2022年DoS攻击简述 .pdf

《2022年DoS攻击简述 .pdf》由会员分享，可在线阅读，更多相关《2022年DoS攻击简述 .pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、DoS攻击简述DoS攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。对它的总体了解，成为有效避免，查找原因，制订对策提供有用的帮助。DoS（Denial of Service）拒绝服务攻击广义上可以指任何导致你的服务器不能正常提供服务的攻击。这种攻击可能就是泼到你服务器上的一杯水，或者网线被拔下，或者网络的交通堵塞等等，最终的结果是正常用户不能使用他所需要的服务了，不论本地或者是远程。我们这里比较关心远程的，通过网络进行的DoS攻击。网络应用的普及使我们的工作生活越来越离不开网络。CRM、ERP、办公自动化软件极大的提高了我们工作的效率；通过网络可以找到各种工作、学习资

2、料；我们上网交电话费，查看银行帐户；我们上网交友娱乐。DoS攻击直接的后果可能就是你不能访问这些服务了，对某个 DNS 服务器或者路由器、防火墙的攻击甚至导致对整个网络的拒绝服务。下面，就来看看这种攻击方式如何远程达到DoS的目的。具体 DoS攻击方法很多，但大多都可以分为以下几类：名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 6 页 -利用软件实现的缺陷OOB攻击（常用工具winnuke），teardrop攻击（常用工具teardrop.c boink.c bonk.c），land 攻击，IGMP碎片包攻击，jolt攻击，Cisco 2600 路由器 IOS version

3、12.0(10)远程拒绝服务攻击等等，这些攻击都是利用了被攻击软件的实现上的缺陷完成DoS攻击的。通常这些攻击工具向被攻击系统发送特定类型的一个或多个报文，这些攻击通常都是致命的，一般都是一击致死，而且很多攻击是可以伪造源地址的，所以即使通过 IDS 或者别的 sniffer软件记录到攻击报文也不能找到谁发动的攻击，而且此类型的攻击多是特定类型的几个报文，非常短暂的少量的报文，如果伪造源IP 地址的话，使追查工作几乎是不可能。那么如何造成这些攻击的？通常是软件开发过程中对某种特定类型的报文、或请求没有处理，导致软件遇到这种类型的报文运行出现异常，导致软件崩溃甚至系统崩溃。下面结合几个具体实例解

4、释一下这种攻击的成因。1997 年 5 月 7 号有人发布了一个winnuke.c。首先建立一条到Win95/NT 主机的 TCP连接，然后发送TCP紧急数据，导致对端系统崩溃。139/TCP是 Win95/NT系统最常见的侦听端口，所以 winnuke.c使用了该端口。之所以称呼这种攻击为OOB 攻击，因为 MSG_OOB标志，名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 6 页 -实际应该是 TCP紧急数据攻击。原始 teardrop.c只构造了两种碎片包，每次同时发送这两种UDP碎片包。如果指定发送次数，将完全重复先前所发送出去的两种碎片包。它可以伪造源ip 并跨越路由器

5、进行远程攻击，影响的系统包括Linux/WinNT/Win95。使用的方法是：teardrop 源 ip 目的 ip-s 源端口-d 目的端口 -n 次数 比较新的一个 DoS 攻击是 Windows的SMB 实现中的 DoS攻击，2002年 8月发布，只要允许匿名连接的windows系统就可以进行远程攻击，强烈建议 Windows用户打相应的补丁。它的方法就是先和目标系统建立一个连接，然后发送一个特定的请求，目标系统就会兰屏。发布的测试工具 SMBdie.exe 是图形界面工具，输入目标地址NETBIOS 名称即可。从上面的讨论可以看出，这种攻击行为威力很大，而且难于侦察。但真实情况下它的危

6、害仅现于漏洞发布后的不长的时间段内，相关厂商会很快发布补丁修补这种漏洞。所以上面提到的几种较老的攻击在现实的环境中，通常是无效的。不过最新的攻击方法还是让我们不寒而栗，我们可以做的就是关注安全漏洞的发布，及时打上新的补丁。如果你想偷懒的话，购买专业安全服务公司的相关服务应该是个更好名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 6 页 -的选择。利用协议的漏洞如果说上面那种漏洞危害的时间不是很长，那么这种攻击的生存能力却非常强。为了能够在网络上进行互通、互联，所有的软件实现都必须遵循既有的协议，而如果这种协议存在漏洞的话，所有遵循此协议的软件都会受到影响。最经典的攻击是 synf

7、lood攻击，它利用 TCP/IP 协议的漏洞完成攻击。通常一次 TCP连接的建立包括 3 个步骤，客户端发送 SYN包给服务器端，服务器分配一定的资源给这里连接并返回SYN/ACK 包，并等待连接建立的最后的ACK包，最后客户端发送ACK报文，这样两者之间的连接建立起来，并可以通过连接传送数据了。而攻击的过程就是疯狂发送 SYN报文，而不返回 ACK报文，服务器占用过多资源，而导致系统资源占用过多，没有能力响应别的操作，或者不能响应正常的网络请求。这个攻击是经典的以小搏大的攻击，自己使用少量资源占用对方大量资源。一台P4 的 Linux 系统大约能发到3040M的 64 字节的synfloo

8、d报文，而一台普通的服务器20M的流量就基本没有任何响应了（包括鼠标、键盘）。而且 synflood不仅可以远程进行，而且可名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 6 页 -以伪造源 IP 地址，给追查造成很大困难，要查找必须所有骨干网络运营商，一级一级路由器的向上查找。对于伪造源 IP 的 synflood攻击，除非攻击者和被攻击的系统之间所有的路由器的管理者都配合查找，否则很难追查。当前一些防火墙产品声称有抗 DoS的能力，但通常他们能力有限，包括国外的硬件防火墙大多 100M防火墙的抗 synflood 的能力只有 2030Mbps(64字节 syn 包)，这里涉及

9、到它们对小报文的转发能力，再大的流量甚至能把防火墙打死机。现在有些安全厂商认识到DoS攻击的危害，开始研发专用的抗拒绝服务产品，让我们拭目以待吧！由于 TCP/IP 协议相信报文的源地址，另一种攻击方式是反射拒绝服务攻击，另外可以利用还有广播地址，和组播协议辅助反射拒绝服务攻击效果更好。不过大多数路由器都禁止广播地址和组播协议的地址。另一类攻击方式是使用大量符合协议的正常服务请求，由于每个请求耗费很大系统资源，导致正常服务请求不能成功。如HTTP协议是无状态协议，攻击者构造大量搜索请求，这些请求耗费大量服务器资源，导致 DoS。这种方式攻击比较好处理，由于是正常请求，暴露了正常的源 IP 地址

10、，禁止这些IP 就可以了。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 6 页 -进行资源比拼这种攻击方式属于无赖打法，我凭借着手中的资源丰富，发送大量的垃圾数据侵占完你的资源，导致 DoS。比如，ICMP flood，mstream flood，Connection flood。为了获得比目标系统更多资源，通常攻击者会发动DDoS（Distributed Dos 分布式拒绝服务）攻击者控制多个攻击傀儡发动攻击，这样才能产生预期的效果。前两类攻击是可以伪造 IP 地址的，追查也是非常困难，第3 种攻击由于需要建立连接，可能会暴露攻击傀儡的IP 地址，通过防火墙禁止这些IP 就可以了。对于难于追查，禁止的攻击行为，我们只能期望专用的抗拒绝服务产品了。通过上面的分析，对 DoS的攻击有了简单的印象，希望为以后遇到攻击进行相关的处理提供基本的概念。名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 6 页 -