&超高的宠修也可以出手一下俩下的,攻的或是单法的高驱的&&&自己试试&就知道哪样省时间了&&
高速路修出来了
开宾利都能走&&&&给大家修的是高速公路&&总比田间小道开车快&&&具体怎么开&&60迈肯定要过&&管你一手握方向盘&还是2只手握&&&&
这样捉鬼&&&应该算是双倍3倍4倍很高的利用了&&&天宫盘丝不大力又怎样&&一样能组队&&&
本文由玩家&莫莫&原创发布,转载请注明作者及出处,并于文首保留此行。
进入论坛原帖讨论:
&原创发布,转载请注明作者及出处,并于文首保留此行。
进入论坛原帖讨论:
<button onclick='javascript:var _title=document.var _url=document.location.if( document.all ) {var _text=_title+" - "+ _clipboardData.setData("Text",_text);this.innerHTML="已经复制成功,请用 Ctrl+V 粘贴";}'>点击复制文章地址,推荐给QQ和MSN上的朋友
看完本文后有何评价?
已有0人评价,点选表情后可看到其他玩家的表态。
<span onclick='javascript:if(document.all){clipboardData.setData("Text",location.href);this.innerHTML="[文章地址已复制]";}'
class="btn">[与更多人共享]
近期热门资料
计算器/模拟器
友情链接: |DDOS攻击是什么鬼?是无解的吗?看一下十几种常见DDOS攻击原理DDOS攻击是什么鬼?是无解的吗?看一下十几种常见DDOS攻击原理帆鸿福百家号互联网的快速发展,也DDOS攻击日益猖獗和便利,从原来的的兆单位到如今G单位和百G单位的流量攻击,使得DDOS攻击已经成为不可忽视的网络安全课题。DDOS攻击:中文全称分布式拒绝服务攻击,英文全写Distributed Denial of Service。我把DDOS攻击按攻击方式划分为三类,一类带宽阻塞型攻击,超量的数据包将服务器或服务器群的出口造成阻塞,使正常的访问无法进入或访问目标服务缓慢;二类是资源耗尽型攻击,通过各种数据包消耗系统资源,如连接、磁盘存储、内存等,从而正常用户的服务访问不能正常进行;三类是畸形包攻击,利用畸形的报文使目标主机在收到报文后读取报文内容时产生崩溃。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存磁盘大大增加,网络带宽也增加迅速,这使得DoS攻击的困难程度加大了。这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。DDoS就是利用更多的傀儡机来发起进攻,比从前更大的规模来进攻受害者。DDOS攻击由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题之一,给网络社会带来了极大的危害。同时,拒绝服务攻击也将是未来信息战的重要手段之一。分布式拒绝服务(DDoS)攻击中的分布式的意思是借助于客户/服务器(C/S)技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,使用各自方式将被控代理程序安装在Internet上的许多计算机(通常所说的‘肉鸡’)上,在一个设定的时间点上主控程序将与大量代理程序通讯,激活代理程序,代理程序收到指令时就发动攻击。就目前的技术而讲,主控程序能在几秒钟内激活成百上千次代理程序的运行,按照攻击者发出的指令进行攻击。大多数代理程序发出的攻击流量从被攻击者的角度来看与正常流量差别不明显,这就造成防范DDOS攻击十分的困难。上面讲了一下DDOS攻击是什么,下面讲一下常见的DDOS攻击的攻击原理。Syn flood:利用了TCP三次握手中的弱点。具体的方法是:攻击主机向目标主机发出SYN报文发起TCP连接,但是攻击主机并不回复最后一个ack报文,使得TCP握手无法完成,而目标主机在TCP握手中需要分配资源维持这些未完成的连接,当这样的连接到达一定数目后,目标主机就无法再响应其他的连接请求。构造出Synflood报文比较容易,只要将syn位置1,然后连接目标主机的某个可用服务的端口即可。Udp flood:由于UDP协议是无连接的,因此它不可能占用目标主机的连接数,而只是通过发送大量UDP报文占用目标主机的带宽。通常情况下可以认为这是一种自杀式的攻击,因为在发送报文的过程中,不仅目标主机带宽被占用,发包主机的带宽也会收到严重的影响。构造udpflood报文不需要很特殊的置位,只要在同一时间内发送足够多数量的UDP报文就可以形成。ICMP flood:原理同UDPflood,不同的是报文中装载的是ICMP报文。CC攻击:向受害者发起大量HTTP Get/Post请求,主要请求动态页面,涉及到数据库访问操作,消耗受害者服务器有效资源,从而无法响应正常的请求。IPsweep:严格的说,IPsweep并不能算是正式的攻击,IPsweep的过程只是向各个地址发送ping包等待回应,用以探测网络中存活的主机,从而为下一步的攻击做准备。Portscan:一种端口扫描方式。其方法是对指定目标的端口发送SYN报文发起TCP连接,如果主机返回的是SYN+ACK,那么表示这个端口上有相应的服务开放,如果主机返回的是RST,那么说明这个端口没有服务在监听。