《DOS攻击原理以及常见方法介绍》由会员分享,可在线阅读,更多相关《DOS攻击原理以及常见方法介绍(3页珍藏版)》请在金锄头文库上搜索。
1、DoS 攻击原理以及常见方法介绍06 级普高网络一班 梁帅DoS(Denial of Service) ,意为拒绝服务,指攻击者通过某种手段占用大量网络服务资源, 使合理的用户请求得不到响应,导致网络服务不可用。它是通过占用资源达到破坏网络服务为目 的。DoS 是目前互联网上威胁最大的攻击方式之一, 因为它很大程度上利用了协议本身设计的漏 洞,所以很难完全消除。DoS 按照攻击源主机的数量可分为一般 DoS 和 DDoS(Distributed DoS ,分布式 DoS) 。一般 DoS攻击源主机为一台;DDoS攻击源主机为一台;DDoS攻击源主机通常为多台被入侵并安装DoS 攻击软件的傀儡主
2、机,因为数量众多且相互协作配合,所以攻击能力更强。要想了解DOS攻击的 实现机理,必须对 TCP 有一定的了解。什么是 DOS 攻击 拒绝服务,就相当于必胜客在客满的时候不再让人进去一样,呵呵,你想吃馅饼,就必须 在门口等吧。 DOS 攻击即攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘 空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。比如:*试图FLOOD服务器,阻止合法的网络通讯*破坏两个机器间的连接,阻止访问服务*阻止特殊用户访问服务*破坏服务器的服务或者导致服务器死机不过,只有那些比较阴险的攻击者才单独使用DOS攻击,破坏服务器。通常,DOS攻击会被 作为一次入侵
3、的一部分,比如,绕过入侵检测系统的时候, 通常从用大量的攻击出发, 导致入侵 检测系统日志过多或者反应迟钝,这样,入侵者就可以在潮水般的攻击中混骗过入侵检测系统。TCP 连接握手过程。这个过程简单地分为三步。在没有连接中,接受方(我们针对服务器), 服务器处于 LISTEN 状态,等待其他机器发送连接请求。第一步:客户端发送一个带SYN位的请求,向服务器表示需要连接,比如发送包假设请求 序号为10,那么则为:SYN=1O,ACK=0,然后等待服务器的响应。第二步:服务器接收到这样的请求后,查看是否在LISTEN的是指定的端口,不然,就发送 RST=1 应答,拒绝建立连接。如果接收连接,那么服务
4、器发送确认, SYN 为服务器的一个内码, 假设为100,ACK位则是客户端的请求序号加1,本例中发送的数据是:SYN=100,ACK=11,用这 样的数据发送给客户端。向客户端表示, 服务器连接已经准备好了,等待客户端的确认。 这时客 户端接收到消息后,分析得到的信息,准备发送确认连接信号到服务器第三步:客户端发送确认建立连接的消息给服务器。确认信息的SYN位是服务器发送的ACK 位,ACK位是服务器发送的SYN位加1。即:SYN=11,ACK=101。这时,连接已经建立起来了。然后发送数据,。这是一个基本的请求和连接过程。需要注意 的是这些标志位的关系,比如SYN、ACK。服务器的缓冲区队
5、列(Backlog Queue )服务器不会在每次接收到SYN请求就立刻同客户端建立连接,而是为连接请求分配内存空 间,建立会话,并放到一个等待队列中。如果,这个等待的队列已经满了,那么,服务器就不在 为新的连接分配任何东西,直接丢弃新的请求。如果到了这样的地步,服务器就是拒绝服务了。如果服务器接收到一个RST位信息,那么就认为这是一个有错误的数据段,会根据客户端 IP,把这样的连接在缓冲区队列中清除掉。这对IP欺骗有影响,也能被利用来做DOS攻击。上面的介绍,我们了解 TCP 协议,以及连接过程。要对 SERVER 实施拒绝服务攻击,实质上 的方式就是有两个:一,迫使服务器的缓冲区满,不接收
6、新的请求。二,使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。这就是DOS攻击实施的基本思想。具体实现有这样的方法:1、SYN FLOOD利用服务器的连接缓冲区(Backlog Queue ),利用特殊的程序,设置TCP的Header,向服 务器端不断地成倍发送只有 SYN 标志的 TCP 连接请求。当服务器接收的时候,都认为是没有建立 起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中。如果你的SYN请求超过了服务器能容纳的限度,缓冲区队列满,那么服务器就不再接收新 的请求了。其他合法用户的连接都被拒绝掉。 可以持续你的 SYN 请求发送,直到缓冲区中都是你 的只有S
7、YN标记的请求。2、IP欺骗DOS攻击这种攻击利用 RST 位来实现。假设现在有一个合法用户 (1.1.1.1) 已经同服务器建立了正常 的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST 位的TCP数据段。服务器接收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓 冲区中建立好的连接。这时,如果合法用户 1.1.1.1 再发送合法数据,服务器就已经没有这样的 连接了,该用户就必须从新开始建立连接。攻击时,伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务。3、带宽DOS攻击如果你的连接带宽足够大而服务器又不是很大,
8、你可以发送请求,来消耗服务器的缓冲区消 耗服务器的带宽。这种攻击就是人多力量大了,配合上SYN 起实施DOS,威力巨大。不过是初 级 DOS 攻击。呵呵。 Ping 白宫?你发疯了啊!4、自身消耗的DOS攻击这是一种老式的攻击手法。说老式,是因为老式的系统有这样的自身BUG。比如Win95(winsock v1), Cisco IOS v.10.x, 和其他过时的系统。这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同,发送给主机。使得主机 给自己发送 TCP 请求和连接。这种主机的漏洞会很快把资源消耗光。 直接导致当机。这中伪装对 一些身份认证系统还是威胁巨大的。上面这些实施 D
9、OS 攻击的手段最主要的就是构造需要的 TCP 数据,充分利用 TCP 协议。这 些攻击方法都是建立在 TCP 基础上的。还有其他的 DOS 攻击手段5、塞满服务器的硬盘 通常,如果服务器可以没有限制地执行写操作,那么都能成为塞满硬盘造成 DOS 攻击的途径, 比如:发送垃圾邮件。一般公司的服务器可能把邮件服务器和 WEB 服务器都放在一起。破坏者可 以发送大量的垃圾邮件,这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中, 直到邮箱 被撑破或者把硬盘塞满。让日志记录满。入侵者可以构造大量的错误信息发送出来,服务器记录这些错误,可能就 造成日志文件非常庞大,甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志,甚至就不能 发现入侵者真正的入侵途径。向匿名FTP塞垃圾文件。这样也可以塞满硬盘空间。6 、合理利用策略一般服务器都有关于帐户锁定的安全策略, 比如,某个帐户连续 3 次登陆失败,那么这个帐 号将被锁定。这点也可以被破坏者利用, 他们伪装一个帐号去错误登陆, 这样使得这个帐号被锁 定,而正常的合法用户就不能使用这个帐号去登陆系统了。
