什么是洪水攻击?怎样进行洪水攻击
bixiaoxue先生解释得有些片面,DDOS只是洪水攻击的一个种类。其实还有其它种类的洪水攻击。
从定义上说,攻击者对网络资源发送过量数据时就发生了洪水攻击,这个网络资源可以是router,switch,host,application等。常见的洪水攻击包含MAC泛洪,网络泛洪,TCP SYN泛洪和应用程序泛洪。接下来简单的分别解释一下以上这些:
MAC泛洪发生在OSI第二层,攻击者进入LAN内,将假冒源MAC地址和目的MAC地址将数据帧发送到以太网上导致交换机的内容可寻址存储器(CAM)满掉,然后交换机失去转发功能,导致攻击者可以像在共享式以太网上对某些帧进行嗅探,这种攻击可以通过端口安全技术方式,比如端口和MAC地址绑定。
网络泛洪包括Smurf和DDos:
smurf发生在OSI第三层,就是假冒ICMP广播ping,如果路由器没有关闭定向广播,那攻击者就可以在某个网络内对其它网络发送定向广播ping,那个网络中的主机越是多,造成的结果越是严重,因为每个主机默认都会响应这个ping,导致链路流量过大而拒绝服务,所以属于增幅泛洪攻击,当然也可以对本网络发送广播ping。
DDos发生在OSI第三、四层,攻击侵入许多因特网上的系统,将DDos控制软件安装进去,然后这些系统再去感染其它系统,通过这些代理,攻击者将攻击指令发送给DDos控制软件,然后这个系统就去控制下面的代理系统去对某个IP地址发送大量假冒的网络流量,然后受攻击者的网络将被这些假的流量所占据就无法为他们的正常用户提供服务了。
TCP SYN泛洪发生在OSI第四层,这种方式利用TCP协议的特性,就是三次握手。攻击者发送TCP SYN,SYN是TCP三次握手中的第一个数据包,而当服务器返回ACK后,改攻击者就不对之进行再确认,那这个TCP连接就处于挂起状态,也就是所谓的半连接状态,服务器收不到再确认的话,还会重复发送ACK给攻击者。这样更加会浪费服务器的资源。攻击者就对服务器发送非常大量的这种TCP连接,由于每一个都没法完成三次握手,所以在服务器上,这些TCP连接会因为挂起状态而消耗CPU和内存,最后服务器可能死机,就无法为正常用户提供服务了。
最后应用程序泛洪发生在OSI第七层,目的是消耗应用程序或系统资源,比较常见的应用程序泛洪是什么呢?没错,就是垃圾邮件,但一般无法产生严重的结果。其它类型的应用程序泛洪可能是在服务器上持续运行高CPU消耗的程序或者用持续不断的认证请求对服务器进行泛洪攻击,意思就是当TCP连接完成后,在服务器提示输入密码的时候停止响应。
对于大部分的攻击都能通过IDS来防御或日志分析来判断,可以检查相关的资料
阿里云的服务器给攻击了,这种问题怎么解决?
服务器受攻击的方式主要有以下几种:
1.数据包洪水攻击
一种中断服务器或本地网络的方法是数据包洪水攻击,它通常使用Internet控制报文协议(ICMP)包或是UDP包。
2.磁盘攻击
这是一种更残忍的攻击,它不仅仅影响目标计算机的通信,还破坏其硬件。伪造的用户请求利用写命令攻击目标计算机的硬盘,让其超过极限,并强制关闭。
3.路由不可达
通常,DoS攻击集中在路由器上,攻击者首先获得控制权并操纵目标机器。当攻击者能够更改路由器的路由表条目的时候,会导致整个网络不可达。这种攻击是非常阴险的,因为它开始出现的时候往往令人莫名其妙。
服务器的三大攻击是什么?