Land:在Land攻击中主要运用了两种手段:IP欺骗和SYNflood。Land攻击的原理是在IP首部将目标主机的IP同时填写为源地址和目的地址,然后再封装一个SYN的TCP报文发送出去,这样,收到报文的主机要向源地址响应SYN并且维持一个未完成的连接,而源地址又是它本身,因此这样循环进行下去后会最终造成主机资源耗尽无法响应请求。Smurf:Smurf攻击是一种综合了IP欺骗和洪泛攻击的攻击手段。首先,报文的内容被构造成需要回应的特定请求(如ICMP request),而报文的源地址被伪造成要攻击的目标主机,收到该报文的主机将会对报文发起响应(如ICMP reply),而响应报文就会全部发送到伪造的源地址。通常情况下为了产生更大的报文流量,目标地址会构造成某个子网的广播地址,这样只要发送一个报文就能产生一个子网的流量,使攻击的效果更加明显。相比于传统的洪泛攻击,smurf攻击不占据自己的带宽,并且有利于隐藏自己的地址。PING of death:正常的IP报文长度不能超过65535字节,这是由IP首部的16位长度字段决定的,收到超过65535字节的IP报文系统会出错。但是由于IP分片和偏移量的存在,使得我们可以够造出超过65535字节的IP报文。首先,13位的偏移量其最大值为8191,也就是说它所能表示最大的偏移量是65528,同时我们知道IP分片的最后一个报文是没有偏移量的,但是每个报文有各自的报文长度。那么分片报文到达目的后需要进行重组,重组后的IP报文长度就是用最大的一个偏移量加上最后一个报文的长度,虽然偏移量限定在65528,但是单个报文长度却可以做得很大,例如1000,那么最后得到重组的报文长度就是=66528,超出了65535的限制,那么收到这样的报文的主机就有可能产生崩溃死机等情况。WinNuke:针对windows系统的DoS攻击。攻击报文中将URG置位,同时将目标端口设为139端口,139端口是netbios协议的端口,当这样一份报文发送到目标主机后,会产生netbios的碎片重叠,导致主机崩溃。Ip option攻击:IP option是IP报文首部的可选信息,其中可以带有调试控制信息,也可以带有一些路由信息或安全性的信息,但是事实上IP选项信息在通信中基本是不需要的,一般的路由器接收到它们后都会选择丢弃,而IP选项如果配置错误——例如配置不完整,字段残缺——收到报文的主机会出现错误。TearDrop:利用IP碎片重组的攻击。在IP报头中的偏移量字段,它本身表示的是该分片相对于未分片的报文的数据的偏移量,假如收到的报文中,第二个分片的报文的偏移量小于它前一个报文的长度,在进行分片重组时会消耗主机巨大的资源,造成不能响应正常的服务。Targa3:向目标主机发送长度、标识、地址、端口等都随机的碎片报文,令目标主机的协议栈在处理这些不规范数据的时候产生崩溃,影响正常服务的提供。IP欺骗:构造数据报文时将IP首部的源地址进行修改,变成其他的IP地址,这种手段通常作为一些攻击的辅助手段进行,隐藏自己的地址,同时将攻击引导到目标主机上,一个典型的应用就是smurf攻击。PS:DDOS攻击流量多种多样,很多DDOS攻击不是预设防御策略所能够防范的,一般情况下是发现攻击后人为的分析攻击包特征,针对性的进行防御。本文仅代表作者观点,不代表百度立场。系作者授权百家号发表,未经许可不得转载。帆鸿福百家号最近更新:简介:本人有丰富的写作经验。作者最新文章相关文章拒绝服务攻击_百度百科
清除历史记录关闭
声明:百科词条人人可编辑,词条创建和修改均免费,绝不存在官方及代理商付费代编,请勿上当受骗。
拒绝服务攻击
拒绝服务攻击即是攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。其实对进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为本身的安全缺陷,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让实现两种效果:一是迫使服务器的满,不接收新的请求;二是使用IP欺骗,迫使服务器把非法用户的连接复位,影响合法用户的连接。
拒绝服务攻击基本概念
拒绝服务攻击,英文名称是Denial of Service,简称DOS,即拒绝服务,造成其攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽, 最后导致合法的用户请求无法通过。
连通性攻击指用大量的连接请求冲击,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。常用攻击手段有:同步洪流、WinNuke、死亡之PNG、Echl攻击、ICMP/SMURF、Finger炸弹、Land攻击、Ping洪流、Rwhod、tearDrop、TARGA3、UDP攻击、OOB等。
拒绝服务攻击原理
SYN Flood是当前最流行的(拒绝服务攻击)与(Distributed Denial Of Service)的方式之一,这是一种利用缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或)的攻击方式。
SYN Flood攻击的过程在TCP协议中被称为(Three-way Handshake),而SYN Flood拒绝服务
典型的分布式拒绝服务攻击网络结构图
攻击就是通过三次握手而实现的。
