你安全吗？丨牧羊犬系统漏洞到底是什么？

作者：黑蛋

在电视剧《你安全吗？》中秦淮和陈默有一个共同的梦想，就是做出一款攻防兼备的牧羊犬系统。由于陈默不想再参与到黑客中的黑白对抗中，只想好好的陪母亲生活，所以在秦淮邀请陈默共同完成牧羊犬系统的时候，陈默拒绝参与牧羊犬系统的开发。陈默的人物设定是主防，秦淮的人物设定是主攻。缺少了陈默的参与，牧羊犬系统有很明显的防御漏洞。所以在爽滋滋饮料场使用了牧羊犬系统后，在抽奖环节遭到了黑客攻击，导致服务器暂停工作，奖品被小黄牛抢到，造成了爽滋滋饮料场的名誉受损以及奖品丢失。秦淮的“开挂了”公司也被推上了风口浪尖，陈默看到这里，决心来帮助秦淮，于是提起了他发现的牧羊犬漏洞，遇到DDOS攻击，DNS毁坏劫持，ICMP洪水，慢速POST放大反射等攻击是很难抵御的：

今天我们就来谈一谈陈默所说的这些问题，其实他所说的基本属于DDOS攻击，但是被细分开了。

1、DDOS攻击： 又叫分布式拒绝服务攻击，是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。一个完整的DDoS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。主控端和代理端分别用于控制和实际发起攻击，其中主控端只发布命令而不参与实际的攻击，代理端发出DDoS的实际攻击包。对于主控端和代理端的计算机，攻击者有控制权或者部分控制权。它在攻击过程中会利用各种手段隐藏自己不被别人发现。真正的攻击者一旦将攻击的命令传送到主控端，攻击者就可以关闭或离开网络。而由主控端将命令发布到各个代理主机上。这样攻击者可以逃避追踪。每一个攻击代理主机都会向目标主机发送大量的服务请求数据包，这些数据包经过伪装，无法识别它的来源，而且这些数据包所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务，甚至导致系统崩溃。简单来讲就是用多个客户端，不断像服务器发送大量的请求，超过他的处理能力，服务器处理不过来，就会拒绝后面的请求，达到让对方暂停服务的目的。

image-20221128131458581

2、DNS劫持：想要知道DNS劫持，那么我们先来看一看什么是DNS，DNS是域名系统的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个唯一的IP地址，在Internet上域名与IP地址之间是一对应的，DNS就是进行域名解析的服务器。DNS的作用就是通过主机名，最终得到该主机名对应的IP地址的过程叫作域名解析(或主机名解析)，在解析域名时，首先采用静态域名解析的方法，如果静态域名解析不成功，再采用动态域名解析的方法，将一些常用的域名放入静态域名解析表中。下面是一张DNS工作举例截图：

换种说法，DNS类似一个电话本，小黑给小白打电话，但是不知道电话号码，就去查电话本，找到小白电话号码，然后拨通了电话。了解完DNS，我们来看看DNS劫持，DNS劫持就是通过劫持的DNS服务器，通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP地址转到修改后的制定IP。其结果就是对特点的网址不能访问或者访问到的是假网址，从而实现窃取资料或者破坏原有正常服务的目的。

3、ICMP洪水攻击：网络控制消息协议（ICMP）是TCP/IP协议级当中核心之一，用于在网络中发送控制消息，提供可能发生在通信环境中的各种问题反馈。 因特网组管理协议（IGMP）是用于管理因特网协议多播组成员的一种通信协议。攻击者使用受控主机向目标发送大量的ICMP或IGMP报文，进行洪水攻击以消耗目标的网络带宽资源。在早期使用cmd中的ping命令就可以ping目标主机发送大量的ICMP数据包，当数据包的大小超过了目标网络带宽的极限（当时都是百兆网卡）时候，就会造成目标的网络卡顿（ping素有死亡之ping的雅称）；当然这种攻击已经几乎无效，因为目标可以直接过滤掉无效的数据包，使之攻击无效。

image-20221128131306470

4、慢速POST：慢速POST请求攻击，是一种针对Web服务器的慢速HTTP攻击，与Slowloris不同的是，慢速POST请求攻击利用缓慢发送HTTP BODY的方式占用并耗尽Web服务器的连接资源。在HTTP头信息中，可以使用COnternt-Length字段时，服务器会将该字段的值作为HTTP BODY的长度；当Web服务器接收到含有Content-Lengthde的头部信息的时候会对HTTP BODY的数据内容进行处理。利用这个特性我们可以是攻击者长时间的与Web服务器保持连接，并逐渐耗尽Web服务器的连接资源。

5、放大反射：反射攻击时，攻击者使用受控主机发送大量的数据包，这些数据包的特别之处在于：其目的IP地址指向的是作为反射器的网络设施，而源IP地址则被伪造成被攻击目标的IP地址。反射器在收到数据包是，会认为该数据包是由目标所发出的请求，因此会将响应的数据发送给目标，当大量的响应数据包涌向同一个目标时，就会消耗目标的网络带宽资源，以此造成DDoS攻击的目的。该攻击方法需要在互联网上寻找大量的“反射器”，某些种类的反射攻击不难实现，对于ACK的反射攻击，只需要在互联网上找到开放TCP端口的服务器即可。反射攻击是无证（不握手）的，所以如果有认证或握手的化，就无法实现下一步；故此反射攻击是建立在UDP协议的网络之上而进行的。放大攻击是一种特殊的反射攻击，特殊之处在于反射器对于网络流量具有放大作用，因此可以这种反射器成为放大器。