常见的攻击方式详解DOS/DDOS 攻击Dos攻击是拒绝服务攻击,是指故意攻击网络协议的缺陷或者直接通过野蛮的手段残忍 地手段耗尽被攻击对象的资源,目的就是让目标计算机或者网络无法提供正常的服务或者资 源访问,使目标计算机停止甚至崩溃这并不包括入侵目标计算机服务崩或日标计算机DDos是分布式拒绝服务,借助客户机/服务器技术,将多个计算机联合在一起来攻击1=1 标计算机,从而成倍的提高拒绝服务的攻击威力死亡之Ping概念死亡之Ping是一种拒绝服务攻击,方法是由攻击者故意发送大于65535个字节的IP数 据包给对方,发送的IP数据包巾于受链路层的MTU控制,所以在传输的过程中会分片,但 是在重组报文的总长度会超过65535个字节,这时就会出现服务器不能正常运行或者崩溃情 况基本原理攻击者向目标计算机发送一个ICMP报文(ICMP报义是和IP数据包封装在一起的,ICMP 报头占8个字节【类型、代码、检验和、标识符、序列号】,ip报文头占20字节),发送ICMP echo request报文的命令是ping,由于ip数据包最大长度是65535字节而ICMP报头位于 数据包之后,并与IP数据包封装在一起,因此ICMP数据包最大尺寸不超过65515字节,可 以向主机发送回送请求,这样在最后分段中,改变其正确的偏移量和段长度组合,使系统在 接受到全部的分段并重组的报文时总长度超过65535字节,这时主句就会出现内存分配错误 而导致TCP/IP堆栈崩溃,导致死机。
Teardrop 攻击攻击者A向受害者B发送一些分片的IP报文,并且故意将13位偏移量设置为错误值, 致使B在重组这些IP分片报文的时候,会使B系统发生崩溃1. 获取被攻击主机的IP地址或者主机号2. 发送自己封装的IP报文3. 设置偏移量和检凝和SYN flood 攻击概念SYN flood是利用TCP缺陷,发送大量的伪造的TCP连接请求,致使被攻击的主机瘫痪基本原理SYN flood是在客户机/服务器之间用TCP连接时候,在三次握手中完成的在三次握手 中,首先客户端向被攻击的主机发送大量的SYN=1,序列号seq=x的TCP数据包,(序列号 seq表示TCP从发端到收端发送数据的字节流,它表示在这个报文段中的第一个字节,而确 认序列号seqack表示表示所接受到的下一个序列号即seq+1),被攻击的主机接受到这个客户 机请求之后,返回到客户机中一个(SYN=LACK=1, seq=y, ack=x+l)的数据包,自己处于 SYN_RECV状态,但是在返回时候由于客户机发送的TCP连接请求是伪造的,(即源地址不存 在)没法返回数据,此时服务器端需要超时重传因为客户机发送大量的伪造的TCP连接, 在超时重传时间内,服务形端为了维护一•个非常大的半连接列表从而消耗非常大的资源,其 中简单的保存和遍历就会消耗很大的资源。
最终产生堆栈溢出崩溃或者服务器也忙于处理伪 造的TCP连接请求而无法处理客户端正常请求Smurf攻击概念使用IP欺骗和ICMP回复方法使大量的网络传输充斥目标系统,从而引起目标系统为拒 绝正常系统进行服务基本原理发送伪造的ICMP数据包(包含IP数据包头),将目的地址设为某个网络广播地址(主 机号全为1),源地址设为要攻击的目标主机具体实现步骤1 .锁定一个被攻击主机,获取其ip地址和端口号2. 寻找作为中间代理的站点,通常选择多个以便更好的隐藏自己,伪装攻击3. 给中间代理站点的广播地址发送大量的ICMP包(源地址是被攻击的目标主机),(发送 的ICMP必须是请求回显的报头)4. 中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包5. 中间代理主机对被攻击的网络进行响应LAND攻击概念LAND攻击是一种使用相同的源的目的主机和端口号发送数据包到某台机器的攻击结 果通常使存在漏洞的机器崩溃O基本原理在LAND攻击中,一个特别打造的SYN包中的源地址和目标地址都被设置成某一个服务 器的地址这时将导致接受服务器对它自己的地址发送SYN-ACK消息结果导致这个地址乂 发回ACK消息并创建一个空连接。
每一个这样的连接都将保留直到超时掉1. 获取被攻击主机的IP地址和端口号2. 打造一个TCP数据包(源地址和目标地址都设置为被攻击主机的地址)3. 客户机发送这个数据包给被攻击的主机4. 被攻击的主机收到这个数据包之后,返回的消息发给了自己中间人攻击概念一利”间接“的入侵攻击,这种攻击模式是通过各利成术手段将受入侵者控制的一•台计 算机虚拟放置在网络连接中的两台通信计算机之间•般采用SMB回话劫持和DNS欺骗会话劫持是一种结合了嗅探以及欺骗技术在内的攻击手段简单的说就是攻击者把自己插入受害 者和目标机器之间并设法让受害者和目标机器之间的数据通道变成受害者和目标机器之间 存在的一个代理机器的数据通道嗅探技术:网络嗅探需要用到网络嗅探器,查找网络漏洞和检查网络性能DNS欺骗概念攻击者通过入侵DNS服务器、控制路由器等方法把受害者要访问的目标机器域名对应 的IP解析为攻击者所控制的机器,这样受害者原木要发送给目标机器的数据就发到了攻击 者的机器上,这时攻击者就可以监听甚至修改数据原理Client的DNS杏询请求和DNS Server的应答数据包是依靠DNS报文的ID标识来相对应的 在进行域名解析时,Client首先用特定的ID号向DNS Server发送域名解析数据包。