(1) 攻击者向被攻击发送一个包含SYN标志的TCP,SYN(Synchronize)即同步报文。同步报文会指明客户端使用的以及TCP连接的初始序号。这时同被攻击服务器建立了第一次握手。
(2) 受害服务器在收到攻击者的SYN报文后,将返回一个SYN+ACK的报文,表示攻击者的请求被接受,同时TCP序号被加一,ACK(Acknowledgment)即确认,这样就同被攻击服务器建立了。
(3) 攻击者也返回一个确认ACK给受害,同样TCP被加一,到此一个TCP连接完成,完成。
具体原理是:TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服
分布式拒绝服务攻击网络结构图
务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒~2分钟);一个用户出现异常导致的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址),服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保存并遍历也会消耗非常多的时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的栈不够强大,最后的结果往往是崩溃—— 即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况就称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
SYN COOKIE 是SYN cookie的一个扩展,SYN cookie是建立在TCP堆栈上的,他为linux操作系统提供保护。SYN cookie防火墙是linux的 一大特色,你可以使用一个防火墙来保护你的网络以避免遭受SYN。
下面是SYN cookie防火墙的原理
client firewall server
------ ---------- ------
1. SYN----------- - - - - - - - - - -&
2. &------------SYN-ACK(cookie)
3. ACK----------- - - - - - - - - - -&
4. - - - - - - -SYN---------------&
5. &- - - - - - - - - ------------SYN-ACK
6. - - - - - - -ACK---------------&
7. -----------& relay the -------&
&----------- connection &-------
1:一个SYN包从C发送到S
2:在这里扮演了S的角色来回应一个带SYN cookie的SYN-ACK包给C
3:C发送ACK包,接着防火墙和C的连接就建立了。
4:防火墙这个时候扮演C的角色发送一个SYN给S
5:S返回一个SYN给C
6:防火墙扮演C发送一个ACK确认包给S,这个时候防火墙和S的连接也就建立了
7:防火墙转发C和S间的数据
如果系统遭受SYN Flood,那么第三步就不会有,而且无论在防火墙还是S都不会收到相应在第一步的SYN包,所以我们就击退了这次SYN洪水攻击。
IP欺骗性攻击
DDOS攻击给运营商带来的损害
这种攻击利用RST位来实现。假设有一个合法用户(61.61.61.61)已经同建立了正常的连接,攻
击者构造攻击的TCP数据,伪装自己的IP为61.61.61.61,并向服务器发送一个带有RST位的TCP。服务器接收到这样的数据后,认为从61.61.61.61发送的连接有错误,就会清空中建立好的连接。这时,如果合法用户61.61.61.61再发送合法数据,就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击时,攻击者会伪造大量的,向目标发送RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。
UDP洪水攻击
攻击者利用简单的服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。
Ping洪流攻击
由于在早期的阶段,对包的最大尺寸都有限制。许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成。当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机。
teardrop攻击
是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
Land攻击原理是:用一个特别打造的SYN包,它的原地址和目标地址都被设置成某一个地址。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留,直到超时,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续5分钟)。
一个简单的原理就是:通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害的方式进行。最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致。它比ping of death洪水的流量高出1或2个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。
