内容导读:导航目录:1、ddos攻击是怎样的?2、DDOS***攻击的类型有哪些3、如何用netwox工具实现synflooding攻击ddos攻击是怎样的?***上出现了一种特殊的DDOS类攻击软件(SynDemo)。...……
导航目录:
ddos攻击是怎样的?
*** 上出现了一种特殊的DDOS类攻击软件(SynDemo)。该软件不同于以往的攻击软件,它可以模拟内网真实机器的IP,对网 关设备进行恶意的TCP-SYN半连接攻击,从而使得整个内网中的PC都无法正常上网,很多深受其害的用户可谓苦不堪言。而目前 *** 产品市场上,很少有能成功识别该类攻击并实 施相关防御措施的 *** 设备。
该攻击软件与传统的DDOS攻击软件很不一样,普通的DDOS攻 击软件只是保证伪装的IP地址属于内网网段就开始发动攻击,针对此类攻击,一般具有安全功 能的网关设备(路由器、防火墙等)都可以防御住此类攻 击。但是SynDemo这款软件却与其他DDOS攻击软件有所不同,它首先会判断攻击源所处的IP地址段,向内网广播该网段的ARP请 求报文,当真实IP地址接受到相关ARP请求报文后,会发送ARP的应 答报文,这样,该软件就能够知道,在该网段内的真实IP与MAC对应关系,从而在攻击的时候骗取到网关设备的信任。
然后,SynDemo会根据这些真实的IP信息,模拟真实的http报 文发给网关设备。当网关设备接受到这些看似“正常”的报文后,就不会将这些“合法”报文丢弃,但是SynDemo会高密度的连续地发送这些报文,导致在一定时间内网关设备的NAT状态表被这些看似合法的半链接“填满”,无法处理那些用于正常上网的数据包,使得内网的所有机器上网速度 越来越慢,最后导致整个内网的机器都无法正常上网。
DDOS *** 攻击的类型有哪些
主要几个攻击类型:
TCP全连接攻击
和SYN攻击不同,它是用合法并完整的连接攻击对方,SYN攻击采用的是半连接攻击方式,而全连接攻击是完整的,合法的请求,防火墙一般都无法过滤掉这种攻击,这种攻击在现在的DDOS软件中非常常见,有UDP碎片还有SYN洪水,甚至还有TCP洪水攻击,这些攻击都是针对服务器的常见流量攻击
59.50.179.84:2900 220.181.6.18:80 ESTABLISHED
59.50.179.84:2901 220.181.6.18:80 ESTABLISHED
59.50.179.84:2902 220.181.6.18:80 ESTABLISHED
59.50.179.84:2903 220.181.6.18:80 ESTABLISHED
通过这里可以看出59.50.179.84这个IP对220.181.6.18这台服务器的80端口发动TCP 全连接攻击,通过大量完整的TCP链接就有可能让服务器的80端口无法访问。
SYN变种攻击:发送伪造源IP的SYN数据包,但是数据包不是64字节而是上千字节,这种攻击会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。
TCP混乱数据包攻击
发送伪造源IP的 TCP数据包,TCP头的TCP Flags 部分是混乱的可能是syn,ack,syn+ack,syn+rst等等,会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。
用UDP协议的攻击
很多聊天室,视频音频软件,都是通过UDP数据包传输的,攻击者针对分析要攻击的 *** 软件协议,发送和正常数据一样的数据包,这种攻击非常难防护,一般防护墙通过拦截攻击数据包的特征码防护,但是这样会造成正常的数据包也会被拦截。
WEB Server多连接攻击
通过控制大量肉鸡同时连接访问网站,造成网站瘫痪,这种攻击和正常访问网站是一样的,只是瞬间访问量增加几十倍甚至上百倍,有些防火墙可以通过限制每个连接过来的IP连接数来防护,但是这样会造成正常用户稍微多打开几次网站也会被封。
WEB Server变种攻击
通过控制大量肉鸡同时连接访问网站,一点连接建立就不断开,一直发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了,因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护,后面给大家介绍防火墙的解决方案。
WEB Server变种攻击
通过控制大量肉鸡同时连接网站端口,但是不发送GET请求而是乱七八糟的字符,大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析,这种攻击,不发送GET请求就可以绕过防火墙到达服务器,一般服务器都是共享带宽的,带宽不会超过10M 所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪,这种攻击也非常难防护,因为如果只简单的拦截客户端发送过来没有GET字符的数据包,会错误的封锁很多正常的数据包造成正常用户无法访问,后面给大家介绍防火墙的解决方案。
针对游戏服务器的攻击
因为游戏服务器非常多,这里介绍最早也是影响更大的传奇游戏,传奇游戏分为登陆注册端口7000,人物选择端口7100,以及游戏运行端口7200,7300,7400等,因为游戏自己的协议设计的非常复杂,所以攻击的种类也花样倍出,大概有几十种之多,而且还在不断的发现新的攻击种类,这里介绍目前最普遍的假人攻击,假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家,很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。
如何用netwox工具实现syn flooding攻击
原理:在SYN Flood攻击中,利用TCP三次握手协议的缺陷,攻击者向目标主机发送大量伪造源地址的TCP SYN报文,目标主机分配必要的资源,然后向源地址返回SYN+ACK包,并等待源端返回ACK包。由于源地址是伪造的,所以源端永远都不会返回ACK报文,受害主机继续发送SYN+ACK包,并将半连接放入端口的积压队列中,虽然一般的主机都有超时机制和默认的重传次数,但由于端口的半连接队列的长度是有限的,如果不断的向受害主机发送大量的TCP SYN报文,半连接队列就会很快填满,服务器拒绝新的连接,将导致该端口无法响应其他机器进行的连接请求,最终使受害主机的资源耗尽。
防范手段: 优化系统配置:包括缩短超时时间,增加半连接队列的长度,关闭不重要的服务等。
优化路由器配置:配置路由器的内、外网卡。
完善基础设施:增加源IP地址检查机制等。
使用防火墙:采用半透明网关技术的放火墙可有效防范SYN Flooding攻击
主动监视:监视TCP/IP流量,收集通信控制信息,分析状态,辨别攻击行为。