作者CMJ0121 (请多指教!!)
看板NetSecurity
标题Re: [闲聊] DDOS 的种类
时间Mon Apr 10 16:31:30 2017
※ 引述《jcasd63 (HolyCat)》之铭言:
都有人抛玉了 我也来补充一下好了
: 阻断服务的种类:
: 一、 死亡之聘(Ping of Death)
: 利用TCP/IP实作程序上的缺失,送一种大量不正常封包(超过65535位元)的简单技巧,影响电脑主机的运作环境。
Ping of Death 是一个 1-1 的对应关系 (假设实作上没有缺失)
也就是说 Attacker - Victim 两者需要处理的资料是一致的
在 Ping 实作[0] 上通常 Echo / Reply 的 Data 部分会一致 让 sender 确定是否是自己发送的请求
在防御方面 常见是直接 drop 掉 Ping 的封包
在 Linux 方面可以使用 iptable 来防御 Ping of Death 攻击
# 完全 Drop PING 的请求
iptable -A INPUT -p icmp --icmp-type echo-request -j DROP
# 限制 Ping 的次数
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
: 二、 分散式代理攻击 (Distributed Denial of Service ,DDOS)
: 指植入後门程式後远端遥控攻击,攻击者可从多个已入侵的跳板主机控制数个代理攻击主机,启动干扰命令对受害主机大量攻击。
: 三、 广播攻击 (Smurf Attack)
: 系针对IP规格中的广播网址进行暴力攻击的行为。其方式是透过网路控制讯息协定(Internet Control Message Protocol, ICMP EX: ping)的回应,要求封包方式产生大量的讯息攻击。
: 四、 分割重组攻击(Teardrop Attack)
: 利用封包分割与重组间的落差(GAP)来对系统进行攻击,刻意制造不正常封包序列,使重组过程因错误而当机。
: 五、 来源位址欺骗攻击(Land Attack)
: 利用IP欺骗(IP Spoofing)的方式来攻击目标主机。攻击者刻意将目标主机的IP位址附在封包的来源与目的地IP位址的栏位,主机收到封包时无法回应讯息给自己而使系统当机或变得缓慢。
IP 欺骗就是利用 Protocol 设计上的缺陷来造成的攻击
例如 DNS[1] 在设计上同时支援 TCP/UDP 两种
UDP 实作上可以伪造来源端的 IP Address (在 IP 层) 并且透过射後不理的特性来达到 DoS 的效益
TCP 则因为三方交握的关系 如果伪造 IP Address 则会在 Server 的 SYN/ACK 阶段则会被识破
在防御方面 (用 DNS 为例) 可以强制使用较为安全的协议方式
相对的就是降低使用上的方便程度
: 六、 请求泛滥攻击(SYN Flooding Attack)
: 藉由传送大量SYN封包给目标主机,使得目标主机於处理这些封包而无法正常地提供服务给合法使用者。
: 之前做的笔记
: 有一部分是从网路上抓的 若有错误再请大大指点 谢谢
SYN Flooding (或者类似的攻击方式)
是利用 TCP 三方交握[2] SYN - SYN/ACK - ACK 的特性 以及 RTT (Round TripTime)
藉由大量恶意的 SYN 封包 (也就是只送 SYN 但不送最後一次的 ACK)
让 Server 因为 RTT 的特性而 hang 在这个阶段导致资源耗光
在 Linux 的环境下 依然可以使用 iptable 来防御
# 限制不正常的 TCP handshank
iptables -A INPUT -p tcp --sym -m limit 1/s --limit-burst 3 -j RETURN
七、Slow (HTTP) Attack
跟上述的以量取胜方式不一样,Slow Attack 着重在用最缓慢的速度完成一个合法的请求
用 HTTP 为例 一个 GET Method[3] 可以抓到由 HTTP Server 提供的网页内容
或者用 POST method 来上传档案
一个恶意攻击者可以藉由一次只接收/上传一个 byte 并且控制请求间的时间间隔 (例如 0.1s)
这样一个原本只需要一个请求的 request 就可以长时间占用 Server 的资源
这种攻击的目标并非耗光 bandwidth 而是耗光 throuthput
[0]:
https://tools.ietf.org/html/rfc792
[1]:
https://tools.ietf.org/html/rfc1035
[2]:
https://en.wikipedia.org/wiki/Transmission_Control_Protocol
[3]:
https://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 125.227.147.112
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1491813093.A.1B4.html
1F:推 atrix: 推 04/13 00:38