当前位置：网站首页>DoS及攻击方法详解

DoS及攻击方法详解

2022-06-26 17:45:00 【lmn_】

DoS及攻击方法详解

0x01 DOS攻击简介

DoS（Denial of Service）
DoS又被称为拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务，最常见的DoS攻击有计算机网络宽带攻击和连通性攻击。

DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。

这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。要问题是网络带宽，这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。

常见泛洪攻击

缓冲区溢出攻击：最常见的 DoS 攻击，这个概念是向网络地址发送大量的流量。
ICMP泛洪：通过发送欺骗性数据包来利用配置错误的网络设备，这些数据包 ping 目标网络上的每台计算机，而不仅仅是一台特定的计算机。然后触发网络以放大流量。这种攻击也被称为死亡ping。
SYN flood：发送连接到服务器的请求，但未完成握手。直到所有打开的端口都被请求饱和。

0x02 分布式拒绝服务攻击DDoS

DDoS（Distributed denial of service attack）
DDoS又被称为分布式拒绝服务攻击，可以使很多的计算机在同一时间遭受到攻击，使攻击的目标无法正常使用，分布式拒绝服务攻击已经出现了很多次，导致很多的大型网站都出现了无法进行操作的情况。

一个完整的DDoS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。
主控端和代理端分别用于控制和实际发起攻击，其中主控端只发布命令而不参与实际的攻击，代理端发出DDoS的实际攻击包。

对于主控端和代理端的计算机，攻击者有控制权或者部分控制权，它在攻击过程中会利用各种手段隐藏自己不被别人发现。真正的攻击者一旦将攻击的命令传送到主控端，攻击者就可以关闭或离开网络，而由主控端将命令发布到各个代理主机上。

这样攻击者可以逃避追踪，每一个攻击代理主机都会向目标主机发送大量的服务请求数据包，这些数据包经过伪装，无法识别它的来源，而且这些数据包所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。甚至导致系统崩溃。

DDoS分类

0x03 DoS攻击流程

图片地址：https://hmurl.cn/aHk40hhW

发送方在通信前，会先给接收方发送一个同步包（SYN），接收方返回给一个同步包（SYN），一个应答包（ACK），之后发送方通过发送应答包（ACK）进行应答

当连接状态位于“半连接”状态时，收到SYN包而还未收到ACK包时的连接，也就是尚未完全完成三次握手的TCP连接。若一直发送类似于“半连接”状态的数据包，就会导致大量服务器资源被占用，并占用网络带宽。

0x04 常见攻击方式

SYN泛洪攻击

通过破坏完整的TCP/IP连接会话的三次握手进行攻击，详细见0x03。

smurf攻击

smurf攻击是一种病毒攻击，以最初发动这种攻击的程序“Smurf”来命名，smurf攻击也属于dos攻击，是一种泛洪攻击，使用受害者的IP地址作为源IP地址伪造广播ping，结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。

smurf攻击检测：

ICMP 应答风暴的检测
报文丢失率和重传率的上升
常出现意外的连接重置的现象

fraggle攻击

fraggle属于dos攻击，fraggle使用UDP端口7和19而不是smurf攻击使用的ICMP，伪造IP地址发送。
不必要时，关闭路由器或防火墙的广播地址特性，并且在防火墙上过滤掉UDP报文，并阻止目的端口或源端口号为7或19的UDP报文通过。

死亡ping

(pingofdeath)DengKelen
“PingofDeath”就是故意产生畸形的测试Ping（PacketInternetGroper）包，声称自己的尺寸超过ICMP上限，也就是使用一个超大的ping包，加载的尺寸超过64KB上限，使未采取保护措施的网络系统出现内存分配错误，导致TCP/IP协议栈崩溃，最终接收方宕机，现在死亡ping包不常见。