怎麼dos攻擊伺服器
A. DDoS攻擊
• 分布式拒絕服務(DDoS:Distributed Denial of Service Attack)攻擊是通過大規模互聯網流量淹沒目標伺服器或其周邊基礎設施,以破壞目標伺服器、服務或網路正常流量的惡意行為
• DDoS 攻擊利用多台受損計算機系統作為攻擊流量來源以達到攻擊效果。利用的機器可以包括計算機,也可以包括其他聯網資源(如 IoT 設備)
• 攻擊者利用受控主機發送大量的網路數據包,占滿攻擊目標的帶寬,使得正常請求無法達到及時有效的響應
• DNS 響應的數據包比查詢的數據包大,攻擊者發送的DNS查詢數據包大小一般為 60 位元組左右,而查詢返回的數據包的大小通常在3000位元組以上,因此放大倍數能達到50倍以上,放大效果驚人
• 主要通過對系統維護的連接資源進行消耗,使其無法正常連接,以達到拒絕服務的目的,此類攻擊主要是因為TCP 安全性設計缺陷引起的
• 目標計算機響應每個連接請求,然後等待握手中的最後一步,但這一步確永遠不會發生,因此在此過程中耗盡目標的資源
• 消耗應用資源攻擊通過向應用提交大量消耗資源的請求,以達到拒絕服務的目的
• 這種類型的攻擊較簡單的實現可以使用相同范圍的攻擊 IP 地址、referrer 和用戶代理訪問一個 URL;復雜版本可能使用大量攻擊性 IP 地址,並使用隨機 referrer 和用戶代理來針對隨機網址
• LOTC是一個最受歡迎的DOS攻擊工具。 這個工具曾經被流行的黑客集團匿名者用於對許多大公司的網路攻擊
• 它可以通過使用單個用戶執行 DOS 攻擊小型伺服器,工具非常易於使用,即便你是一個初學者。 這個工具執行DOS攻擊通過發送UDP,TCP或HTTP請求到受害者伺服器。你只需要知道伺服器的IP地址或URL,其他的就交給這個工具吧
• XOIC是另一個不錯的DOS攻擊工具。它根據用戶選擇的埠與協議執行DOS攻擊任何伺服器。XOIC開氏悉發者還聲稱XOIC比LOIC在很多方面更強大
• 一般來說,該工具有三種攻擊模式,第一個被稱為測試模式,是非常基本的; 第二個是正常的DOS攻擊模式; 最後一個是帶有HTTP / TCP / UDP / ICMP消息的DOS攻擊模式
• 對付小型網站來說,這是一個很有效的DDOS工具, 但是從來沒有嘗試的要小心點,你可能最終會撞自己的網站的伺服器
• HULK是另一個不錯的DOS攻擊工具,這個工具使用某些其他技術來避免通過攻擊來檢測,它有一個已知的用戶代理列表,且使用的是隨機請求
• 輸入 URL ,點擊 Lock on,設置 Method 模式(比如 HTTP),設置速度等其他參數
• 點擊 IMMA CHARING MAH LAZER ,開始攻擊
• 打開被攻擊的站點,發現此時已經打不開
1、查看流量設備,發現慎頌攻擊者使用僵屍網路在某時間段內發起了DDoS攻擊
2、進一步對網路數據包進行抓包分析,發現攻擊者使用 HTTP 請求功能向伺服器發起多次請求,伺服器返回多個響應文件,造成殲孝乎網路負載過高
3、對伺服器訪問日誌進行排查
1、配置防火牆策略,屏蔽異常訪問的IP地址
2、調整防護設備策略,在不影響業務的情況下限制 HTTP Range 形式訪問
3、如果流量遠遠超出出口帶寬,建議聯系運營商進行流量清洗
1、攻擊前的防禦階段
2、攻擊時的緩解階段
3、攻擊後的追溯總結階段
• 盡量避免將非業務必需的埠暴露在公網上,避免與業務無關的請求和訪問