这个ID 是随机产生的,DNS Server找到结果后使用此ID向Client发送应答数据包Client接受到此 包后,将接受到ID与请求包的ID对比,如果相同则说明接受到数据包是自己需要的,如果 不同就丢弃此包具体实现1. 因为DNS Message仅使用一个简单的认证码来实施真实性验证,认证码是由Client 程序产生,并由DNS server返回结果的,客户机只是使用这个认证码来辨别应答与申请查询 是否匹配,这就使得针对ID认证码的攻击收到威胁2. 在DNS Request Message中可以增加信息,这些信息可以与客户机所申请查询的内容 没有必然联系,因此攻击者就能在Request Message中根据自己的0的增加虚假的信息,比 如增加其他Domain Server的Domain Name及其IP Addresso此时Client在收到攻击的Domain Server上查询申请均被转向此前攻击者在Request Message中增加的虚假Domain Server,由 此DNS欺骗得以产生并对网络构成威胁3. 当DNS Server接受到Domain Name和IP Address相互映射的数据时,就将其保存在 本地的Cache中,若再有Client请求查询此Domian Name对应的IP Address, Domain Server 就会从Cache中将映射信息回复给Client,无需在Database中再次查询。
如果黑客将DNS Request Message的存在周期设定较长时间,就可以进行长期欺骗DNS欺骗攻击的方式DNS欺骗技术常见的有内应攻击和序列号攻击两种内应攻击内应攻击即黑客在掌控一台DNS Server后,对其Domain Database内容进行更改,将虚 假IP Address指定给特定的Domain Name,当Client请求查询这个特定域名的IP时,将得到 伪造的IP.序列号攻击概念序列号攻击是指伪装的DNS Server在真实的DNS Server之前向客户端发送应答数据报 文,该报文中含有的序列号ID与客户端向真实的DNS Server发出请求数据包中含有的ID相 同,因此客户端会接收该虚假报文,而丢弃晚到的真实报文,这样DNSID序列号欺骗成功 客户机得到的虚假报文中提供的域名的IP是攻击者设定的IP,这个IP将把客户带到攻击者 指定的站点DNS序列号欺骗攻击原理DNS序列号(ID)欺骗以侦测ID和Port为基础在Switch构建的网络中,攻击方首先向 目标实施ARP欺骗当Client、攻击者和DNS Server同在一个网络时,攻击流程如下:%1 攻击方向目标反复发送伪造fKjARP Request Message,修改目标机的ARP缓存内容, 同时依靠IP续传使Data经过攻击方再流向目的地;攻击方用Sniffer软件侦测DNS 请求包,获取ID序列号和Potr;%1 攻击方一旦获得ID和Potr,即刻向客户机发送虚假的DNS Request Message, Client 接收后线证ID和Potr正确,认为接收了合法的DNS应答;而Client得到的IP可能被 转向攻击方诱导的非法站点,从而使Client信息安全受到威胁;%1 Client再接收DNS Server的Request Message,因落后于虚假的DNS响应,故被Client 丢弃。
当Client访问攻击者指向的虚假IP时-次DNSID欺骗随即完成.网络风暴概念由于网络拓扑的设计和连接问题,或其他原因导致广播在网段内大量的复制,传播数据 帧,导致网络性能下降,甚至网络瘫痪常见的原因网络设备交换机是一种基于MAC识别,能完成封装转发数据包功能的网络设备,交换机可以” 学习“MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接受者之间 建立一条临时的路径,使数据帧直接由源地址到达目的地址集线脂不是这样的网络环路一条双绞线的两端插在同一个交换机的不同端曰(现在交换机一般都带有环路检测功能网络病毒Funlove、震荡波、RPC等病毒,一旦有机器中毒后,它们会立即通过网络进行传播网 络病毒传播,就会占据大量的网络带宽,引起网络堵塞,引起广播风暴碎片攻击侈t芯使用碎片网际协议(IP)分组的一个攻击在这个攻击中,重新分组开始在另一个分组 的中间当操作系统接收到这些残缺的分组时,它分配内存来保留它们这最后使用所有的 内存资源来引起机器重启或者在系统处理分片时的逻辑不当导致接通崩溃的可能基本原理一般计算机存在的碎片攻击是IP碎片攻击,链路层具有最大传输单元MTU这个特性, 它限制了数据帧的最大长度,不同的网络类型都有一个上限值。
以太网的MTU是1500,如果 IP层有数据包要传,而且这个数据包的长度超过了 MTU,那么这个IP层就要对数据包进行 分片操作,使每一片的长度都小于或等于MTU假设要传一个UDP数据包,以太网的MTU 为1500字节,一般IP首都为20字节,UDP首部为8字节,数据净荷部分预留是1500-20-8=1472 字节如果数据部分大于1472字节,就会出现分片现象在分片中修改字段偏移量的值引 起在目标计算机上重组的过程中出现重叠等问题,就是引起计算机出发处理,导致崩溃或者 死机包含teardrop ping of death jolt2这儿种网络攻击�ARP欺骗概念在实现TCP/IP协议的网络环境下,一个ip包走到哪里都要靠路由表定义,但是当ip包 到达该网络后,哪台机器响应这个ip包确实靠该ip包中所包含的硬件mac地址来识别只 有机器硬件mac地址和该IP包中的硬件mac地址相同的机器才会应答这个IP包基本原理ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络上产生大量的 ARP通信量使网堵塞,攻击者只要持续不断发生伪造的ARP响应就能更改目标主机ARP缓 存中的IP-MAC条目,造成网络中断或者中间人攻击。
同一网段ARP欺骗A:B:C:ip 地址 192.168.。