Fraggle攻击
原理:实际上就是对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP。
拒绝服务攻击属性分类
J.Mirkovic和P. Reiher [Mirkovic04]提出了拒绝服务攻击的属性分类法,即将攻击属性分为攻击静态属性、攻击动态属性和攻击交互属性三类,根据DoS攻击的这些属性的不同,就可以对攻击进行详细的分类。凡是在攻击开始前就已经确定,在一次连续的攻击中通常不会再发生改变的属性,称为攻击静态属性。攻击静态属性是由攻击者和攻击本身所确定的,是攻击基本的属性。那些在攻击过程中可以进行动态改变的属性,如攻击的目标选取、时间选择、使用源地址的方式,称为攻击动态属性。而那些不仅与攻击者相关而且与具体受害者的配置、检测与服务能力也有关系的属性,称为攻击交互属性。
攻击静态属性
攻击静态属性主要包括攻击控制模式、攻击通信模式、攻击技术原理、攻击协议和攻击协议层等。
(1)攻击控制方式
攻击直接关系到攻击源的隐蔽程度。根据攻击者控制攻击机的方式可以分为以下三个等级:直接控制方式(Direct)、间接控制方式(Indirect)和自动控制方式(Auto)。
最早的拒绝服务攻击通常是手工直接进行的,即对目标的确定、攻击的发起和中止都是由用户直接在攻击上进行手工操作的。这种攻击追踪起来相对容易,如果能对攻击包进行准确的追踪,通常就能找到攻击者所在的位置。由于直接控制方式存在的缺点和攻击者想要控制大量攻击机发起更大规模攻击的需求,攻击者开始构建的攻击网络。多层结构的攻击网络给针对这种攻击的追踪带来很大困难,受害者在追踪到攻击机之后,还需要从攻击机出发继续追踪控制器,如果攻击者到最后一层控制器之间存在多重时,还需要进行多次追踪才能最终找到攻击者,这种追踪不仅需要人工进行操作,耗费时间长,而且对技术也有很高的要求。这种攻击模式,是目前最常用的一种攻击模式。自动攻击方式,是在释放的或攻击程序中预先设定了攻击模式,使其在特定时刻对指定目标发起攻击。这种方式的攻击,从攻击机往往难以对攻击者进行追踪,但是这种的攻击对技术要求也很高。Mydoom蠕虫对SCO网站和Microsoft网站的攻击就属于第三种类型[TA04-028A]。
(2)攻击通信方式
在间接控制的攻击中,控制者和攻击机之间可以使用多种通信方式,它们之间使用的通信方式也是影响追踪难度的重要因素之一。攻击通信方式可以分为三种方式,分别是:双向通信方式(bi)、单向通信方式(mono)和间接通信方式(indirection)。
双向通信方式是指根据攻击端接收到的控制中包含了控制者的真实IP地址,例如当控制器使用TCP与攻击机连接时,该通信方式就是双向通信。这种通信方式,可以很容易地从攻击机查找到其上一级的控制器。
单向通信方式指的是攻击者向攻击机发送指令时的数据包并不包含发送者的真实地址信息,例如用伪造IP地址的UDP包向攻击机发送指令。这一类的攻击很难从攻击机查找到控制器,只有通过包标记等IP追踪手段,才有可能查找到给攻击机发送指令的机器的真实地址。但是,这种通信方式在控制上存在若干局限性,例如控制者难以得到攻击机的信息反馈和状态。
间接通信方式是一种通过第三者进行交换的双向通信方式,这种通信方式具有隐蔽性强、难以追踪、难以监控和过滤等特点,对攻击机的审计和追踪往往只能追溯到某个被用于通信中介的公用上就再难以继续进行。这种通信方式已发现的主要是通过IRC(Internet Relay Chat)进行通信[Jose Nazario],从2000年8月出现的名为Trinity的DDoS攻击工具开始,已经有多种DDoS攻击工具及采纳了这种通信方式。在基于IRC的傀儡网络中,若干攻击者连接到Internet上的某个IRC服务器上,并通过服务器的聊天程序向傀儡发送指令。
(3)攻击原理
DoS攻击原理主要分为两种,分别是:语义攻击(Semantic)和(Brute)。
语义攻击指的是利用目标系统实现时的缺陷和漏洞,对目标主机进行的拒绝服务攻击,这种攻击往往不需要攻击者具有很高的攻击带宽,有时只需要发送1个就可以达到攻击目的,对这种攻击的防范只需要修补系统中存在的缺陷即可。暴力攻击指的是不需要目标系统存在漏洞或缺陷,而是仅仅靠发送超过目标系统服务能力的服务请求数量来达到攻击的目的,也就是通常所说的风暴攻击。所以防御这类攻击必须借助于受害者上游等的帮助,对攻击数据进行过滤或分流。某些攻击方式,兼具语义和暴力两种攻击的特征,比如SYN风暴攻击,虽然利用了TCP协议本身的缺陷,但仍然需要攻击者发送大量的攻击请求,用户要防御这种攻击,不仅需要对系统本身进行增强,而且也需要增大资源的服务能力。还有一些攻击方式,是利用系统设计缺陷,产生比攻击者带宽更高的通信数据来进行暴力攻击的,如DNS请求攻击和Smurf攻击,参见4.2.3节以及文献[IN-2000-04]和[CA-1998-01]。这些攻击方式在对协议和系统进行改进后可以消除或减轻危害,所以可把它们归于语义攻击的范畴。
(4)攻击协议层
攻击所在的层可以分为以下四类:、网络层、和。
数据链路层的拒绝服务攻击[Convery] [Fischbach01][Fischbach02]受协议本身限制,只能发生在内部,这种类型的攻击比较少见。针对IP层的攻击主要是针对目标系统处理IP包时所出现的漏洞进行的,如IP[Anderson01],针对传输层的攻击在实际中出现较多,SYN风暴、ACK风暴等都是这类攻击,面向应用层的攻击也较多,剧毒包攻击中很多利用应用程序漏洞的(例如的攻击)都属于此类型。
