目录
一、网络攻击方式分类
1、被动攻击:
被动攻击:通过抓包获取信息,攻击不安全的协议。
2、主动攻击:
- DOS:造成大量请求,消耗完服务器资源。
- 篡改攻击:本来是直接访问服务器,现在要过中间人进行转发,转发过程中被篡改。
- 假冒攻击:伪造身份去获取信息,通过跨站脚本等手段获取你网站的Cookie。
3、中间人攻击:
中间人攻击:成为中间人的方式有DHCP和ARP
- DHCP:架设DHCP服务器,发送错误的地址信息,网关指向我。
- ARP:修改去往互联往和返回互联网流量。
二、网络攻击报文类型分类:
1、流量型攻击
- 网络层攻击:ARP、DHCP、DOS
- 应用层攻击:Web
2、单包攻击
- 畸形报文攻击
- 特殊报文攻击
- 扫描窥探攻击
三、流量型攻击防范技术
1、DNS Request Flood攻击
攻击原理
- 针对缓存服务器的攻击
- 针对缓存服务器的攻击是指攻击者直接或间接向DNS缓存服务器发送大量不存在的域名解析请求,导致DNS缓存服务器不停向授权服务器发送解析请求,最终导致DNS缓存服务器超载,影响正常业务的攻击。
- 针对授权服务器的攻击
- 针对授权服务器的攻击是指攻击者直接或间接向DNS授权服务器发送大量不存在的子域名请求,致使DNS授权服务器严重超载,无法继续响应正常用户的DNS请求,从而达到攻击的目的攻击。
- DNS Request Flood攻击源可能是虚假源,也可能是真实源。针对不同类型的攻击源,采取的防御方式也不同。
DNS交互过程
2、TCP类报文攻击防御
TCP正常建立连接和断开连接的过程
TCP三次握手
1、A先发SYN携带seq初始化序列号a
2、B收到A的SYN后,回复SYN携带seq初始化序列号b,并且携带ack值为a+1为对上一次A发的SYN的确认。
3、A收到B的SYN后回复ACK确认,并携带seq为B发SYN的a+1值,ack确认为B的seq中b+1的值。
四次挥手手:两次FIN交换
4、SYN Flood攻击(DOS)
伪造报文一般为源IP地址不存在或不可达,大量的半连接消耗了服务器的资源,使服务器无法处理正常的连接请求。
RFC1918文档,RFC3330文档,互联网不会出现的网段。
缓存和RTT往返时间
1、攻击者发送大量的SYN,服务器收到SYN就会维护缓存信息。
2、服务器发送SYN ACK过去但是怎么也收不到ACK应答,在缓存中会制造大量的半开连接,占满缓存,导致正常连接无法建立。
重点:虚假伪装源、制造大量恶意缓存信息(半开连接)、高速率制造(RTT时间以内,合法清除正常缓存,恶意缓存打满)
最低0.47元/天 解锁文章
扫一扫
9559
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
