自定义报文格式(自定义报文ddos)
ddos攻擊是利用什么進(jìn)行攻擊的?
ddos 攻擊是利用中間代理的方式來進(jìn)行攻擊的。
這種攻擊手法最常用的是 SYN 即洪水攻擊,它利用了 TCP 協(xié)議實(shí)現(xiàn)上的一個(gè)缺陷,通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報(bào)文,就可能造成目標(biāo)服務(wù)器中的半開連接隊(duì)列被占滿,從而阻止其它合法用戶進(jìn)行訪問。基本目前所有常見的 DDoS 攻擊都是使用這種原理來進(jìn)行攻擊的。
拒絕服務(wù)攻擊是如何展開的?
拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問,是黑客常用的攻擊手段之一。這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬,從而阻止正常用戶的訪問。其實(shí)對(duì)網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分,只要能夠?qū)δ繕?biāo)造成麻煩,使某些服務(wù)被暫停甚至主機(jī)死機(jī),都屬于拒絕服務(wù)攻擊。拒絕服務(wù)攻擊問題也一直得不到合理的解決,究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的,從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。攻擊者進(jìn)行拒絕服務(wù)攻擊,實(shí)際上讓服務(wù)器實(shí)現(xiàn)兩種效果:一是迫使服務(wù)器的緩沖區(qū)滿,不接收新的請(qǐng)求;二是使用IP欺騙,迫使服務(wù)器把合法用戶的連接復(fù)位,影響合法用戶的連接。
拒絕服務(wù)攻擊的原理
1.SYN Foold
SYN Flood是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(Distributed Denial Of Service分布式拒絕服務(wù)攻擊)的方式之一,這是一種利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請(qǐng)求,使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。
SYN Flood攻擊的過程在TCP協(xié)議中被稱為三次握手(Three-way Handshake),而SYN Flood拒絕服務(wù)攻擊就是通過三次握手而實(shí)現(xiàn)的。
(1) 攻擊者向被攻擊服務(wù)器發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文,SYN(Synchronize)即同步報(bào)文。同步報(bào)文會(huì)指明客戶端使用的端口以及TCP連接的初始序號(hào)。這時(shí)同被攻擊服務(wù)器建立了第一次握手。
(2) 受害服務(wù)器在收到攻擊者的SYN報(bào)文后,將返回一個(gè)SYN+ACK的報(bào)文,表示攻擊者的請(qǐng)求被接受,同時(shí)TCP序號(hào)被加一,ACK(Acknowledgment)即確認(rèn),這樣就同被攻擊服務(wù)器建立了第二次握手。
(3) 攻擊者也返回一個(gè)確認(rèn)報(bào)文ACK給受害服務(wù)器,同樣TCP序列號(hào)被加一,到此一個(gè)TCP連接完成,三次握手完成。
具體原理是:TCP連接的三次握手中,假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線,那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無法收到客戶端的ACK報(bào)文的(第三次握手無法完成),這種情況下服務(wù)器端一般會(huì)重試(再次發(fā)送SYN+ACK給客戶端)并等待一段時(shí)間后丟棄這個(gè)未完成的連接。這段時(shí)間的長度我們稱為SYN Timeout,一般來說這個(gè)時(shí)間是分鐘的數(shù)量級(jí)(大約為30秒~2分鐘);一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問題,但如果有一個(gè)惡意的攻擊者大量模擬這種情況(偽造IP地址),服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源。即使是簡單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存,何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大,最后的結(jié)果往往是堆棧溢出崩潰—— 即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大,服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無暇理睬客戶的正常請(qǐng)求(畢竟客戶端的正常請(qǐng)求比率非常之小),此時(shí)從正常客戶的角度看來,服務(wù)器失去響應(yīng),這種情況就稱作:服務(wù)器端受到了SYN Flood攻擊(SYN洪水攻擊)。
2.IP欺騙DOS攻擊
這種攻擊利用RST位來實(shí)現(xiàn)。假設(shè)現(xiàn)在有一個(gè)合法用戶(61.61.61.61)已經(jīng)同服務(wù)器建立了正常的連接,攻擊者構(gòu)造攻擊的TCP數(shù)據(jù),偽裝自己的IP為61.61.61.61,并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后,認(rèn)為從61.61.61.61發(fā)送的連接有錯(cuò)誤,就會(huì)清空緩沖區(qū)中建立好的連接。這時(shí),如果合法用戶61.61.61.61再發(fā)送合法數(shù)據(jù),服務(wù)器就已經(jīng)沒有這樣的連接了,該用戶就必須從新開始建立連接。攻擊時(shí),攻擊者會(huì)偽造大量的IP地址,向目標(biāo)發(fā)送RST數(shù)據(jù),使服務(wù)器不對(duì)合法用戶服務(wù),從而實(shí)現(xiàn)了對(duì)受害服務(wù)器的拒絕服務(wù)攻擊。
了解有關(guān)DNS服務(wù)器攻擊有哪些?如何預(yù)防?