(5)攻击协议
攻击所涉及的最高层的具体协议,如SMTP、ICMP、UDP、HTTP等。攻击所涉及的协议层越高,则受害者对攻击包进行分析所需消耗的计算资源就越大。
攻击动态属性
攻击动态属性主要包括攻击源地址类型、攻击包数据生成模式和攻击目标类型。
(1)攻击源地址类型
攻击者在攻击包中使用的源地址类型可以分为三种:真实地址(True)、伪造合法地址(Forge Legal)和伪造非法地址(Forge Illegal)。
攻击时攻击者可以使用合法的IP地址,也可以使用伪造的IP地址。伪造的IP地址可以使攻击者更容易逃避追踪,同时增大受害者对攻击包进行鉴别、过滤的难度,但某些类型的攻击必须使用真实的IP地址,例如连接耗尽攻击。使用真实IP地址的攻击方式由于易被追踪和防御等原因,近些年来使用比例逐渐下降。使用伪造IP地址的攻击又分为两种情况:一种是使用网络中已存在的IP地址,这种伪造方式也是反射攻击所必需的源地址类型;另外一种是使用网络中尚未分配或者是保留的IP地址(例如192.168.0.0/16、172.16.0.0/12等内部网络保留地址[RFC1918])。
(2)攻击包数据生成模式
攻击包中包含的数据信息模式主要有5种:不需要生成数据(None)、统一生成模式(Unique)、随机生成模式(Random)、字典模式(Dictionary)和生成函数模式(Function)。
在攻击者实施风暴式拒绝服务攻击时,攻击者需要发送大量的到目标,这些数据包所包含的数据信息载荷可以有多种生成模式,不同的生成模式对受害者在攻击包的检测和过滤能力方面有很大的影响。某些攻击包不需要包含载荷或者只需包含适当的固定的载荷,例如SYN风暴攻击和ACK风暴攻击,这两种攻击发送的数据包中的载荷都是空的,所以这种攻击是无法通过载荷进行分析的。但是对于另外一些类型的攻击包,就需要携带相应的载荷。
攻击包载荷的生成方式可以分为4种:第一种是发送带有相同载荷的包,这样的包由于带有明显的特征,很容易被检测出来。第二种是发送带有随机生成的载荷的包,这种随机生成的载荷虽然难以用的方式来检测,然而随机生成的载荷在某些应用中可能生成大量没有实际意义的包,这些没有意义的包也很容易被过滤掉,但是攻击者仍然可以精心设计载荷的随机生成方式,使得受害者只有解析到应用层协议才能识别出攻击数据包,从而增加了过滤的困难性。第三种方式是攻击者从若干有意义载荷的集合中按照某种规则每次取出一个填充到攻击包中,这种方式当集合的规模较小时,也比较容易被检测出来。最后一种方式是按照某种规则每次生成不同的载荷,这种方式依生成函数的不同,其检测的难度也是不同的。
(3)攻击目标类型
攻击目标类型可以分为以下6类:应用程序(Application)、系统(System)、网络(Critical)、网络(Network)、(Infrastructure)和(Internet)。
针对特定应用程序的攻击是较为常见的攻击方式,其中以剧毒包攻击较多,它包括针对特定程序的,利用应用程序漏洞进行的拒绝服务攻击,以及针对一类应用的,使用连接耗尽方式进行的拒绝服务攻击。针对系统的攻击也很常见,像SYN风暴、UDP风暴[CA-1996-01]以及可以导致、重启的剧毒包攻击都可以导致整个系统难以提供服务。针对网络关键资源的攻击包括对特定DNS、的攻击。而面向网络的攻击指的是将整个局域网的所有作为目标进行的攻击。针对网络基础设施的攻击需要攻击者拥有相当的资源和技术,攻击目标是根、、大型证书服务器等网络基础设施,这种攻击发生次数虽然不多,但一旦攻击成功,造成的损失是难以估量的[Naraine02]。针对Internet的攻击是指通过、病毒发起的,在整个Internet上蔓延并导致大量主机、网络拒绝服务的攻击,这种攻击的损失尤为严重。
拒绝服务攻击交互属性
攻击的动态属性不仅与攻击者的攻击方式、能力有关,也与受害者的能力有关。主要包括攻击的可检测程度和攻击影响。
(1)可检测程度
根据能否对攻击进行检测和过滤,受害者对攻击数据的检测能力从低到高分为以下三个等级:可过滤(Filterable)、有特征但无法过滤(Unfilterable)和无法识别(Noncharacterizable)。
第一种情况是,对于受害者来说,攻击包具有较为明显的可识别特征,而且通过过滤具有这些特征的数据包,可以有效地防御攻击,保证服务的持续进行。第二种情况是,对于受害者来说,攻击包虽然具有较为明显的可识别特征,但是如果过滤具有这些特征的,虽然可以阻断攻击包,但同时也会影响到服务的持续进行,从而无法从根本上防止拒绝服务。第三种情况是,对于受害者来说,攻击包与其他正常的数据包之间,没有明显的特征可以区分,也就是说,所有的包,在受害者看来,都是正常的。
(2)攻击影响
根据攻击对目标造成的破坏程度,攻击影响自低向高可以分为:无效(None)、服务降低(Degrade)、可自恢复的服务破坏(Self-recoverable)、可人工恢复的服务破坏(Manu-recoverable)以及不可恢复的服务破坏(Non-recoverable)。
