作者CMJ0121 (請多指教!!)
看板NetSecurity
標題Re: [閒聊] DDOS 的種類
時間Mon Apr 10 16:31:30 2017
※ 引述《jcasd63 (HolyCat)》之銘言:
都有人拋玉了 我也來補充一下好了
: 阻斷服務的種類:
: 一、 死亡之聘(Ping of Death)
: 利用TCP/IP實作程序上的缺失,送一種大量不正常封包(超過65535位元)的簡單技巧,影響電腦主機的運作環境。
Ping of Death 是一個 1-1 的對應關係 (假設實作上沒有缺失)
也就是說 Attacker - Victim 兩者需要處理的資料是一致的
在 Ping 實作[0] 上通常 Echo / Reply 的 Data 部分會一致 讓 sender 確定是否是自己發送的請求
在防禦方面 常見是直接 drop 掉 Ping 的封包
在 Linux 方面可以使用 iptable 來防禦 Ping of Death 攻擊
# 完全 Drop PING 的請求
iptable -A INPUT -p icmp --icmp-type echo-request -j DROP
# 限制 Ping 的次數
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
: 二、 分散式代理攻擊 (Distributed Denial of Service ,DDOS)
: 指植入後門程式後遠端遙控攻擊,攻擊者可從多個已入侵的跳板主機控制數個代理攻擊主機,啟動干擾命令對受害主機大量攻擊。
: 三、 廣播攻擊 (Smurf Attack)
: 係針對IP規格中的廣播網址進行暴力攻擊的行為。其方式是透過網路控制訊息協定(Internet Control Message Protocol, ICMP EX: ping)的回應,要求封包方式產生大量的訊息攻擊。
: 四、 分割重組攻擊(Teardrop Attack)
: 利用封包分割與重組間的落差(GAP)來對系統進行攻擊,刻意製造不正常封包序列,使重組過程因錯誤而當機。
: 五、 來源位址欺騙攻擊(Land Attack)
: 利用IP欺騙(IP Spoofing)的方式來攻擊目標主機。攻擊者刻意將目標主機的IP位址附在封包的來源與目的地IP位址的欄位,主機收到封包時無法回應訊息給自己而使系統當機或變得緩慢。
IP 欺騙就是利用 Protocol 設計上的缺陷來造成的攻擊
例如 DNS[1] 在設計上同時支援 TCP/UDP 兩種
UDP 實作上可以偽造來源端的 IP Address (在 IP 層) 並且透過射後不理的特性來達到 DoS 的效益
TCP 則因為三方交握的關係 如果偽造 IP Address 則會在 Server 的 SYN/ACK 階段則會被識破
在防禦方面 (用 DNS 為例) 可以強制使用較為安全的協議方式
相對的就是降低使用上的方便程度
: 六、 請求氾濫攻擊(SYN Flooding Attack)
: 藉由傳送大量SYN封包給目標主機,使得目標主機於處理這些封包而無法正常地提供服務給合法使用者。
: 之前做的筆記
: 有一部分是從網路上抓的 若有錯誤再請大大指點 謝謝
SYN Flooding (或者類似的攻擊方式)
是利用 TCP 三方交握[2] SYN - SYN/ACK - ACK 的特性 以及 RTT (Round TripTime)
藉由大量惡意的 SYN 封包 (也就是只送 SYN 但不送最後一次的 ACK)
讓 Server 因為 RTT 的特性而 hang 在這個階段導致資源耗光
在 Linux 的環境下 依然可以使用 iptable 來防禦
# 限制不正常的 TCP handshank
iptables -A INPUT -p tcp --sym -m limit 1/s --limit-burst 3 -j RETURN
七、Slow (HTTP) Attack
跟上述的以量取勝方式不一樣,Slow Attack 著重在用最緩慢的速度完成一個合法的請求
用 HTTP 為例 一個 GET Method[3] 可以抓到由 HTTP Server 提供的網頁內容
或者用 POST method 來上傳檔案
一個惡意攻擊者可以藉由一次只接收/上傳一個 byte 並且控制請求間的時間間隔 (例如 0.1s)
這樣一個原本只需要一個請求的 request 就可以長時間佔用 Server 的資源
這種攻擊的目標並非耗光 bandwidth 而是耗光 throuthput
[0]:
https://tools.ietf.org/html/rfc792
[1]:
https://tools.ietf.org/html/rfc1035
[2]:
https://en.wikipedia.org/wiki/Transmission_Control_Protocol
[3]:
https://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.227.147.112
※ 文章網址: https://webptt.com/m.aspx?n=bbs/NetSecurity/M.1491813093.A.1B4.html
1F:推 atrix: 推 04/13 00:38