全球旧事资料 分类
边攻击,还会用各种手段来监视攻击的效果,在需要的时候进行一些调整。简单些就是开个窗口不断地pi
g目标主机,在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。
(二)攻击实例
1SYNFlood攻击原理
SYNFlood是目前最流行的DDoS攻击手段,早先的DoS的手段在向分布式这一阶段发展的时候也经历了浪里淘沙的过程。SYNFlood的攻击效果最好,应该是众黑客不约而同选择它的原因。
SYNFlood原理三次握手
f图21TCP三次握手如图21,在第一步中,客户端向服务端提出连接请求。这时TCPSYN标志置位。客户端告诉服务端序列号区域合法,需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段后,在第二步以自己的ISN回应SYN标志置位,同时确认收到客户端的第一个TCP分段ACK标志置位。在第三步中,客户端确认收到服务端的ISNACK标志置位。到此为止建立完整的TCP连接,开始全双工模式的数据传输过程。
Sy
Flood攻击者不会完成三次握手
图22Sy
Flood恶意地不完成三次握手假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYNACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYNACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYNTimeout,一般来说这个时间是分钟的数量级(大约为30秒2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYNACK的重试。实际上如果服务器的TCPIP栈不够强大,最后的结果往往是堆栈溢出崩溃即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况称做:服务器端受到了SYNFlood攻击(SYN洪水攻击)。
f2.攻击模拟
下面是在实验室中模拟的一次Sy
Flood攻击的实际过程。这一个局域网环境,只有一台攻击机(PIII667256redhat90),被攻击的是一台同样配置的主机,网络设备是Cisco的百兆交换机。这是在攻击并未进行之前,在redhat上进行s
oop的记录,s
oop是一个很好的网络抓包与分析的r
好听全球资料 返回顶部