如果目标系统在拒绝服务攻击发生时,仍然可以提供正常服务,则该攻击是无效的攻击。如果攻击能力不足以导致目标完全拒绝服务,但造成了目标的服务能力降低,这种效果称之为服务降低。而当攻击能力达到一定程度时,攻击就可以使目标完全丧失服务能力,称之为服务破坏。服务破坏又可以分为可恢复的服务破坏和不可恢复的服务破坏,网络拒绝服务攻击所造成的服务破坏通常都是可恢复的。一般来说,风暴型的DDoS攻击所导致的服务破坏都是可以自恢复的,当攻击数据流消失时,目标就可以恢复正常工作状态。而某些利用的攻击可以导致目标崩溃、重启,这时就需要对系统进行人工恢复;还有一些攻击利用目标系统的漏洞对目标的文件系统进行破坏,导致系统的关键数据丢失,往往会导致不可恢复的服务破坏,即使系统重新提供服务,仍然无法恢复到破坏之前的服务状态。
拒绝服务攻击动机
与其他类型的攻击一样,攻击者发起拒绝服务攻击的动机也是多种多样的,不同的时间和场合发生的、由不同的攻击者发起的、针对不同的受害者的攻击可能有着不同的目的。这里,把拒绝服务攻击的一些主要目的进行归纳。需要说明的是,这里列出的没有也不可能包含所有的攻击目的;同时,这些目的也不是排他性的,一次攻击事件可能会有着多重的目的。
作为练习手段
由于DoS攻击非常简单,还可以从网上直接进行自动攻击。因此,这种攻击可以被一些自认为是或者想要成为黑客而实际上是(Script Kiddies)的人用做练习攻击技术的手段。而其他的一些特权提升攻击(除通过等进行自动攻击外),通常都会或多或少地牵涉到一些技术性的东西,从而掌握起来会有一定的难度。
黑客们常常以能攻破某系统作为向同伴炫耀,提高在黑客社会中的可信度及知名度的资本,拒绝服务攻击虽然技术要求不是很高,有时也被一些人特别是一些“所谓的”黑客用来炫耀。
仇恨或报复
仇恨或报复也常常是攻击的动机。寻求报复通常都基于强烈的感情,攻击者可能竭尽所能地发起攻击,因而一般具有较大的破坏性。同时,拒绝服务攻击当是报复者的首选攻击方式,因为他们的目的主要是破坏而非对系统的控制或窃取信息。因仇恨而发起攻击的人员有:
前雇员,由于被解雇、下岗或者因为其他不愉快的原因辞职而感到不满的。
现雇员,感到其雇主应该提升自己、增加薪水或以其他方式承认其工作,而愿望没有得到满足的,尤其是哪些因为类似原因,打算辞职的。
现雇员,因为政治斗争、升职竞争等原因而恶意破坏他人工作成绩的。
外部人员,由于对公司充满仇恨,例如不满的客户或者竞争对手的雇员,他们可能希望损害公司的利益或者使其陷入困境。
外部人员,他们可能仇恨公司所雇用的某个人,这个人也许是前男/女朋友,前配偶等。
4.恶作剧或单纯为了破坏
有些系统的使用需要账户(用户名)和口令进行,而当以某个用户名登录时,如果口令连续错误的次数超过一定值,系统会锁定该账户,攻击者可以采用此方法实施对账户的拒绝服务攻击。此外,我们在现实生活中常常见到一些公共设施如通信电缆被恶意毁坏;在网络社会中,类似的情况也时有发生,这些攻击常常是为了恶作剧。
有的攻击者攻击系统是为了某种经济利益,无论是直接的还是间接的。比如A、B是两家相互竞争的依赖Internet做生意的公司,如果其中一个公司的服务质量降低或者顾客不能访问该公司的网络,顾客可能会转向另一家公司,则A就可能对B公司提供的网上服务实施拒绝服务攻击,在这里,攻击者A可以通过对B的攻击而获取经济利益。攻击者也可以受雇而发起攻击,例如在上例中,一些黑客可能受A的雇佣而攻击B的网络,类似的实际案例早有报道。
敲诈、勒索也逐渐成为了一些攻击者进行拒绝服务攻击的目的。由于拒绝服务攻击会导致较大的损失,一些攻击者以此作为敲诈勒索的手段。例如,2004年欧洲杯足球赛期间发生的一起针对一个赌博公司的敲诈案[BBC04],攻击者威胁说如果该公司不付钱就会攻击其网站,使之下线。在其他的重要体育赛事期间,也发生过多起类似的犯罪行为。
又如,Renaud Bidou在Black Hat USA 2005会议中介绍了一个以拒绝服务攻击进行敲诈勒索的例子。受害者是位于莫斯科的一个从事货币兑换的俄罗斯金融公司,受害者的业务都是从网上在线处理的。攻击者先用大约每秒150 000个的SYN风暴攻击受害者的(所有数据包指向同一个IP的同一个,即受害者关键业务所用的端口),攻击30分钟后,攻击者通过ICQ联系,要求受害者在36小时内支付指定数量的赎金,整个第一波攻击持续60分钟后停止。从第一波攻击开始起36小时后,由于没有收到赎金,攻击者发起了第二波攻击,在此次攻击中,攻击者从每秒50 000个数据包开始,按每5分钟以每秒50 000个数据包的力度递增,到20分钟时达到攻击的极限——每秒200 000个数据包,所有这些数据包都被受害者的SYNCookies措施所阻塞。第二波攻击的持续时间不长,到35分钟以后,受害者的业务得以恢复。
随着越来越多的受害者选择向妥协,以拒绝服务攻击进行敲诈勒索的案例越来越多。同时,由于拒绝服务攻击常常涉及超出国界的Internet连接,对拒绝服务攻击这种犯罪行为的起诉也比较困难,这进一步加剧了问题的严重性。
这类攻击的目的是对某种的表达或者压制他人的表达。如2001年5月间,由美国间谍飞机撞毁我巡逻机引发的,中美黑客之间的一场网络大战①,以及2003年战争期间美国与伊拉克黑客之间的发生的相互攻击对方国内网络的事件就属政治原因引起的(当然,拒绝服务攻击只是当时双方采取的攻击手段之一)。又比如,某银行贷款给一家公司用于在某处建一对环境污染严重的化工厂,环境保护主义者可能会攻击该银行,后果或者是导致该银行的损失,达到报复该银行的目的,或者是迫使该银行取消该项贷款,达到保护环境的目的。
