内容导读:导航目录:1、拒绝服务攻击的攻击过程是什么?2、电脑中所说的主动攻击和被动攻击是什么?3、***攻击-拒绝服务攻击拒绝服务攻击的攻击过程是什么?拒绝服务攻击的原理拒绝服务(DoS,DenialofService)...……
导航目录:
拒绝服务攻击的攻击过程是什么?
拒绝服务攻击的原理
拒绝服务(DoS,Denial of Service)是一种典型的破坏服务可用性的攻击方式。它不以获得系统权限为目的。
根据NIST SP 800-61的定义,拒绝服务是一种通过耗尽CPU、内存、带宽或磁盘空间等系统资源,来阻止或削弱对 *** 、系统或者应用程序的授权使用的行为。
拒绝服务攻击通常利用传输协议弱点、系统漏洞、服务漏洞对目标系统发起大规模进攻,利用超出目标处理能力的海量合理请求数据包消耗可用系统资源、带宽资源等,造成程序缓冲区溢出错误,致使其无法处理合法用户的请求,无法提供正常服务,最终致使 *** 服务瘫痪,甚至系统死机。
早期的拒绝服务攻击主要是利用TCP/IP协议或应用程序的缺陷,使得目标系统或应用程序崩溃。
当前的拒绝服务攻击试图通过耗尽系统资源来达到目标系统不能为授权用户提供服务的目的。
电脑中所说的主动攻击和被动攻击是什么?
一、主动攻击
主动攻击会导致某些数据流的篡改和虚假数据流的产生。这类攻击可分为篡改、伪造消息数据和终端(拒绝服务)。
a. 篡改消息
篡改消息是指一个合法消息的某些部分被改变、删除,消息被延迟或改变顺序,通常用以产生一个未授权的效果。如修改传输消息中的数据,将“允许甲执行操作”改为“允许乙执行操作”。
b. 伪造
伪造指的是某个实体(人或系统)发出含有其他实体身份信息的数据信息,假扮成其他实体,从而以欺骗方式获取一些合法用户的权利和特权。
c. 拒绝服务
拒绝服务即常说的DoS(Deny of
Service),会导致对通讯设备正常使用或管理被无条件地中断。通常是对整个 *** 实施破坏,以达到降低性能、终端服务的目的。这种攻击也可能有一个特定的目标,如到某一特定目的地(如安全审计服务)的所有数据包都被阻止。
二、被动攻击
被动攻击中攻击者不对数据信息做任何修改,截取/窃听是指在未经用户同意和认可的情况下攻击者获得了信息或相关数据。通常包括窃听、流量分析、破解弱加密的数据流等攻击方式。
a. 流量分析
流量分析攻击方式适用于一些特殊场合,例如敏感信息都是保密的,攻击者虽然从截获的消息中无法的到消息的真实内容,但攻击者还能通过观察这些数据报的模式,分析确定出通信双方的位置、通信的次数及消息的长度,获知相关的敏感信息,这种攻击方式称为流量分析。
b. 窃听
窃听是最常用的手段。应用最广泛的局域网上的数据传送是基于广播方式进行的,这就使一台主机有可能受到本子网上传送的所有信息。而计算机的网卡工作在杂收模式时,它就可以将 *** 上传送的所有信息传送到上层,以供进一步分析。如果没有采取加密措施,通过协议分析,可以完全掌握通信的全部内容,窃听还可以用无限截获方式得到信息,通过高灵敏接受装置接收 *** 站点辐射的电磁波或 *** 连接设备辐射的电磁波,通过对电磁信号的分析恢复原数据信号从而获得 *** 信息。尽管有时数据信息不能通过电磁信号全部恢复,但可能得到极有价值的情报。
由于被动攻击不会对被攻击的信息做任何修改,留下痕迹很好,或者根本不留下痕迹,因而非常难以检测,所以抗击这类攻击的重点在于预防,具体措施包括虚拟专用网VPN,采用加密技术保护信息以及使用交换式 *** 设备等。被动攻击不易被发现,因而常常是主动攻击的前奏。
被动攻击虽然难以检测,但可采取措施有效地预防,而要有效地防止攻击是十分困难的,开销太大,抗击主动攻击的主要技术手段是检测,以及从攻击造成的破坏中及时地恢复。检测同时还具有某种威慑效应,在一定程度上也能起到防止攻击的作用。具体措施包括自动审计、入侵检测和完整性恢复等。
*** 攻击-拒绝服务攻击
Denial of Service,简称DoS,造成DoS攻击的行为被称为DoS攻击,其目的是使计算机或 *** 无法提供正常的服务。
常见的DoS攻击有计算机 *** 带宽攻击 和 连通性攻击 。
带宽攻击 指以极大的通信量冲击 *** ,使得所有可用 *** 资源都被消耗殆尽,最后导致合法的用户请求无法通过。/br
连通性攻击 指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
常用攻击手段有:SYN Flood、WinNuke、死亡之Ping、ICMP/ *** URF、Finger炸弹、Land攻击、Ping洪流、Rwhod、Teardrop、TARGA3、UDP攻击等。
书中以SYN Flood攻击为例,详细介绍这种典型的DoS攻击:
SYN Flood是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
SYNFlood攻击利用了TCP协议中的三次握手(Three-way Handshake)
SYN Flood攻击的具体原理:/br
TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)。
这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。这段时间的长度称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30s~2min);/br
