dos是 of 的簡稱,即拒絕服務(wù)
造成Dos的攻擊行為被稱為dos攻擊,其目的是使計算機(jī)或網(wǎng)絡(luò)無法正常提供服務(wù)
那么,拒絕服務(wù)是什么意思呢?
我們打一個形象的比喻:街邊有一個小餐館為大家提供餐飲服務(wù),但是這條街上有一群地痞總是對餐館搞破壞,如霸占著餐桌不讓其他客人吃飯也不結(jié)賬,或者堵住餐館的大門不讓客人進(jìn)門,甚至騷擾餐館的服務(wù)員或廚師不讓他們正常干活,這樣餐館就沒有辦法正常營業(yè)了,這就是拒絕服務(wù)。
常見的dos攻擊就是單包攻擊,一般都是以個人為單位的攻擊者發(fā)動的,攻擊報文也比較單一。這類攻擊雖然破壞力強(qiáng)大,但是只掌握了攻擊的特征,防御起來還是比較容易的。
單包攻擊分為三大類:
畸形報文攻擊:
掃描類攻擊:
特殊控制類報文攻擊:
幾種單包攻擊方式介紹
ping of death
ip報報文頭中的長度字段為16位,報文的最大長度是65535字節(jié)。一些早期版本的操作系統(tǒng)對報文的大小是有限制的,如果收到大小超過65535字節(jié)的報文,會出現(xiàn)內(nèi)存分配錯誤,進(jìn)而導(dǎo)致系統(tǒng)崩潰。ping of death攻擊指的就是攻擊者不斷的通過ping命令向受害者發(fā)送超過65535字節(jié)的報文,導(dǎo)致受害者的系統(tǒng)崩潰。
防火墻是通過判定報文的大小是否大于65535字節(jié)來防御ping of death攻擊的,如果報文大于65535字節(jié),則判定為攻擊報文,防火墻直接丟棄該報文。
Land攻擊
Land攻擊是指攻擊者向受害者發(fā)送偽造的tcp報文,此tcp報文的源地址和目的地址同為受害者的ip地址。這將導(dǎo)致受害者向它自己的地址發(fā)送回應(yīng)報文,從而造成資源的消耗。
防火墻在防御land攻擊時,檢查tcp報文的源地址和目的地址是否相同,或者tcp報文的源地址是否為環(huán)回地址,如果tcp報文的源地址和目的地址相同或者源地址為環(huán)回地址,則直接丟棄該報文。
ip地址掃描攻擊
ip地址掃描攻擊是指攻擊者使用Igmp報文,如執(zhí)行ping和命令,探測目標(biāo)地址,或者使用tcp/udp報文對特定地址發(fā)起連接,通過判斷是否有應(yīng)答報文,確定目標(biāo)地址是否連接在網(wǎng)絡(luò)上。
ip地址掃描攻擊并沒有直接造成惡劣后果,它只是一種探測行為,通常時為了后續(xù)發(fā)動破壞性攻擊做準(zhǔn)備。盡管如此,防火墻也不會放過這種攻擊行為。
防火墻防御ip地址掃描攻擊時,對收到的tcp,udp,icmp報文進(jìn)行檢測,某個源ip地址連續(xù)發(fā)送報文時,如果該ip發(fā)送的報文的目的ip地址與其發(fā)送的第一個目的ip地址不同,則記為一次異常。當(dāng)異常次數(shù)超過預(yù)定義的閾值,則認(rèn)為該源ip正在進(jìn)行ip地址掃描攻擊,防火墻會將該源ip地址加入黑名單,后續(xù)收到來自該源ip地址的報文時,直接丟棄。
smurf攻擊
Smurf攻擊原理
攻擊者以被攻擊者的IP地址向網(wǎng)絡(luò)中的廣播地址發(fā)送ICMP請求報文,使得網(wǎng)絡(luò)中的所有主機(jī)向被攻擊者回應(yīng)ICMP應(yīng)答報文,造成受害者系統(tǒng)繁忙,鏈路擁塞。
攻擊
類似于Smurf攻擊,只是使用UDP應(yīng)答消息而非ICMP。 UDP端口7 ECHO 和端口 在收到UDP報文后都會產(chǎn)生回應(yīng),在UDP的7號端口收到報文后會回應(yīng)收到的內(nèi)容,而UDP的19號端口在收到報文后會產(chǎn)生一串字符流,它們都同ICMP一樣會產(chǎn)生大量無用的應(yīng)答報文占滿網(wǎng)絡(luò)帶寬;
攻擊者可以向子網(wǎng)廣播地址發(fā)送源地址為受害網(wǎng)絡(luò)或受害主機(jī)的UDP包,端口號用7或19 ,子網(wǎng)絡(luò)啟用了此功能的每個系統(tǒng)都會向受害者的主機(jī)作出響應(yīng)從而引發(fā)大量的包,導(dǎo)致受害網(wǎng)絡(luò)的阻塞或受害主機(jī)的崩潰,子網(wǎng)上沒有啟動這些功能的系統(tǒng)將產(chǎn)生一個ICMP不可達(dá)消息因而仍然消耗帶寬,也可將源端口改為 目的端口為ECHO 這樣會自動不停地產(chǎn)生回應(yīng)報文其危害性更大;
攻擊
基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法,英文“Tear”是“眼淚”的意思,“drop”是“掉落”的意思,顧名思義,攻擊是一種令人落淚的攻擊手段,可見其破壞威力很強(qiáng)大。
主要針對早期微軟操作系統(tǒng)(95、98、3.x、nt)近些年有人發(fā)現(xiàn)對 2.x 版本的安卓系統(tǒng)、6.0 IOS 系統(tǒng)攻擊有效。被攻擊者會出現(xiàn)藍(lán)屏、重啟、卡死等情況。
攻擊原理
攻擊工作原理是攻擊者A給受害者B發(fā)送一些分片IP報文,并且故意將“13位分片偏移”字段設(shè)置成錯誤的值(既可與上一分片數(shù)據(jù)重疊,也可錯開),B在組合這種含有重疊偏移的偽造分片報文時land攻擊源端口目的端口,某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。
利用UDP包重組時重疊偏移(假設(shè)數(shù)據(jù)包中第二片IP包的偏移量小于第一片結(jié)束的位移,而且算上第二片IP包的Dataland攻擊源端口目的端口,也未超過第一片的尾部,這就是重疊現(xiàn)象。)的漏洞對系統(tǒng)主機(jī)發(fā)動拒絕服務(wù)攻擊,最終導(dǎo)致主機(jī)宕機(jī);對于系統(tǒng)會導(dǎo)致藍(lán)屏死機(jī),并顯示STOP 錯誤。
檢測方法
對接收到的分片數(shù)據(jù)包進(jìn)行分析,計算數(shù)據(jù)包的片偏移量()是否有誤。
攻擊防御方法
網(wǎng)絡(luò)安全設(shè)備將接收到的分片報文先放入緩存中,并根據(jù)源IP地址和目的IP地址對報文進(jìn)行分組,源IP地址和目的IP地址均相同的報文歸入同一組,然后對每組IP報文的相關(guān)分片信息進(jìn)行檢查,丟棄分片信息存在錯誤的報文。為了防止緩存溢出,當(dāng)緩存快要存滿時,直接丟棄后續(xù)分片報文。