在战争条件下,交战双方如果采取信息战的方式,则拒绝服务攻击就是最常用的战术手段之一。例如,1991年,在海湾战争开战前数周,美国特工买通了国际机场的工作人员,用带有病毒的芯片替换了运往伊拉克的打印机芯片。该病毒由设计,目的就是为了破坏的防空系统,从而为美方的空中打击创造有利条件。据一本名为《不战而胜:波斯湾战争中未揭露的历史》(Triumph without Victory: The Unreported History of the Persian Gulf War)的图书称,该病毒可以逃避层层安全检测,当病毒存在于计算机上时,每次伊拉克的技术人员开一个窗口访问信息的时候,其计算机屏幕上的信息就会消失。有报道称该病毒最后确实起作用了。这里,美方通过激发病毒使得伊拉克防空系统使用的打印机不能正常工作,就是一种拒绝服务攻击。
前面讨论的目的都是由拒绝服务攻击直接达到的,事实上,拒绝服务攻击还可以作为特权提升攻击、获得非法访问的一种辅助手段。这时候,拒绝服务攻击服从于其他攻击的目的。通常,攻击者不能单纯通过拒绝服务攻击获得对某些系统、信息的非法访问,但其可作为间接手段。
SYN风暴攻击可以用于IP劫持、IP欺骗等。当攻击者想要向B冒充C时,其通常需要C不能响应B的消息,为此,攻击者可以先攻击C(如果它是在线的)使其无法对B的消息进行响应。然后攻击者就可以通过窃听发向C的数据包,或者通过猜测发向C的数据包中的序列号等,然后冒充C与第三方通信。
一些系统在启动时会有漏洞,可以通过拒绝服务攻击使之重启,然后在该系统重启时针对漏洞进行攻击。如RARP-boot,如果能令其重启,就可以将其攻破。只需知道RARP-boot在引导时监听的(通常为69),通过向其发送伪造的几乎可以完全控制其引导(Boot)过程。
有些网络配置成当关闭时所有数据包都能通过(特别是对于那些提供服务比安全更加重要的场合,如普通的ISP),则可通过对防火墙的拒绝服务攻击使其失去作用达到非法访问受防火墙保护的网络的目的。
对Windows系统的大多数配置变动在生效前都需要重新启动系统。这么一来,如果攻击者已经获得了对系统的管理性特权的变动之后,可能需要采取拒绝服务攻击的手段使系统重启或者迫使系统的真正管理员重启系统,以便其改动的配置生效。
对DNS的拒绝服务攻击可以达到地址冒充的目的。起到的是把域名解析为IP地址的作用。攻击者可以通过把DNS致瘫,然后冒充DNS的域名解析,把错误的域名-IP地址的对应关系提供给用户,以便把用户(受害者)的指向错误的网站(如攻击者的网站),或者把受害者的邮件指向错误的(如攻击者的),这样,攻击者就达到了冒充其他域名的目的。攻击者的最终目的大致有两种:一是窃取受害者的信息,但客观上导致用户不能应用相应的服务,也构成拒绝服务攻击;二是拒绝服务攻击,如蓄意使用户不能访问需要的网站,不能发送邮件到需要的等。
拒绝服务攻击防止攻击
许多现代的UNIX允许管理员设置一些限制,如限制可以使用的最大内存、CPU时间以及可以生成的最大文件等。如果当前正在开发―个新的程序,而又不想偶然地使系统变得非常缓慢,或者使其它分享这台的用户无法使用,这些限制是很有用的。Korn Shell的ulimit命令和Shell的Iimit命令可以列出当前程的资源限制。
SYN Flood防御
前文描述过,SYN Flood攻击大量消耗服务器的CPU、内存资源,并占满SYN等待队列。相应的,我们修改内核参数即可有效缓解。主要参数如下:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_synack_retries = 2
分别为启用SYN Cookie、设置SYN最大队列长度以及设置SYN+ACK最大重试次数。
SYN Cookie的作用是缓解服务器资源压力。启用之前,服务器在接到SYN数据包后,立即分配存储空间,并随机化一个数字作为SYN号发送SYN+ACK数据包。然后保存连接的状态信息等待客户端确认。启用SYN Cookie之后,服务器不再分配存储空间,而且通过基于时间种子的随机数算法设置一个SYN号,替代完全随机的SYN号。发送完SYN+ACK确认报文之后,清空资源不保存任何状态信息。直到服务器接到客户端的最终ACK包,通过Cookie检验算法鉴定是否与发出去的SYN+ACK报文序列号匹配,匹配则通过完成握手,失败则丢弃。当然,前文的高级攻击中有SYN混合ACK的攻击方法,则是对此种防御方法的反击,其中优劣由双方的硬件配置决定
tcp_max_syn_backlog则是使用服务器的内存资源,换取更大的等待队列长度,让攻击数据包不至于占满所有连接而导致正常用户无法完成握手。net.ipv4.tcp_synack_retries是降低服务器SYN+ACK报文重试次数,尽快释放等待资源。这三种措施与攻击的三种危害一一对应,完完全全地对症下药。但这些措施也是双刃剑,可能消耗服务器更多的内存资源,甚至影响正常用户建立TCP连接,需要评估服务器硬件资源和攻击大小谨慎设置。
除了定制TCP/IP协议栈之外,还有一种常见做法是TCP首包丢弃方案,利用TCP协议的重传机制识别正常用户和攻击报文。当防御设备接到一个IP地址的SYN报文后,简单比对该IP是否存在于白名单中,存在则转发到后端。如不存在于白名单中,检查是否是该IP在一定时间段内的首次SYN报文,不是则检查是否重传报文,是重传则转发并加入白名单,不是则丢弃并加入黑名单。是首次SYN报文则丢弃并等待一段时间以试图接受该IP的SYN重传报文,等待超时则判定为攻击报文加入黑名单。