• 對伺服器進行安全加固,包括操作系統即服務軟體,減少可能被攻擊的點
• 優化網路架構,保證系統的彈性和冗餘,防止單點故障發生
• 對伺服器性能進行測試,評估正常業務下能承受的帶寬,保證帶寬有餘量
• 對現有架構進行壓力測試,評估當前業務吞吐處理能力
• 使用全流量監控設備(如天眼)對全網中存在的威脅進行監控分析,實時關注告警
• 根據當前技術架構、人員、歷史攻擊情況等,完善應急響應技術預案
B. 怎麼攻擊別人伺服器
1.OOB攻擊 這是利用NETBIOS中一個OOB(Out of Band)的漏洞而來進行的,它的原理是通過TCP/IP協議傳遞一個數據包到計算機某個開放的埠上(一般是137、138和139),當計算機收到這個數據包之後就會瞬間死機或者藍屏現象,不重新啟動計算機就無法繼續使用TCP/IP協議來訪問網路。 2.DoS攻擊 這是針對Windows 9X所使用的ICMP協議進行的DOS(Denial of Service,拒絕服務)攻擊,一般來說,這種攻擊是利用對方計算機上所安裝協議的漏洞來連續發送大量的數據包,造成對方計算機的死機。 3.WinNuke攻擊 目前的WinNuke系列工具已經從最初的簡單選擇IP攻擊某個埠發展到可以攻擊一個IP區間范圍的計算機,並且可以進行連續攻擊,還能夠驗證攻擊的效果,還可以對檢測和選擇埠,所以使用它可以造成某一個IP地址區間的計算機全部藍屏死機。 4.SSPing 這是一個IP攻擊工具,它的工作原理是向對方的計算機連續發出大型的ICMP數據包,被攻擊的機器此時會試圖將這些文件包合並處理,從而造成系統死機。 5.TearDrop攻擊 這種攻擊方式利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊,由於IP分段中含有指示該分段所包含的是原包哪一段的信息,所以一些操作系統下的TCP/IP協議在收到含有重疊偏移的偽造分段時將崩潰。TeadDrop最大的特點是除了能夠對Windows 9X/NT進行攻擊之外,連Linux也不能倖免。 另外,也可以對指定伺服器進行漏洞檢測,一般伺服器上都搭有網站,可嘗試對該站進行注入過旁註之類的,或者利用最新漏洞進行溢出攻擊! 方法有很多,腦子要靈活! BY :bbs.77169.com 怪馬
滿意請採納
C. 如何運用DOS的ping指令來攻擊指定的伺服器IP
ping 是DOS命令,一般用於檢測網路通與不通 PING (Packet Internet Grope),網際網路包探索器,用於測試網路連接量的程序。Ping發送一個ICMP回聲清求消息給目的地並報告是否收到所希望的ICMP回聲應答。 它是用來檢查網路是否通暢或者網路連接速度的命令。作為一個生活在網路上的管理員或者黑客來說,ping命令是第一個必須掌握的DOS命令,它所利用的原理是這樣的:網路上的機器都有唯一確定的IP地址,我們給目標IP地址發送一個數據包,對方就要返回一個同樣大小的數據包,根據返回的數據包
D. 什麼是DOS攻擊分為哪些類型
大家都知道,DOS攻擊是網路安全中比較常見的攻擊形式,它的類型和種類有很多,具有很大的危害,而且在網路生活中DOS攻擊是不可避免的,那麼到底什麼是DOS?DOS攻擊類型有哪些?雖然DOS攻擊不可避免,但掌握攻擊類型可以幫助我們有效預防DOS攻擊,所以快跟著我來了解一下吧。
什麼是DOS?
