分散式阻斷服務(wù)攻擊(DDoS)
攻擊者從遠(yuǎn)端控制多個(gè)傀儡機(jī)器同時(shí)對(duì)受害主機(jī)做大量的攻擊�����。
控制指令:加密或隱藏在正常流量中�����。
DDoS攻擊程序范例
Trinoo
TFN
反射式攻擊與放大式攻擊
與DDoS不同,中間系統(tǒng)是未被感染的����。反射/放大式攻擊利用網(wǎng)絡(luò)系統(tǒng)正常的功能。
攻擊程序:
攻擊者送出一個(gè)偽造來(lái)源IP地址的封包給在某一個(gè)服務(wù)器上執(zhí)行的服務(wù)����。
服務(wù)器回復(fù)一個(gè)封包給偽造IP地址(受害主機(jī))。
可以同時(shí)寄發(fā)大量具有相同偽造來(lái)源IP地址的封包給多個(gè)服務(wù)器��。
巨量的回復(fù)封包阻塞受害主機(jī)的網(wǎng)絡(luò)或是讓受害主機(jī)疲于處理大量回復(fù)封包�。
反射式攻擊以小換大,以小封包換大封包�����,小的request換大的response����。
放大式攻擊以少換多,以少封包換多封包����,一個(gè)request換多個(gè)response。
反射式攻擊(Reflection attacks)
反射器(Reflector):反射攻擊封包的中間設(shè)備��。
攻擊者確保攻擊流量與正常流量相似�,以免被偵測(cè)。
回復(fù)封包大小>原始封包大小�。
中間系統(tǒng)通常是高效能的服務(wù)器/路由器。
反射式攻擊案例一(TCP/SYN)
利用建立TCP連線的三方握手程序����。
SYN反射式攻擊并不能放大封包,但是此時(shí)服務(wù)器(中間設(shè)備)也是受害者����。
攻擊者發(fā)送出一系列的連線建立SYN封包給服務(wù)器,但來(lái)源IP地址偽造成受害主機(jī)的IP地址��。
服務(wù)器回復(fù)一系列的SYN/ACK封包給受害主機(jī)�����。
可利用大量服務(wù)器來(lái)加倍攻擊力度�。
反射式攻擊案例二(DNS)
DNS服務(wù)器被當(dāng)成反射器。
小查詢封包換大回復(fù)封包��。
攻擊者發(fā)送出一系列的DNS查詢封包給DNS服務(wù)器�����,但來(lái)源IP地址偽造成受害主機(jī)的IP地址。
DNS服務(wù)器回復(fù)一系列的DNS回復(fù)大封包給受害主機(jī)���。
可利用多個(gè)DNS服務(wù)器來(lái)加倍攻擊力度��。
放大式攻擊(Amplification attacks)
放大器(Amplifier):放大攻擊封包的中間設(shè)備��。
攻擊者確保攻擊流量與正常流量相似��,以免被偵測(cè)��。
回復(fù)封包數(shù)量>原始封包數(shù)量��。
中間系統(tǒng)通常是整個(gè)子網(wǎng)絡(luò)中的主機(jī)(通常有多臺(tái))���。
利用中間網(wǎng)絡(luò)(intermediate network的大量主機(jī)。
利用ICMP echo request封包的ping flooding�,例如:Smurf DoS program。
利用UDP service���,例如:Fraggle program���。
TCP服務(wù)不適合放大式攻擊����,因?yàn)橹挥幸粚?duì)一回復(fù)�����。放大式攻擊的防御方法是:不允許外不來(lái)的廣播封包進(jìn)入網(wǎng)絡(luò)���。
反射流量分析(Backscatter Analysis)
The UCSD Network Telescope(網(wǎng)絡(luò)望遠(yuǎn)鏡)是一個(gè)被動(dòng)的異常流量觀測(cè)系統(tǒng)。又稱為網(wǎng)絡(luò)黑洞(black hole)����。
建立在全球連通的但很少使用的Class A網(wǎng)絡(luò)(/8 network),約占用所有Ipv4網(wǎng)址的1/256�,由于ISP很少供應(yīng)此網(wǎng)段的IP地址給用戶,因此該網(wǎng)段平常幾乎沒有正常流量��,就被當(dāng)成黑洞來(lái)收集或是觀測(cè)異常流量�����。
互聯(lián)網(wǎng)背景輻射(Internet Background Radiation����,IBR)
將流入黑洞的流量先濾掉合法的流量��,剩下的流量代表不請(qǐng)自來(lái)的異常流量����,這些異常流量可以視為互聯(lián)網(wǎng)上的背景輻射�����。
IBR流量可能來(lái)自多種事件��,如:
隨機(jī)數(shù)假造來(lái)源IP地址的DoS攻擊的反射封包����。
蠕蟲或是病毒自動(dòng)產(chǎn)生的IP地址的封包。
攻擊者或惡意程序?qū)ふ衣┒粗鳈C(jī)的封包�。
疏忽誤輸入的IP地址。
The UCSD Network Telescope可用來(lái)觀測(cè)DDoS攻擊假造來(lái)源IP地址的散布度(spread of random-source)��。因?yàn)楹诙捶秶s占1/256的IPv4網(wǎng)址�,所以可以收集到約1/256的假造網(wǎng)址。
觀測(cè)這些異常封包����,可以知道關(guān)于受害者主機(jī)以及相應(yīng)攻擊的信息:
攻擊者攻擊力道(Volume of the attack)
受害主機(jī)頻寬(Bandwidth of the victim)
受害主機(jī)位置(Location of the victim)
攻擊者針對(duì)的服務(wù)類型(Types of services)
但是無(wú)法觀測(cè)使用真實(shí)IP地址和非隨機(jī)數(shù)產(chǎn)生的IP地址攻擊。
<script>
document.writeln('
部分內(nèi)容����、圖片來(lái)源于互聯(lián)網(wǎng)�����,如有侵權(quán)請(qǐng)聯(lián)系QQ:228866015����;咨詢請(qǐng)點(diǎn)擊右側(cè)QQ��,咨詢?cè)诰客服�����。
')
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