首包丢弃方案对用户体验会略有影响,因为丢弃首包重传会增大业务的响应时间,有鉴于此发展出了一种更优的TCP Proxy方案。所有的SYN数据报文由清洗设备接受,按照SYN Cookie方案处理。和设备成功建立了TCP三次握手的IP地址被判定为合法用户加入白名单,由设备伪装真实客户端IP地址再与真实服务器完成三次握手,随后转发数据。而指定时间内没有和设备完成三次握手的IP地址,被判定为恶意IP地址屏蔽一定时间。除了SYN Cookie结合TCP Proxy外,清洗设备还具备多种畸形TCP标志位数据包探测的能力,通过对SYN报文返回非预期应答测试客户端反应的方式来鉴别正常访问和恶意行为。
清洗设备的硬件具有特殊的网络处理器芯片和特别优化的操作系统、TCP/IP协议栈,可以处理非常巨大的流量和SYN队列。
HTTP Flood防御
HTTP Flood攻击防御主要通过缓存的方式进行,尽量由设备的缓存直接返回结果来保护后端业务。大型的互联网企业,会有庞大的CDN节点缓存内容。
当高级攻击者穿透缓存时,清洗设备会截获HTTP请求做特殊处理。最简单的方法就是对源IP的HTTP请求频率做统计,高于一定频率的IP地址加入黑名单。这种方法过于简单,容易带来误杀,并且无法屏蔽来自代理服务器的攻击,因此逐渐废止,取而代之的是JavaScript跳转人机识别方案。
HTTP Flood是由程序模拟HTTP请求,一般来说不会解析服务端返回数据,更不会解析JS之类代码。因此当清洗设备截获到HTTP请求时,返回一段特殊JavaScript代码,正常用户的浏览器会处理并正常跳转不影响使用,而攻击程序会攻击到空处。
DNS Flood防御
DNS攻击防御也有类似HTTP的防御手段,第一方案是缓存。其次是重发,可以是直接丢弃DNS报文导致UDP层面的请求重发,可以是返回特殊响应强制要求客户端使用TCP协议重发DNS查询请求。
特殊的,对于授权域DNS的保护,设备会在业务正常时期提取收到的DNS域名列表和ISP DNS IP列表备用,在攻击时,非此列表的请求一律丢弃,大幅降低性能压力。对于域名,实行同样的域名白名单机制,非白名单中的域名解析请求,做丢弃处理。
慢速连接攻击防
Slowloris攻击防御比较简单,主要方案有两个。
第一个是统计每个TCP连接的时长并计算单位时间内通过的报文数量即可做精确识别。一个TCP连接中,HTTP报文太少和报文太多都是不正常的,过少可能是慢速连接攻击,过多可能是使用HTTP 1.1协议进行的HTTP Flood攻击,在一个TCP连接中发送多个HTTP请求。
第二个是限制HTTP头部传输的最大许可时间。超过指定时间HTTP Header还没有传输完成,直接判定源IP地址为慢速连接攻击,中断连接并加入黑名单。
李禾,王述洋. 拒绝服务攻击/分布式拒绝服务攻击防范技术的研究[J]. 中国安全科学学报,2-136.
.51cto[引用日期]
本词条认证专家为
副教授审核
重庆第二师范学院数学与信息工程系
清除历史记录关闭}
我要回帖
更多推荐
- ·龙腾世纪审判单人模式最强职业3审判试炼噩梦难度全职业打法详解介绍_龙腾世纪审判单人模式最强职业3审判试炼噩梦难度全职业打法详解是什么
- ·伍亦泽这个人是红蓝第五人格职业选手名单玩家吗?
- ·wps文件打开后不能编辑怎么办新建文字文档显示连续按2次Ctrl键,换起wpsAl怎么消除?
- ·杀戮尖塔很难玩吗冰球流机器人怎么玩介绍_杀戮尖塔很难玩吗冰球流机器人怎么玩是什么
- ·求PS游戏神界诸神之战游戏手机版-盖亚首领这款游戏,有无大佬能发一下
- ·《部落冲突飞龙流》飞龙的造价顶十几个巨人:舍我其谁的霸气
- ·萌新出击 阵容求问.我这阵容能raid能苟活2%吗.刚抽
- ·已经5级猎魂觉醒双刀职业攻略了.为什么这个功业还是没
- ·暗黑3 5000万金币成就国服有哪些成就给白金币 奖励白金币
- ·现在什么样配置的看电脑配置玩游戏玩游戏不会卡,价位是多少
- ·近期新密象山影视城在哪有没有上映《冰雪奇缘》
- ·暗黑破坏神开发商是哪个游戏公司开发的
- ·扎心的3399小游戏扎针,这些真的能分开吗
- ·LOL:一神带四腿是种什么样的体验
- ·有没有喜欢抓娃娃的,我有神器,直接英雄无敌3神器了,直接抓遍
- ·神武3神武3魔王全新法术术怎么样
- ·最终幻想纷争nt蒂娜蒂娜身高到底是多少
- ·他出轨了吗游戏微胖男生穿衣搭配的他怎么过
- ·其他类型最好玩的桌游游,有人玩过吗
- ·爆破鬼才攻击成长高吗只能打一下什么鬼
- ·饥荒小游戏下载现在在哪可以下载,要全部角色都有的,自己解锁也行,求安卓版
- ·四星稳定做号思路五千注做号的思路求老玩家分享一下?
- ·微信《微信最强弹一弹最高分》怎么玩分享 高分攻略技巧
- ·有没有苹果手机玩的百人牛牛大富豪下载游戏可以退钱的
- ·如何验证 时 时 彩 二腾迅分分彩五星玩法法呢?
- ·请问600人某班进行个人投篮比赛5个游戏,每个游戏由5个人同时某班进行个人投篮比赛,根据完顺序分别获得5、4、3、1、1,求20分以上的人数
- ·超级玛丽和马里奥库巴单挑谁更厉害,马里奥,不动脑
- ·大航海探险物语弓箭传说之弓哪个职业装
- ·奥特曼格斗进化3 迪迦什么时候
- ·看了这个终于明白了为什么散打是世界世界上公认最强格斗家技之一了
- ·请问:腾讯电子传真游戏《EVO电子》有什么值得玩的吗????
- · 时 时 彩 二腾讯分分彩5星玩法法有什么实战玩法?
- ·王者荣耀最强辅助英雄:最强的辅助英雄是谁
- ·王者荣耀镜像哪些是镜像
- ·如何理解组织及其环境后二 组选8码 杀 号 技巧比较好!