DOS,是Denial of
Service的簡稱,即拒絕服務,不是DOS操作系統,造成DOS的攻擊行為被稱為DOS攻擊,其目的是使計算機或網路無法提供正常的服務。最常見的DOS攻擊有計算機網路帶寬攻擊和連通性攻擊。
DOS攻擊類型有哪些?常見方式如下:
SYN FLOOD
利用伺服器的連接緩沖區,利用特殊的程序,設置TCP的header,向伺服器端不斷地成倍發送只有SYN標志的TCP連接請求。當伺服器接收的時候,都認為是沒有建立起來的連接請求,於是為這些請求建立會話,排到緩沖區隊列中。
如果SYN請求超過了伺服器能容納的限度,緩沖區隊列滿,那麼伺服器就不再接收新的請求;其他合法用戶的連接都被拒絕,可以持續SYN請求發送,直到緩沖區中都是自己的只有SYN標志的請求。
IP欺騙
DOS攻擊這種攻擊利用RST位來實現的,比如現在有一個合法用戶已經同伺服器建立正常連接,攻擊者構造攻擊的TCP數據,偽裝自己的IP為正常ip,向伺服器發送一個帶有RST位的TCP數據段。伺服器接收到這樣的數據後,認為從合法用戶發送的連接有錯搜清誤,就會清空緩沖區中建立好的連接。這時,如果合法用戶再發送合法數據,伺服器就已經沒有這樣的連接了,該用戶必須重新開始建立連接。
帶寬DOS攻擊
如果連接帶寬足夠大而伺服器又不是很大,可以發送請求,來消耗伺服器的緩沖區消耗伺服器的帶寬。這種攻擊就是人多力量大,配合上SYN一起實施DOS,威力巨大。
自身消耗的DOS攻擊
這種是老式的攻擊手法。說老式,是因為老式的系統有這樣的自身BUG,比如win
95這樣的系統。這種DOS攻擊就是把請求客戶端IP和埠弄成主機的IP埠相同,發送給主機。使得主機給自己發送TCP請求和連接。這種主機的漏洞會很快地把資源消耗光,直接導致宕機。這種偽裝對一些身份認證系統威脅還是很大的。
塞滿伺服器的硬碟
如果伺服器可以沒有限制地執行寫操作,那麼都能成為塞滿硬碟造成DOS攻擊的途徑:
余凱1、發送垃圾郵件:一般公司的伺服器可能把郵件伺服器和Web伺服器都放在一起,破壞者可以發送大量的垃圾郵件,這些郵件可能都塞在一個郵件隊列中或者就是壞郵件隊列中,直到郵箱被撐破或者把硬碟塞滿。
2、讓日誌記錄滿:入侵者可以構造大量的錯誤信息發送出來,伺服器記錄這些錯誤,可能就造成日誌文件非常龐大,甚至會塞滿硬碟。同時會讓管理員痛苦地面對大量的日誌,甚至就不能發現入侵者真正的入侵途徑。
3、向匿名FTP塞垃圾文件世毀前,這樣也會塞滿硬碟空間。
E. 怎麼用DOS命令攻擊
DoS具有代表性的攻擊手段包括PingofDeathdos攻擊快閃族、TearDrop、UDPflood、SYNflood、LandAttack、IPSpoofingDoS等。
具體DoS攻擊方法很多,但大多都可以分為以下幾類:
利用軟體實現的缺陷
OOB攻擊(常用工具winnuke),teardrop攻擊(常用工具teardrop.cboink.cbonk.c),lan
軟體主流程圖
d攻擊,IGMP碎片包攻擊,jolt攻擊,Cisco2600路由器IOSversion12.0(10)遠程拒絕服務攻擊等等,這些攻擊都是利用了被攻擊軟體的實現上的缺陷完成DoS攻擊的。通常這些攻擊工具向被攻擊系統發送特定類型的一個或多個報文,這些攻擊通常都是致命的,一般都是一擊致死,而且很多攻擊是可以偽造源地址的,所以即使通過IDS或者別的sniffer軟體記錄到攻擊報文也不能找到誰發動的攻擊,而且此類型的攻擊多是特定類型的幾個報文,非常短暫的少量的報文,如果偽造源IP地址的話,使追查工作幾乎是不可能。
那麼如何造成這些攻擊的?通常是軟體開發過程中對某種特定類型的報文、或請求沒有處理,導致軟體遇到這種類型的報文運行出現異常,導致軟體崩潰甚至系統崩潰。下面結合幾個具體實例解釋一下這種攻擊的成因。
1997年5月7號有人發布了一個winnuke.c。首先建立一條到Win95/NT主機的TCP連接,然後發送TCP緊急數據,導致對端系統崩潰。139/TCP是Win95/NT系統最常見的偵聽埠,所以winnuke.c使用了該埠。之所以稱呼這種攻擊為OOB攻擊,因為MSG_OOB標志,實際應該是TCP緊急數據攻擊。
原始teardrop.c只構造了兩種碎片包,每次同時發送這兩種UDP碎片包。如果指定發送次數,將完全重復先前所發送出去的兩種碎片包。它可以偽造源ip並跨越路由器進行遠程攻擊,影響的系統包括Linux/WinNT/Win95。使用的方法是:
teardrop源ip目的ip[-s源埠][-d目的埠][-n次數]