利用DNS服務(wù)器進(jìn)行DDOS攻擊
正常的DNS服務(wù)器遞歸查詢過程可能被利用成DDOS攻擊。假設(shè)攻擊者已知被攻擊機(jī)器的IP地址,然后攻擊者使用該地址作為發(fā)送解析命令的源地址。這樣當(dāng)使用DNS服務(wù)器遞歸查詢后,DNS服務(wù)器響應(yīng)給最初用戶,而這個(gè)用戶正是被攻擊者。那么如果攻擊者控制了足夠多的肉雞,反復(fù)的進(jìn)行如上操作,那么被攻擊者就會(huì)受到來自于DNS服務(wù)器的響應(yīng)信息DDOS攻擊。
攻擊者擁有著足夠多的肉雞群,那么就可以使被攻擊者的網(wǎng)絡(luò)被拖垮至發(fā)生中斷。利用DNS服務(wù)器攻擊的重要挑戰(zhàn)是,攻擊者由于沒有直接與被攻擊主機(jī)進(jìn)行通訊,隱匿了自己行蹤,讓受害者難以追查原始的攻擊來。
DNS緩存感染
攻擊者使用DNS請(qǐng)求,將數(shù)據(jù)放入一個(gè)具有漏洞的的DNS服務(wù)器的緩存當(dāng)中。這些緩存信息會(huì)在客戶進(jìn)行DNS訪問時(shí)返回給用戶,從而把用戶客戶對(duì)正常域名的訪問引導(dǎo)到入侵者所設(shè)置掛馬、釣魚等頁面上,或者通過偽造的郵件和其他的server服務(wù)獲取用戶口令信息,導(dǎo)致客戶遭遇進(jìn)一步的侵害。
DNS信息劫持
TCP/IP體系通過序列號(hào)等多種方式避免仿冒數(shù)據(jù)的插入,但入侵者如果通過監(jiān)聽客戶端和DNS服務(wù)器的對(duì)話,就可以猜測(cè)服務(wù)器響應(yīng)給客戶端的DNS查詢ID。每個(gè)DNS報(bào)文包括一個(gè)相關(guān)聯(lián)的16位ID號(hào),DNS服務(wù)器根據(jù)這個(gè)ID號(hào)獲取請(qǐng)求源位置。攻擊者在DNS服務(wù)器之前將虛假的響應(yīng)交給用戶,從而欺騙客戶端去訪問惡意的網(wǎng)站。假設(shè)當(dāng)提交給某個(gè)域名服務(wù)器的域名解析請(qǐng)求的DNS報(bào)文包數(shù)據(jù)被截獲,然后按截獲者的意圖將一個(gè)虛假的IP地址作為應(yīng)答信息返回給請(qǐng)求者。原始請(qǐng)求者就會(huì)把這個(gè)虛假的IP地址作為它所要請(qǐng)求的域名而進(jìn)行訪問,這樣他就被欺騙到了別處而無妨連接想要訪問的那個(gè)域名。
DNS重定向
攻擊者將DNS名稱查詢重定向到惡意DNS服務(wù)器上,被劫持域名的解析就完全在攻擊者的控制之下。
ARP欺騙
ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中,局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP病毒,則感染該ARP病毒的系統(tǒng)將會(huì)試圖通過”ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息,并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。
ARP欺騙通常是在用戶局網(wǎng)中,造成用戶訪問域名的錯(cuò)誤指向。如果IDC機(jī)房也被ARP病毒入侵后,則也可能出現(xiàn)攻擊者采用ARP包壓制正常主機(jī)、或者壓制DNS服務(wù)器,以使訪問導(dǎo)向錯(cuò)誤指向的情況。
本機(jī)劫持
本機(jī)的計(jì)算機(jī)系統(tǒng)被木馬或流氓軟件感染后,也可能會(huì)出現(xiàn)部分域名的訪問異常。如訪問掛馬或者釣魚站點(diǎn)、無法訪問等情況。本機(jī)DNS劫持方式包括hosts文件篡改、本機(jī)DNS劫持、SPI鏈注入、BHO插件等方式。
總結(jié)
以上是生活随笔為你收集整理的自定义报文格式(自定义报文ddos)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: JavaOne 2012:向上,向上和向
- 下一篇: c 编译器(c 编译 linux)