一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址),服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。
即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。/br
如果服务器的TCP/IP栈不够大,最后的结果往往是堆栈溢出崩溃——即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬正常客户的请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况就称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)
拒绝服务攻击主要是利用了系统的一些漏洞。漏洞利用拒绝服务攻击是一种利用漏洞造成软件不能正常运行的攻击方式。这种拒绝服务不依赖大量傀儡机,也不需要发送大量访问请求,而仅仅是利用目标节点软件的安全漏洞,通过精心构造恶意数据包,造成目标节点软件不能有效运行。
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击是一种资源耗尽型攻击,通常也被称作洪水攻击。/br
利用分布于 *** 上的大量节点向同一目标节点发起的引起目标节点资源被大量消耗而不能正常对外提供服务的 *** 攻击方式。
分布式拒绝服务攻击主要是指那些借助外界的平台,如客户或者是服务器本身,把不同的计算机系统联合在一起,对其进行攻击,进而加倍地增强拒绝攻击的成果。一般情况,攻击者将分布式拒绝服务攻击的主控程序安装在一个用于控制的计算机上,将受控程序安装部署在因特网的多台计算机上。主控程序可以与受控程序进行通信并控制受控程序的行为,当主控程序发送特定的指令时,受控程序即可根据指令发动攻击。
DDoS攻击通过大量合法的请求占用大量 *** 资源,以达到瘫痪 *** 的目的。这种攻击方式有以下几种:
分布式拒绝服务攻击的步骤如下:/br
第1步:攻击者使用扫描工具扫描大量主机以寻找潜在入侵目标;/br
第2步:黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、守护程序甚至是客户程序;/br
第3步:黑客在得到入侵计算机清单后,从中选出满足建立 *** 所需要的主机,放置已编译好的守护程序,并对被控制的计算机发送命令;/br
第4步:黑客发送控制命令给主机,准备启动对目标系统的攻击;
第5步:主机发送攻击信号给被控制计算机开始对目标系统发起攻击;
第6步:目标系统被无数伪造的请求所淹没,从而无法对合法用户进行响应,DDoS攻击成功。
DDoS攻击的效果是非常明显的,由于整个过程是自动化的,攻击者能够在5s钟内入侵一台主机并安装攻击工具。也就是说,在短短的一小时内可以入侵数千台主机,并使某一台主机可能要遭受1000MB/s数据量的攻击,这一数据量相当于1.04亿人同时拨打某公司的一部 *** 号码。
分布式反射拒绝服务攻击(DRDoS:Distributed Reflection Denial of Service)是一种较新的资源耗尽型拒绝服务攻击。
与分布式拒绝服务攻击使用伪造源IP地址不同,分布式反射拒绝服务攻击的来源IP地址全是真实地址,这些真实的 *** 节点本身并没有安全漏洞,而是利用TCP三次握手来实现的。
首先,攻击者通过控制的傀儡机使用受害者IP地址作为源地址向任意处于活动状态的 *** 节点(如核心路由器、域名服务器、大型网站等)发送带有SYN标记的数据包,也就是TCP三次握手的之一步;/br
处于活动状态的 *** 节点接收到伪造源IP地址的数据包后,将会按照协议要求向受害者进行应答,发送带有SYN、ACK标记的应答数据包。当攻击者使用大量傀儡机同时发起攻击时,即完成了一次分布式反射拒绝服务攻击。
分布式反射拒绝服务攻击最典型的攻击是Smurf攻击:/br
之一步:攻击者向被利用 *** A的 广播地址 发送一个ICMP协议的“echo”请求数据报,该数据报源地址被伪造成10.254.8.9。/br
第二步: *** A上的所有主机都向该伪造的源地址返回一个“echo”响应,造成该主机服务中断。/br
现在的拒绝服务攻击很多都是利用工具自动化完成的。/br
攻击者控制某些主机不停地发送大量数据包给某服务器,造成服务器资源耗尽,一直到主机崩溃。CC主要是用来消耗服务器资源的。每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,模拟多个用户(多少线程就是多少用户)不停地访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU负荷长时间处于100%,永远都有处理不完的连接,直至 *** 拥塞,正常的访问被中止。
拒绝服务攻击通常是很难防范的,不过也有一些防护措施:/br
1.加强用户的安全防范意识,关闭不必要的 *** 接口,降低因个人疏忽造成的不安全因素,安装防范功能较强的软件,对计算机做定时的安全扫描工作;/br
2.增加安全防范手段,了解和掌握可以有效地防治安全漏洞的软件,使用一些专门的漏洞检查工具进行问题的检测,如 *** 测试仪、流量测试仪等,及时地找出修复漏洞的 *** 和措施,减少不必要的损失。/br
3.正确运用安全防范工具,及时地使用 *** 检测软件对不安全因素进行检测,使用那些专门检测 *** 安全隐患的软件,定期进行检测。/br