比較新的一個DoS攻擊是Windows的SMB實現中的DoS攻擊,2002年8月發布,只要允許匿名連接的windows系統就可以進行遠程攻擊,強烈建議Windows用戶打相應的補丁。它的方法就是先和目標系統建立一個連接,然後發送一個特定的請求,目標系統就會蘭屏。發布的測試工具SMBdie.exe是圖形界面工具,輸入目標地址NETBIOS名稱即可。
從上面的討論可以看出,這種攻擊行為威力很大,而且難於偵察。但真實情況下它的危害僅現於漏洞發布後的不長的升跡時間段內,相關廠商會很快發布補丁修補這種漏洞。所以上面提到的幾種較老的攻擊在現實的環境中,通常是無效的。不過最新的攻擊方法還是讓我們不寒而慄,我們可以做的就是關注安全漏吵戚並洞的發布,及時打上新的補丁。如果你想偷懶的話,購買專業安全服務公司的相關服務應該是個更好的選擇。
利用協議的漏洞
如果說上面那種漏洞危害的時間不是很長,那麼這種攻擊的生存能力卻非常強。為了能夠在網路上進行互通、互聯,所有的軟體實現都必須遵循既有的協議,而如果這種協議存在漏洞的話,所有遵循此協議的軟體都會受到影響。
最經典的攻擊是synflood攻擊,它利用TCP/IP協議的漏洞完成攻擊。通常一次TCP連接的建立包括3個步驟,客戶端發送SYN包給伺服器端,伺服器分配一定的資源給這里連接並返回SYN/ACK包,並等待連接建立的最後的ACK包,最後客戶端發送ACK報文,這樣兩者之間的連接建立起來,並可以通過連接傳送數據了。而攻擊的過程就是瘋狂發送SYN報文,而不返回ACK報文,伺服器佔用過多資源,而導致系統資源佔用過多,沒有能力響應別的操作,或者不能響應正常的網路請求。
這個攻擊是經典的以小搏大的攻擊,自己使用少量資源佔用對方大量資源。一台P4的Linux系統大約能發到30-40M的64位元組的synflood報文,仔段而一台普通的伺服器20M的流量就基本沒有任何響應了(包括滑鼠、鍵盤)。而且synflood不僅可以遠程進行,而且可以偽造源IP地址,給追查造成很大困難,要查找必須所有骨幹網路運營商,一級一級路由器的向上查找。
對於偽造源IP的synflood攻擊,除非攻擊者和被攻擊的系統之間所有的路由器的管理者都配合查找,否則很難追查。當前一些防火牆產品聲稱有抗DoS的能力,但通常他們能力有限,包括國外的硬體防火牆大多100M防火牆的抗synflood的能力只有20-30Mbps(64位元組syn包),這里涉及到它們對小報文的轉發能力,再大的流量甚至能把防火牆打死機。有些安全廠商認識到DoS攻擊的危害,開始研發專用的抗拒絕服務產品。
由於TCP/IP協議相信報文的源地址,另一種攻擊方式是反射拒絕服務攻擊,另外可以利用還有廣播地址,和組播協議輔助反射拒絕服務攻擊效果更好。不過大多數路由器都禁止廣播地址和組播協議的地址。
另一類攻擊方式是使用大量符合協議的正常服務請求,由於每個請求耗費很大系統資源,導致正常服務請求不能成功。如HTTP協議是無狀態協議,攻擊者構造大量搜索請求,這些請求耗費大量伺服器資源,導致DoS。這種方式攻擊比較好處理,由於是正常請求,暴露了正常的源IP地址,禁止這些IP就可以了。
進行資源比拼
這種攻擊方式屬於無賴打法,我憑借著手中的資源豐富,發送大量的垃圾數據侵佔完你的資源,導致DoS。比如,ICMPflood,mstreamflood,Connectionflood。為了獲得比目標系統更多資源,通常攻擊者會發動DDoS(DistributedDos分布式拒絕服務)攻擊者控制多個攻擊傀儡發動攻擊,這樣才能產生預期的效果。前兩類攻擊是可以偽造IP地址的,追查也是非常困難,第3種攻擊由於需要建立連接,可能會暴露攻擊傀儡的IP地址,通過防火牆禁止這些IP就可以了。對於難於追查,禁止的攻擊行為,我們只能期望專用的抗拒絕服務產品了。
攻擊程序
smurf、trinoo、tfn、tfn2k以及stacheldraht是比較常見的DoS攻擊程序,本文將對它們的原理以及抵禦措施進行論述,以幫助管理員有效地抵禦DoS風暴攻擊,維護站點安全。
F. 常見的DOS攻擊手段有哪些
DoS是Denial of
Service的簡稱,即拒絕服務,造成DoS的攻擊行為被稱為DoS攻擊,其目的是使計算機或網路無法提供正常的服務。最常見的DoS攻擊有計算機網路寬頻攻擊和連通性攻擊。
