首页 » 网络文摘 » 浏览内容

CC攻击及ip黑白名单防火墙原理与实现

566 1 发表评论

概述:

CC攻击及ip黑白名单防火墙原理与实现

DDoS,即 Distributed Denial of Service ,可译为分散式阻断办事攻击。

上图与DDoS的字面已经清楚的表述出了此类攻击的原理,勿需多言。

这类攻击泛滥存在的主要原因之一是网络办事的开放性,这一特点导致了DDoS攻击无法根本杜绝,目前主要应对策略是积极防御与消极防御。

典型DDoS的攻击方式:

死亡之Ping

icmp封装于IP报文之中,而IP对于很大的数据载荷采用分片传输的策略,而接收方需要对这些IP分片进行重组,如果接收方的重组算法不能很好地处理不测情况,,后果会很严重,典型的不测情况包罗:

1.连续分片的偏移量之间不符合它们应该的逻辑关系,攻击者伪造出这样的一系列分包是很容易的;
2.重组完成后的IP头与数据载荷,总长度竟超过了IP报文总长2^16字节(64kB)的限制,一个实现的例子是,前面各分片一律正常,唯有最后一个IP分片的数据载荷尽量填充到最大,如达到以太网最大传输单元MTU 1500字节上限,这样重组后的报文总长度就达到了约(64kB+1500B-20B-8B=65.44kB)的大小。

这种攻击方式附加了对目标系统协议栈算法的漏洞利用。

泪滴TearDrop

泪滴攻击指的是向目标机器发送损坏的IP包,诸如重叠的包或过大的包载荷。借由这些手段,该攻击可以通过TCP/IP协议栈中分片重组代码中的bug来瘫痪各种不同的操作系统。(此段摘自维基百科中文,实现方式可参考上死亡之Ping)

UDP洪水

  • UDP是一种无连接协议,当数据包通过 UDP 发送时,所有的数据包在发送和接收时不需要进行握手验证。
  • 当大量 UDP 数据包发送给受害系统时,可能会导致带宽饱和从而使得合法办事无法请求拜候受害系统。
  • 遭受 DDoS UDP 洪泛攻击时,UDP 数据包的目的端口可能是随机或指定的端口,受害系统将尝试处理接收到的数据包以确定本地运行的办事。
  • 如果没有应用程序在目标端口运行,受害系统将对源IP发出 ICMP 数据包,表白“目标端口不成达”。
  • 某些情况下,攻击者会伪造源IP地址以隐藏本身,这样从受害系统返回的数据包不会直接回到僵尸主机,而是被发送到被伪造地址的主机。
  • 有时 UDP 洪泛攻击也可能影响受害系统周围的网络连接,这可能导致受害系统附近的正常系统遇到问题。
  • 然而,这取决于网络体系结构和线速。(此段摘自维基百科中文)

TCP RST 攻击

TCP协议存在安全漏洞,正常的TCP连接可以被不法的第三方复位,这是因为TCP连接通讯不包含认证的功能。
如,在已知连接的五元组的情况下,攻击者可以伪造带有RST/SYN标识表记标帜的TCP报文或普通数据报文,当其sequence number落在TCP连接的滑动窗口范围内,可能导致会话终止或者虚假数据插入。

TCP 全连接攻击
庞大的攻击群同时地、不竭地与目标办事器建立正常的TCP连接,从而严重影响正常用户的连接办事。

Syn Flood
攻击者向目标办事器发送大量(伪造源IP地址、伪造源端口、正确目标IP地址、正确目标端口)tcp syn数据包,目标办事器为了维持这么大量的虚假连接,大量的tcp状态机维持在了SYN_RCVD状态,严重地影响了处理速度与消耗了系统资源,而反不雅观攻击者,伪造并发送这些小数据包,各项资源消耗都极低,对于网络传输速度为3Mb/s的一个攻击者来说,攻击包的速率大约可达每秒(3Mb/8/40=9830)个,如果网络传输速度达到30Mb/s,单个攻击者的攻击包速率可为98300/s,如果再考虑到分布式攻击,情况将变得极为恶劣。

标签:

评论 共 1 条 (RSS 2.0) 发表 评论

发表评论

  •   没有头像?

关注我们,实时联系

通知公告">更多...

♥如果喜欢本站可以直接点击订阅博客
♥点击此加入晓残博客会员群加入扣群
♥本站免费提供加密解密服务点击解密
♥伙伴们喜欢本站赏个好评呗

关注微信

有偿服务

博客统计

  • 日志总数:478 篇
  • 评论数目:1480 条
  • 标签总数:40 个
  • 页面总数:8 个
  • 分类总数:17 个
  • 友链总数:25 个
  • 建站日期:2011-02-13
  • 运行天数:2127 天
  • 最后更新:2016-12-9

订阅博客