服务器,也称伺服器,是提供计算服务的设备。由于服务器需要响应服务请求,并进行处理,因此一般来说服务器应具备承担服务并且保障服务的能力。服务器的构成包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。网络环境下,根据服务器提供的服务类型不同,分为文件服务器,数据库服务器,应用程序服务器,WEB服务器等。 1.DDOS攻击: (1)这是网络中最普遍的攻击类型,衍生了很多其他的攻击类型,但是,其原理都是通过多台肉鸡发送大量合法的请求占用大量服务资源,以达到瘫痪网络或者服务器死机的目的。其中SYN Flood洪水攻击利用TCP协议的缺陷,发送大量伪造的TCP连接请求,即在第2次握手前断开连接,使服务器端出于等待响应的状态,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。 (2)TCP全连接攻击则是通过大量的肉机不断地和目标服务器建立大量的TCP连接,由于TCP连接数是有限的,很容易使服务器的内存等资源被耗尽而被拖跨,从而使服务器造成拒绝服务。这种攻击可以绕过一般防火墙,但是需要大量的肉机,并且由于肉机的IP是暴露的,也非常容易被追踪。 (3)刷Script脚本攻击主要针对ASP、JSP、PHP、CGI等脚本程序。其原理是和服务器建立正常的TCP连接,同时不断向服务器提交查询列表等大量消耗数据库资源的调用指令,从而拖垮服务器。预防的主流办法有三种。一是防火墙,也有网关防火墙和路由型防火墙之分。可以抵御大部分的DDOS攻击。再就是CDN加速,把这些攻击分散到镜像服务器上,从而使这些攻击无法对服务器产生过多的影响。最后就是流量清洗,部署专业的设备和方案,对数据流量实时监控,清洗掉异常的流量。
2.CC攻击: (1)攻击者控制肉机不停地发大量数据包给目标服务器,从而造成服务器资源耗尽或网络拥堵。CC可以模拟多个用户不停地进行访问那些需要大量数据操作的页面(数据查询,论坛),造成服务器资源的浪费,由于这些IP都是真实的,数据包也正常,请求都是有效的请求,服务器无法拒绝,从而让CPU长时间处于满载的专题。 (2)永远都有处理不完的请求排队,直到正常的访问被中止。预防CC攻击的办法有:把网站尽量做成静态页面、限制连接的数量、修改超时时间、以及分析可疑IP。
3.ARP欺骗:这类攻击则主要是以窃取用户账户数据资料为目的,通过伪造IP地址和MAC物理地址实现欺骗,也能够在网络中产生大量的ARP通信量使网络阻塞。主要发生在区域网内,攻击者通过发布错误的ARP广播包,阻断正常的网络通信,而且还将自己的电脑伪装成他人的电脑,原本是要发往他人的数据,被发到了入侵者的电脑上,从而达到窃取用户账户数据资料的目的。预防ARP欺骗的方法有:安装专业的杀毒软件、绑定IP和MAC地址。
什么是 DDoS 攻击
拒绝服务(DDoS)攻击和分布式拒绝服务(DDoS)攻击都是恶意的行为,利用大量互联网流量淹没目标服务器、服务或网络,破坏它们的正常运作。
DoS 攻击通过从单一机器(通常是一台计算机)发送恶意流量来实现这种破坏。形式可以非常简单;通过向目标服务器发送数量超过其有效处理和响应能力的ICMP(Ping)请求,发动基本的 Ping 洪水攻击。
另一方面,DDoS 攻击使用一台以上的机器向目标发送恶意流量。这些机器通常是僵尸网络(感染了恶意软件的计算机或其他设备的集合)的一部分,因而可以由单个攻击者进行远程控制。在其他情形中,多名个体攻击者可以串通起来,一起从各自的个体计算机发送流量来发动 DDoS 攻击。
DDoS 攻击在现代互联网中更为普遍,破坏性也更强,原因有二。首先,现代安全工具已经发展为能够阻止一些普通的 DoS 攻击。其次,DDoS 攻击工具已经变得相对廉价且易于操作。
如何防御 DoS/DDoS 工具?