DoS攻擊是指故意的攻擊網路協議實現的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源,目的是讓目標計算機或網路無法提供正常的服務或資源訪問,使目標系統服務系統停止響應甚至崩潰,而在此攻擊中並不包括侵入目標伺服器或目標網路設備。這些服務資源包括網路帶寬,文件系統空間容量,開放的進程或者允許的連接。這種攻擊會導致資源的匱乏,無論計算機的處理速度多快、內存容量多大、網路帶寬的速度多快都無法避免這種攻擊帶來的後果。
常見類型如下:
第一種:SYN flood(SYN泛洪)
SYN泛洪是一種DOS攻擊,攻擊者向目標系統發送一系列SYN請求,企圖使用大量伺服器資源使系統對合法流量無響應。
第二種:Teardrop Attacks(淚滴攻擊)
淚滴攻擊涉及黑客向受害者的機器發送重疊的,超大的有效載荷的破碎和混亂的IP片段。由於TCP/IP碎片重新組裝的方式存在錯誤,因此顯然會導致操作系統和伺服器崩潰。所有操作系統的許多類型的伺服器都容易受到這種類型的DOS攻擊,包括Linux。
第三種:Low-rate Denial-of-Service attacks(低速拒絕服務攻擊)
這是非常致命的DoS攻擊!低速率DoS攻擊旨在利用TCP的慢速時間動態,能夠執行重傳超時機制以嘩粗降低TCP吞吐量。簡而言之,黑客可以通過發送高速率和密集突發來反復進入RTO狀態來創建TCP溢出-同時在慢亂埋鎮速RTO時間尺度上。受害節點處的TCP吞吐量將大幅降低,而黑客的平均速率較低,因此難以被檢測到。
第四種:Internet Control Message Protocol flood(Internet控制消息協議(ICMP)泛洪)
Internet控制消息協議是一種用於IP操作,診斷和錯誤的無連接協議。ICMP
Flood-發送異常大量的任何類型的ICMP數據包,可能會淹沒嘗試處理每個傳入ICMP請求的目標伺服器,這可能導致拒絕-目標伺服器的服務條件。
第五種:Peer-to-peer attacks(點對點攻擊)
點對點網路是一種分布式網路,其中網路中的各個節點充當資源的供應液備者和消費者,與集中式客戶端-伺服器模型相反,客戶端-伺服器或操作系統節點請求訪問中央伺服器提供的資源。
G. 什麼是DoS攻擊
拒絕服務(DenialofServer,DoS)攻擊是一種常用的攻擊渣戚方式。DoS攻擊廣義上可以指任何導致伺服器不能正常提供服務的攻擊。確切地說,DoS攻擊即故意如差陵攻擊網路協議的缺陷或直接通過各種手段耗盡被攻擊對象的資源,目的是讓目標計算機或網路無法慶虛提供正常的服務,使目標系統停止響應甚至崩潰。這些服務資源包括網路帶寬、文件系統空間容量、開放的進程或者允許的連接等。
H. dos攻擊器怎麼用
DoS攻擊主要分為Smurf、SYN Flood和Fraggle三種,在Smurf攻擊中,攻擊者使用ICMP數據包阻塞伺服器和其他網路資源;SYN Flood攻擊使用數量巨大的TCP半連接來佔用網路資源;Fraggle攻擊與Smurf攻擊原理類似,使用UDP echo請求而不是ICMP echo請求發明耐森起攻擊。 盡管網路安全專家都在著力開發阻止DoS攻擊的設備,但收效不大,因為DoS攻擊利用了TCP協議本身的弱點。正確配置路由器能夠有效防止DoS攻擊。以Cisco路由器為例,Cisco路由器中的IOS軟體具有許多防止DoS攻擊的特性,保護路由器自身和內部網路的安全。 使用擴展訪問列表 擴畝旅展訪問列表是防止DoS攻擊的有效工具。它既可以用來探測DoS攻擊的類型,也可以阻止DoS攻擊。Show ip access-list命令能夠顯示每個擴展訪問列表的匹配數據包,根據數據包的類型,用戶就可以確定DoS攻擊的種類。如果網路中出現了大量建立TCP連接的請求,這表明網路受到了SYN Flood攻擊,這時用戶就可以改變訪問列表的配置,阻止DoS攻擊。 使用QoS 使用服務質量優化(QoS)特徵,如加權公平隊列(WFQ)、承諾訪問速率(CAR)、一般流量整形(GTS)以及定製隊列(CQ)等,都可激畝以有效阻止DoS攻擊。需要注意的是,不同的QoS策略對付不同DoS攻擊的效果是有差別的。例如,WFQ對付Ping Flood攻擊要比防止SYN Flood攻擊更有效,這是因為Ping Flood通常會在WFQ中表現為一個單獨的傳輸隊列,而SYN Flood攻擊中的每一個數據包都會表現為一個單獨的數據流。此外,人們可以利用CAR來限制ICMP數據包流量的速度,防止Smurf攻擊,也可以用來限制SYN數據包的流量速度,防止SYN Flood攻擊。使用QoS防止DoS攻擊,需要用戶弄清楚QoS以及DoS攻擊的原理,這樣才能針對DoS攻擊的不同類型採取相應的防範措施。 使用單一地址逆向轉發 逆向轉發(RPF)是路由器的一個輸入功能,該功能用來檢查路由器介面所接收的每一個數據包。
