网络攻防学习笔记 Day39
TCP 洪流(Flood):向目标主机发送大量设置了不同标志的 TCP 分组。常被利用的标志包括:SYN、ACK、RST。其中,TCP SYN 攻击导致目标主机不断地为 TCP 连接分配内存,从而使其他程序不能分配到足够的内存。Trinoo 就是一种分布式的 TCP SYN DoS 攻击工具。
ICMP Echo 请求/响应报文(如 Ping floods):向目标主机发送大量的 ICMP 分组。
UDP 洪流:向目标主机发送大量各种基于 UDP 协议的应用协议包(如 NTP、SSDP 和 DNS 等)。使用 UDP 协议的好处是攻击时可以很方便地伪造源地址。
应用层协议:向目标直接或间接发送大量特定应用层协议数据包,常用作攻击的应用层协议有:HTTP/HTTPS、NTP、SSDP、DNS 和 SNMP 等。
一般系统中,半连接数的上限为 1024,超过此限制则不接受新的连接请求,即使是正常用户的连接请求(当然它不知道收到的连接请求是否来自于正常用户)。
TCP 连接耗尽型攻击,它通常会完成三次握手过程,即建立 TCP 连接。通过建立众多的 TCP 连接耗尽受害者的连接资源,从而无法接受正常用户的连接请求,因此也称为“空连接攻击”。
与 SYN Flood 攻击相比,这种攻击还有一点不同,即它不需要不停地向受害者发起连接请求,只需要连接数量到达一定程度即可,但是 SYN Flood 攻击必须不停地发,一旦停止受害者即可恢复。
HTTP 风暴型攻击的攻击原理是用 HTTP 协议对网页进行合法请求,不停地从受害者处获取数据,占用连接的同时占用网络带宽。为了尽可能地扩大攻击效果,这种攻击一般会不停地从受害者网站上下载大的文件(如大的图像和视频文件),从而使得一次请求占用系统更多的资源。
反射型拒绝服务攻击(DistributedReflection Denial of Service,DRDoS)在实施时并不直接向目标主机发送数据包,而是通过中间主机(反射器)间接向目标主机发送大量数据包,以达到拒绝服务攻击的目的。
攻击者实施 NTP 攻击一般分两步进行:
(1)扫描。利用扫描软件(如 Nmap)在互联网上扫描开放 123 端口的服务器,并进一步确定是否开启了 NTP 服务器。
(2)攻击。利用控制的僵尸网络伪造被攻击主机向 NTP 服务器发送 monlist 请求。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/33894cdb2f4b31461439b3ec4】。文章转载请联系作者。
评论