拒绝服务攻击是指攻击者利用系统的缺陷,执行一些恶意的操作,使得合法的系统用户不能及时得到应得的服务或系统资源,如CPU处理时间、存储器、网络带宽等。

拒绝服务攻击最本质的特征是延长服务等待时间。

拒绝服务攻击的特点:

  1. 难确认性:拒绝服务攻击很难判断,用户在自已的服务得不到及时响应时,并不认为自己(或者系统)受到攻击,反而可能认为是系统故障造成一时的服务失效。
  2. 隐蔽性:正常请求服务隐藏拒绝服务攻击的过程。
  3. 资源有限性:由于计算机资源有限,容易实现拒绝服务攻击。
  4. 软件复杂性:由于软件所固有的复杂性,设计实现难以确保软件没有缺陷。因而攻击者有机可乘,可以直接利用软件缺陷进行拒绝服务攻击。

同步包风暴(SYN Flood)

攻击者假造源网址(Source IP)发送多个同步数据包(Syn Packet)给服务器(Server),服务器因无法收到确认数据包(Ack Packet),使 TCP/IP 协议的三次握手(Three-WayHand-Shacking)无法顺利完成,因而无法建立连接。其原理是发送大量半连接状态的服务请求,使 Unix 等服务主机无法处理正常的连接请求,因而影响正常运作

同步包风暴拒绝服务攻击具有以下特点:

  1. 针对TCP/IP协议的薄弱环节进行攻击
  2. 发动攻击时,只要很少的数据流量就可以产生显著的效果
  3. 攻击来源无法定位
  4. 在服务端无法区分TCP连接请求是否合法

SYN Flooding的应对措施:

  1. 优化系统配置 ,如缩短超时时间、增加本连接队列列表等
  2. 优化路由器配置,配置路由器的外网卡,丢弃那些来自外部网而源IP地址具有内部网络地址的包;配置路由器的内网卡,丢弃那些即将发到外部网而源IP地址不具有内部网络地址的包。
  3. 使用防火墙 ,采用半透明网技术的防火强能有效防范同步包风暴攻击。
  4. 主动监视,监视TCP/IP流量,收集通信控制信息,分析状态,辨别攻击行为。
  5. 完善基础设施 ,改造整个网络体系结构,使得可以对源IP地址进行检查

UDP 洪水(UDP Flood)

利用简单的 TCP/IP 服务,如用 Chargen(CHARGEN 字符发生器协议(CharacterGenerator Protocol)是一种简单网络协议,设计的目的是用来调试 TCP 或 UDP协议程序、测量连接的带宽或进行 QoS 的微调等。它的默认端口为 19,分为基于 TCP 和 UDP 两种方式。)和 Echo 传送毫无用处的占满带宽的数据。通过伪造与某一主机的 Chargen 服务之间的一次 UDP 连接,回复地址指向开放 Echo 服务的一台主机,生成在两台主机之间的足够多的无用数据流


Smurf 攻击

一种简单的 Smurf 攻击是指将回复地址设置成目标网络广播地址的 ICMP 应答请求数据包,使该网络的所有主机都对此 ICMP 应答请求作出应答,导致网络限塞,比面 ping of death 洪水的流量高出一个或两个数量级。更加复杂的 Smurf攻击是将原地址改为第三方的目标网络,最终导致第三方网络阻塞。

Smurf攻击的特点:

结合使用IP欺骗和ICMP回复方法,使大量网络数据充斥目标系统,导致目标系统拒绝为正常请求进行服务

Smurf攻击应对策略:

信息安全工程师网络攻击步骤(软考-信息安全工程师学习笔记04)(1)


垃圾邮件

攻击者利用邮件系统制造垃圾信息,甚至通过专门的邮件炸弹(mail bomb)程序给受害用户的信箱发送垃圾跾,耗尽用户信箱的磁盘空间,使用户无法应用这个信箱。


消耗 CPU 和内存资源的拒绝服务政击

利用目标系统的计算算法漏洞,构造恶意输入数据集,导致目标系统的 CPU或内存资源耗尽,从而使目标系统瘫痪,如 Hash Dos。


死亡之 ping(ping of death)

早期,路由器对包的最大尺寸都有限制,许多操作系统在实现 TCP/IP 堆栈时,规定 ICMP 包小于等于 64KB,并且在对包的标题头进行读取之后,要根据该标题头中包含的信息为有效载荷生成缓冲区。当产生畸形的、尺寸超过 ICMP 上限的包,即加载的尺寸超过 64KB 上限时,就会出现内存分配错误,导致 TCP/IP堆栈崩溃,使接收方停机


泪滴攻击(Teardrop Attack)

泪滴攻击暴露出IP数据包分解与重组的弱点。当IP数据包在网络中传输时,会被分解成许多不同的片传送,并借由偏移量字段(Offet Field)作为重组的依据。泪滴攻击通过加入过多或不必要的偏移量字段,使计算机系统重组错乱,产生不可预期的后果。


分布式拒绝服务攻击(Distributed Denial of Service Attack)

分布式拒绝服务攻击(DDOS)是指植入后门程序从远程遥控攻击,攻击者从多个已入侵的跳板主机控制数个代理攻击主机,所以攻击者可同时对已控制的代理攻击主机激活干扰命令,对受害主机大量攻击。分布式拒绝服务攻击程序,最著名的有Trinoo、TFN、TFN2K 和 Stacheldraht 四种。


DOS攻击

解释

Ping of Death

(死亡之ping)

许多操作系统的TCP/IP协议栈规定ICMP包大小为64KB(65535),“PingofDeath”就是故意产生畸形的测试Ping 包,声称自己的尺寸超过ICMP上限,也就是加载的尺寸超过64KB上限,使未采取保护措施的网络系统出现内存分配错误,导致TCP/IP协议栈崩溃,最终接收方宕机。

Teardrop

(泪滴攻击)

分段攻击。向被攻击者发送多个分片的IP包,某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。(利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象。)的漏洞对系统主机发动拒绝服务攻击,最终导致主机宕机;

Winnuke

(带外传输攻击)

又称带外传输攻击,它的特征是攻击目标端口,被攻击的目标端口通常是139、138、137、113、53,而且报头URG位设为“1”,即紧急模式,不进入TCP缓冲区,可立即被进程读取。

Land攻击

(局域网拒绝服务攻击)

SYN包中的源地址和目标地址都被设置成某一个服务器地址,这时将导致接受服务器向它自己的地址发送SYN ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉。


学习参考资料:信息安全工程师教程(第二版)

建群网培信息安全工程师系列视频教程

,