既然 DoS 和 DDoS 攻击采取多种不同的形式,缓解它们也需要不同的策略。阻止 DDoS 攻击的常见策略有:
速率限制:限制服务器在特定时间范围内接受的请求数量
Web 应用程序防火墙:使用工具来基于一系列规则过滤 Web 流量
CDN网络扩散:在服务器和传入流量之间置入一个大型分布式云网络,以提供额外的计算资源来响应请求。
百度云加速应用了所有这些及其他策略,来防御最大、最复杂的 DoS 和 DDoS 攻击。
相关链接
SYN洪水攻击是什么?如题 谢谢了
SYN洪水攻击 原理 SYN攻击 最近对SYN Flood特别感兴趣,看到一个关于SYN cookie firewall的文章,在google搜了一下,没中文的,翻译他一下 本文介绍了4个概念 一:介绍SYN 二:什么是SYN洪水攻击 三:什么是SYN cookie 四:什么是SYN cookie防火墙 C=client(客户器) S=Server(服务器) FW=Firewall(防火墙) 一:介绍SYN SYN cookie是一个防止SYN洪水攻击技术。他由D. J. Bernstein和Eric Schenk发明。现在SYN COOKIE已经是linux内核的一部分了(我插一句 ,默认的stat是no),但是在linux系统的执行过程中它只保护linux系统。我们这里只是说创建一个linux防火墙,他可以为整个网络和所有的网 络操作系统提供SYN COOKIE保护你可以用这个防火墙来阻断半开放式tcp连接,所以这个受保护的系统不会进入半开放状态(TCP_SYN_RECV)。当 连接完全建立的时候,客户机到服务器的连接要通过防火墙来中转完成。 二:什么是SYN洪水攻击?(来自CERT的警告) 当一个系统(我们叫他客户端)尝试和一个提供了服务的系统(服务器)建立TCP连接,C和服务端会交换一系列报文。 这种连接技术广泛的应用在各种TCP连接中,例如telnet,Web,email,等等。 首先是C发送一个SYN报文给服务端,然后这个服务端发送一个SYN-ACK包以回应C,接着,C就返回一个ACK包来实现一次完 整的TCP连接。就这样,C到服务端的连接就建立了,这时C和服务端就可以互相交换数据了。下面是上文的图片说明:) Client Server ------ ------ SYN-------------------- --------------------SYN-ACK ACK-------------------- Client and server can now send service-specific data 在S返回一个确认的SYN-ACK包的时候有个潜在的弊端,他可能不会接到C回应的ACK包。这个也就是所谓的半开放连接,S需要 耗费一定的数量的系统内存来等待这个未决的连接,虽然这个数量是受限的,但是恶意者可以通过创建很多的半开放式连接来发动SYN洪水攻击 。 通过ip欺骗可以很容易的实现半开放连接。攻击者发送SYN包给受害者系统,这个看起来是合法的,但事实上所谓的C根本不会回应这个 。 SYN-ACK报文,这意味着受害者将永远不会接到ACK报文。 而此时,半开放连接将最终耗用受害者所有的系统资源,受害者将不能再接收任何其他的请求。通常等待ACK返回包有超时限制,所以半开放 。 连接将最终超时,而受害者系统也会自动修复。虽然这样,但是在受害者系统修复之前,攻击者可以很容易的一直发送虚假的SYN请求包来持续 攻击。 在大多数情况下,受害者几乎不能接受任何其他的请求,但是这种攻击不会影响到已经存在的进站或者是出站连接。虽然这样,受害者系统 还是可能耗尽系统资源,以导致其他种种问题。 攻击系统的位置几乎是不可确认的,因为SYN包中的源地址多数都是虚假的。当SYN包到达受害者系统的时候,没有办法找到他的真实地址 ,因为在基于源地址的数据包传输中,源ip过滤是唯一可以验证数据包源的方法。 三:什么是SYN cookie? SYN cookie就是用一个cookie来响应TCP SYN请求的TCP实现,根据上面的描述,在正常的TCP实现中,当S接收到一个SYN数据包,他返回 一个SYN-ACK包来应答,然后进入TCP-SYN-RECV(半开放连接)状态来等待最后返回的ACK包。S用一个数据空间来描述所有未决的连接, 然而这个数据空间的大小是有限的,所以攻击者将塞满这个空间。 在TCP SYN COOKIE的执行过程中,当S接收到一个SYN包的时候,他返回一个SYN-ACK包,这个数据包的ACK序列号是经过加密的,也就 是说,它由源地址,端口源次序,目标地址,目标端口和一个加密种子计算得出。然后S释放所有的状态。如果一个ACK包从C返回, S将重新计算它来判断它是不是上个SYN-ACK的返回包。如果这样,S就可以直接进入TCP连接状态并打开连接。这样,S就可以 避免守侯半开放连接了。 以上只是SYN COOKIE的基本思路,它在应用过程中仍然有许多技巧。请在前几年的kernel邮件列表查看archive of discussions的相关详细 内容。 4,什么是SYN COOKIE 防火墙 SYN COOKIE 防火墙是SYN cookie的一个扩展
麻烦采纳,谢谢!
