DoS攻击存在很多经典的种类,从理清技术发展脉络的角度,下面简单介绍了他们的名称、原理和基本的攻击方式。3 E, D! C* s$ j% x z
" E+ s: S1 K: ~7 _ b0 i
1.2.1死亡之 ping* k0 e! g! [, n9 w1 U/ @
8 F' H9 [7 _" V6 N7 S “ping of death”又称“死亡之 ping”,之所以第一个首先列举它,是因为很久以前,被网络媒体夸大的轰轰烈烈的“中美黑客大战”上,主要的攻击方式就是他。其实死亡之ping是利用的ICMP。现在微软系列操作系统中的命令行中都有ping存在,ping程序实际就是使用的ICMP。本来在正常的情况下,TCP/IP的RFC文档中对包的最大尺寸都有严格限制规定,许多操作系统的TCP/IP协议栈都规定ICMP 包大小为64KB,且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。但是“Ping of Death”故意产生畸形的测试Ping包,加载的尺寸超过64KB的上限,使未采取保护措施的网络系统出现内存分配错误,导致TCP/IP协议栈崩溃,最终达到目标拒绝服务的目的。! h9 b$ k2 S8 U8 k
& L3 [4 q- m, ~; X5 M 1.2.2泪滴 Z! q+ r$ Y t g, L0 S* m t7 S
6 l$ z: Y6 O, V4 f, ~/ r- p
“teardrop”,又称“泪滴”:IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动,达到攻击者需要的拒绝服务的目的。
N: Y9 T5 a2 b$ E1 z @1 ^8 l# }6 ~* I; i& P T2 y
1.2.3 UDP洪水
* V+ h+ o& ^9 g
- g/ ^, |" }2 b “UDP flood”又称“UDP洪水”:UDP flood最开始一般应用在针对UNIX类的服务器上,攻击者通过伪造与某一主机的Chargen服务之间的一次的 UDP 连接,回复地址指向开着Echo 服务的一台主机,通过将Chargen 和 Echo服务互指,来回传送毫无用处且占满带宽的垃圾数据,在两台主机之间生成足够多的无用数据流,这一拒绝服务攻击飞快地导致网络可用带宽耗尽。# E/ R; R% s" o& ~% n
6 \" T3 y l% D7 ^; K* e. T8 ?
1.2.4 SYN洪水* O- K5 ^( S) n% J9 E) Z7 }* h
5 \; ^* B; J0 ]2 G6 H3 E1 j “SYN flood”又称“SYN洪水”:当用户进行一次标准的TCP(Transmission Control Protocol)连接时,会有一个三次握手的过程。首先请求服务方发送一个SYN消息,服务方收到SYN后,会向请求方回送一个SYN-ACK表示确认,当请求方收到SYN-ACK后,再次向服务方发送一个ACK消息,这样下来一次TCP连接就建立成功了。6 m' C9 @. k3 X: }: w
4 m/ _) N; t6 z9 X Q/ n “SYN Flood”专门针对TCP协议栈在两台主机间初始化连接握手的过程进行DoS攻击,它在实现过程中只进行前2个步骤:当服务方收到请求方的SYN-ACK确认消息后,请求方由于采用源地址欺骗等手段使得服务方收不到ACK回应,于是服务方会在一定时间处于等待接收请求方ACK消息的状态。而对于某台服务器来说,可用的TCP连接是有限的,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直至缓冲区里的连接企图超时。如果恶意攻击方快速连续地发送此类连接请求,该服务器可用的TCP连接队列将很快被阻塞,系统可用资源急剧减少,网络可用带宽迅速缩小,长此下去,除了少数幸运用户的请求可以插在大量虚假请求间得到应答外,服务器将无法向用户提供正常的合法服务。9 R$ B+ _! I) w) A. b/ b% A5 F
9 ~& m$ c. x [! s# e9 t
这个攻击方式到今天都有很多攻击者使用,后续的章节中我们将对此攻击方式进行详细分析。
. ^7 i7 ]8 F) Z/ J# j4 O! U M Q# \. r: ~7 T, [% c
1.2.5 IP欺骗攻击
7 y( t5 ?* z' j" t. s+ o Y3 K( w/ S; a' Z- b3 u$ k( J4 |8 L
这种攻击利用TCP协议栈的RST来实现,使用IP欺骗迫使服务器把合法用户的连接复位,影响合法用户的连接。假设现在有一个合法用户(123. 123. 123. 123)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为123. 123. 123. 123,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从123. 123. 123. 123发送的连接有错误,就会清空缓冲区中已建立好的连接。这时,合法用户123. 123. 123. 123再发送合法数据,服务器就已经没有这样的连接了,该用户就被拒绝服务而只能重新开始建立新的连接。
1 Y$ r2 ^2 {7 p+ N, c& ~% m, Y5 G& g4 T5 p; ]( D2 }/ d, C) O
& A" ~; |# n2 i/ |
. l" ]7 L8 G, f {& t/ n. }1 e, `
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
% y" V) k$ r! w1 H7 `5 i7 B
% {% Z8 g, `$ x: E1 y1 y; O: H
9 q# C5 C( P" ]- q! N
% J8 K* A( ~5 o Q+ w# i$ B+ }
8 p3 q+ S+ {3 m
! b$ j' N; b" l2 Q- i9 f
8 [4 r1 v: p. Q4 U9 Q5 N
- W7 e) M, N! R3 W
* ~" R9 L) \+ o: |) c
4 v! h( T; T, w5 Q* q/ N) `4 _; V