請採納。
I. DDOS攻擊的具體步驟
1、首先在[開始]按鈕右擊點擊其中的【運行】或者「win+R」打開運行框
2、接著,在運行框裡面輸入「cmd」然後點擊確定
3、在「命令提示符」中,輸入「arp -a",回車。並選擇你想要攻擊的ip"arp-a"這一步是看當前區域網裡面的設備連接狀態
4、輸入」ping -l 65500 192.168.1.103 -t「並回車;-l是發送緩沖區大小,65500是它的極限;-t 就是一直無限下去,直到停止假設我要攻擊ip為192.168.1.103的伺服器,這就是ddos攻擊
5、如果要停止攻擊,就要按鍵盤上」Ctrl+C「來結束
DDOS名詞解釋,分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指藉助於客戶/伺服器技術,將多個計算機聯合起來作為攻擊平台,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。
一流的攻擊速度以及強大的隱蔽性能,使得DDOS集合了市面上所有攻擊軟體優點成為了最熱的攻擊方式。接下來本文將簡單的介紹一下三種最為流行的DDOS攻擊方式
J. 什麼叫DOS攻擊
分類: 電腦/網路 >> 互聯網
問題描述:
什麼叫DOS攻擊?
他們怎麼對我發動攻擊?
我又如何能夠發覺到他的攻擊呢?
解析:
DOS攻擊原理以及常見方法介紹
已經有很多介紹DOS(Denial of Service,即拒絕服務)攻擊的文章,但是,多數人還是不知道DOS到底是什麼,它到底是怎麼實現的。本文主要介紹DOS的機理和常見的實施方法。因前段時間仔細了解了TCP/IP協議以及RFC文檔,有點心得。同時,文中有部分內容參考了Shaft的文章翻譯而得。要想了解DOS攻擊得實現機理,必須對TCP有一定的了解。
1、什麼是DOS攻擊
DOS:即碧則Denial Of Service,拒絕服務的縮寫,可不能認為是微軟的dos操作系統了。好象在5·1的時候鬧過這樣的笑話。拒絕服務,就相當於必勝客在客滿的時候不再讓人進去一樣,呵呵,你想吃餡餅,就必須在門口等吧。DOS攻擊即讓目標機器停止提供服務或資源訪問。
2、有關TCP協議的東西
TCP(tran *** ission control protocol,傳輸控制協議),是用來在不可靠的網際網路上提供可靠的、端到端的位元組流通訊協議,在RFC793中有正式定義,還有一些解決錯誤的東西在RFC 1122中有記錄,RFC 1323則有TCP的功能擴展。我們常見到的TCP/IP協議中,IP層不保證將數據報正確傳送到目的地,TCP則從本地機器接受用戶的數據流,將其分成不超過64K位元組的數據片段,將每個數據片段作為單獨的IP數據包發送出去,最後在目的地機器中再組合成完整的位元組流,TCP協議必須保證可靠性。發送和接收方的TCP傳輸以數據段的形式交換數據,一個數據段包括一個固定的20位元組,加上可選部分,後面再跟上數據,TCP協議從發送方傳送一個數據段的時候,還要啟動計時器,當數據段到達目的地後,接收方還要發送回一個數據段,其中有一個確認序號,它等於希望收到的下一個數據段的順序號,如果計時器在確認信息到達前超時了,發送方會重新發送這個數據段。
上面,我們總體上了解一點TCP協議,重要的是要熟悉TCP的數據頭(header)。因為數據流的傳輸最重要的就是header裡面的東西,至於發送的數據,只是header附帶上的。客戶端和服務端的服務響應就是同header裡面的數據相關,兩端的信息交流和交換是根據header中的內容實施的,因此,要實現DOS,就必須對header中的內容非常熟悉。
下面是TCP數據廳晌段頭格式。RFC793中的
(請大家注意網頁顯示空格使下面的格式錯位了)
0123
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Port |Destination Port|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Sequence Number|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|扮慧鋒Acknowledgment Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Data ||U|A|P|R|S|F||