局域网交换机的安全问题
解决局域网交换机的安全问题,交换机就不能再纯粹完成转发工作了事,如果这些功能转移到交换机上,简化了网络节点的增加、移动和网络变化的操作。但是什么是真正解决局域网交换机安全问题的要素呢,下文给您去全面的分析研究。
早期的网络攻击和恶意入侵主要来自外网,而且是少部分学习黑客技术的人所为,因此当时哪怕只是通过一个防火墙简单的封堵一些端口,检测一些特征数据包就能实现内网的安全。
然而,自冲击波病毒开始,病毒在局域网交换机疯狂传播所造成的强大杀伤力开始让用户心惊胆战,之后计算机病毒更是控制住大量的“僵尸”电脑对特定网站或者服务器发动洪水攻击。
进入2006年,在网吧行业影响最严重的安全问题变成了ARP和DDOS,这些恶意程序不仅巧妙伪装而且无处不在,更严重的是一旦局域网交换机某台计算机感染了病毒,就会造成大量的计算机掉线甚至整个网络陷入瘫痪,令网吧业主和网吧玩家万般无奈,在公司企业内部网络也几乎存在同样的问题,而此时传统的防火墙却显得毫无办法。
局域网也成病毒高发地区
如果是在4年前,局域网还是非常安全的,很多公司也习惯了直接在局域网共享各种常用软件和资料,但是现在为了获得一些非正当的利益,很多病毒开发者打起了局域网交换机的主意:先是由于网游的热火而产生了ARP病毒。
这是一种欺骗性质的病毒,虽然它的目的并不是破坏局域网,但为了达到它盗宝的目的,会严重影响其它局域网用户的正常上网活动。所谓ARP攻击其实就是内网某台主机伪装成网关,欺骗内网其他主机将所有发往网关的信息发到这台主机上。
但是由于此台主机的数据处理转发能力远远低于网关,所以就会导致大量信息堵塞,网速越来越慢,甚至造成网络瘫痪,而且ARP病毒这样做的目的就是为了截取用户的信息,盗取诸如网络游戏帐号、QQ密码等用户信息,因此它不仅会造成局域网堵塞,也会威胁到局域网交换机用户的信息安全。
接着很多针对特殊服务器或是网游私x的DDOS攻击也开始大举利用网吧或企业网络中的客户机作为“僵尸”电脑,对指定的服务器IP发送大量的数据包,“僵尸”电脑越多,服务器被消耗的带宽也越多。
利用这个原理耗尽服务器的带宽,就可以达到让对方服务器掉线以便对服务器运营者进行恶意勒索的目的。这种攻击方式虽然是针对外网服务器,但是它在攻击过程中需要向路由器发送大量的数据包,会直接导致路由器仅有的100M LAN口被“堵满”,因此其他局域网的计算机的'请求无法提交到路由器进行处理,结果就产生局域网计算机全部“掉线”的现象。
还有一种针对服务器的SYN攻击也会令局域网电脑全体“掉线”: SYN攻击属于DOS攻击的一种,它利用TCP协议三次握手的等待确认缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。
SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。配合IP欺骗,SYN攻击能达到很好的效果。
通常,感染SYN病毒的客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送SYN包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统和路由器运行缓慢,严重的时候就直接引起整个局域网交换机的网络堵塞甚至系统瘫痪。
面对日益严重的内网攻击和整网掉线问题,很多路由器和防火墙开发商也在产品中加入了相关技术,例如加入IP-MAC绑定功能可以防止局域网的ARP欺骗,但是这些设备由于以太网工作原理的关系,其实还是无法全面解决内网安全问题。
例如DDOS攻击,虽然路由器和防火墙可以利用一些设定好的规则判断出哪些数据包带有DDOS攻击的特征,但是它必须在收到这些数据包之后才能对数据包进行分析,而这些数据包在收过来的时候其实就已经占用了LAN口的带宽资源。
由于路由器和防火墙都在局域网的最外端,这样的网络结构已经决定了它们无法在攻击数据包产生的时候就进行封堵,而且这些设备大部分还是采用100Mb的带宽与LAN交换机相连。
加上大部分的局域网交换机都是线速转发的二层交换机,受感染客户端发送的大量数据包可以很快用完这些带宽,因此网络数据传输的压力都加载在路由器的LAN端口,这时候很多正常的请求都无法顺利通过LAN口提交过去,因此即使路由器知道哪些是正常的请求也无济于事。
0条大神的评论