当前位置:文档之家 › 各种网络攻击的原理

各种网络攻击的原理

  • 格式:doc
  • 大小:35.00 KB
  • 文档页数:7

下载文档原格式

  / 6
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

各种网络攻击的原理:

DoS攻击:通常而言,DoS的网络数据包同样是利用TCP/IP协议在Internet传输。这些数据包本身一般是无害的,但是如果数据包异常过多,就会造成网络设备或者服务器过载,迅速消耗了系统资源,造成服务拒绝,这就是DoS 攻击的基本工作原理。DoS攻击之所以难于防护,其关键之处就在于非法流量和合法流量相互混杂,防护过程中无法有效的检测到DoS攻击。加之许多DoS攻击都采用了伪造源地址IP的技术,从而成功的躲避了基于统计模式工具的识别。

具体DOS攻击实现有如下几种方法:

1、SYN FLOOD

利用服务器的连接缓冲区,设置特殊的TCP包头,向服务器端不断地发送大量只有SYN

标志的TCP连接请求。当服务器接收的时候,认为是没有建立起来的连接请求,于是这些请求建立会话,排到缓冲区队列中。如果发送的SYN请求超过了服务器能容纳的限度,缓冲区队列占满,那么服务器就不再接收新的请求了,因此其他合法用户的连接都会被拒绝掉。

2、IP欺骗DOS攻击

这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送

一个带有RST位的TCP数据段。服务器接收到这样的数据后,会认为从1.1.1.1发送的连接有错误,从而清空缓冲区中建立好的连接。这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击者伪造大量的IP地址,向目标主机发送RST 数据,从而使服务器不对合法用户服务。

3 、带宽 DOS 攻击( UDP Flood , ICMP Flood )

这类攻击完全利用连接带宽足够大,持续向目标服务器发送大量请求,如 UDP 的包, ICMP 的 ping 包,来消耗服务器的缓冲区,或者仅消耗服务器的连接带宽,从而达到网络拥塞,使服务器不能正常提供服务。 DDOS 攻击单一的DoS 攻击一般是采用一对一方式的,“分布式拒绝服务攻击”( Distributed Denial of Service ,简称DDoS )是建立在传统的DoS攻击基础之上一类攻击方式。当计算机与网络的处理能力加大了,用一台攻击机来攻击不再能起作用的话,攻击者就使用 10 台甚至 100 台攻击机同时攻击。这就是DDos。DDoS就是利用更多的傀儡机“肉鸡”来同时发起进攻,更大规模的来进攻受害者,破坏力更强。现在,高速广泛连接的网络给大家带来了方便,但同时也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的

连接都是以 G 为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了,攻击也更加隐蔽。当主机服务器被DDoS攻击时,通常会有如下现象:

(1)被攻击主机上有大量等待的TCP连接

(2)网络中充斥着大量的无用的数据包,源地址一般为伪造的

( 3)高流量无用数据造成网络拥塞,使受害主机无法正常和外界通讯

(4)反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求

(5)系统服务器CPU利用率极高,处理速度缓慢,甚至宕机

4、UDP洪水攻击

攻击者利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。

5、UDP DNS Query Flood攻击

实质上是UDP Flood的一种,但是由于DNS服务器的不

可替代的关键作用,一旦服务器瘫痪,影响一般都很大。UDP DNS Query Flood攻击采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名,被攻击的DNS?服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,DNS?服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。一台DNS服务器所能承受的动态域名查询的上限是有限的,而当DNS服务器受到DNS Query Flood攻击时,很容易使一台配置极高的DNS服务器瘫痪。

6、Smurf攻击原理如下:

攻击者向网络广播地址发送ICMP包,并将回复地址设置成受害网络的广播地址,通过使用ICMP应答请求数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对次ICMP应答请求作出答复,导致网络阻塞。更加复杂的Smurf攻击攻击将源地址改为第三方受害者,最终导致第三方崩溃。可采取的防范措施:

(1)配置路由器禁止IP广播包进网

(2)配置网络上所有计算机的操作系统,禁止对目标地址为广播地址的ICMP包响应。

(3)被攻击目标与ISP协商,有ISP暂时阻止这些流量。(4)对于从本网络向外部网络发送的数据包,本网络应该将其源地址为其他网络的这部分数据包过滤掉。

7、Land-based:

攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。

8、Ping?of?Death:

根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。

9、Pingflood:

该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。Ping洪流攻击,由于在早期的阶段,路由器对包的最大尺寸都有限制。许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现

相关主题