| Offset| Reserved |R|C|S|S|Y|I|Window |
|||G|K|H|T|N|N||
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Checksum| Urgent Pointer|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Options|Padding|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| data |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
TCP Header Format
Source Port和 Destination Port :是本地埠和目標埠
Sequence Number 和 Acknowledgment Number :是順序號和確認號,確認號是希望接收的位元組號。這都是32位的,在TCP流中,每個數據位元組都被編號。
Data offset :表明TCP頭包含多少個32位字,用來確定頭的長度,因為頭中可選欄位長度是不定的。
Reserved : 保留的6位,現在沒用,都是0
接下來是6個1位的標志,這是兩個計算機數據交流的信息標志。接收和發送斷根據這些標志來確定信息流的種類。下面是一些介紹:
URG:(Urgent Pointer field significant)緊急指針。用到的時候值為1,用來處理避免TCP數據流中斷
ACK:(Acknowledgment field significant)置1時表示確認號(Acknowledgment Number)為合法,為0的時候表示數據段不包含確認信息,確認號被忽略。
PSH:(Push Function),PUSH標志的數據,置1時請求的數據段在接收方得到後就可直接送到應用程序,而不必等到緩沖區滿時才傳送。
RST:(Reset the connection)用於復位因某種原因引起出現的錯誤連接,也用來拒絕非法數據和請求。如果接收到RST位時候,通常發生了某些錯誤。
SYN:(Synchronize sequence numbers)用來建立連接,在連接請求中,SYN=1,ACK=0,連接響應時,SYN=1,ACK=1。即,SYN和ACK來區分Connection Request和Connection Accepted。
FIN:(No more data from sender)用來釋放連接,表明發送方已經沒有數據發送了。
知道這重要的6個指示標志後,我們繼續來。
16位的WINDOW欄位:表示確認了位元組後還可以發送多少位元組。可以為0,表示已經收到包括確認號減1(即已發送所有數據)在內的所有數據段。
接下來是16位的Checksum欄位,用來確保可靠性的。
16位的Urgent Pointer,和下面的欄位我們這里不解釋了。不然太多了。呵呵,偷懶啊。
我們進入比較重要的一部分:TCP連接握手過程。這個過程簡單地分為三步。
在沒有連接中,接受方(我們針對伺服器),伺服器處於LISTEN狀態,等待其他機器發送連接請求。
第一步:客戶端發送一個帶SYN位的請求,向伺服器表示需要連接,比如發送包假設請求序號為10,那麼則為:SYN=10,ACK=0,然後等待伺服器的響應。
第二步:伺服器接收到這樣的請求後,查看是否在LISTEN的是指定的埠,不然,就發送RST=1應答,拒絕建立連接。如果接收連接,那麼伺服器發送確認,SYN為伺服器的一個內碼,假設為100,ACK位則是客戶端的請求序號加1,本例中發送的數據是:SYN=100,ACK=11,用這樣的數據發送給客戶端。向客戶端表示,伺服器連接已經准備好了,等待客戶端的確認
這時客戶端接收到消息後,分析得到的信息,准備發送確認連接信號到伺服器
第三步:客戶端發送確認建立連接的消息給伺服器。確認信息的SYN位是伺服器發送的ACK位,ACK位是伺服器發送的SYN位加1。即:SYN=11,ACK=101。
這時,連接已經建立起來了。然後發送數據,<SYN=11,ACK=101><DATA>。這是一個基本的請求和連接過程。需要注意的是這些標志位的關系,比如SYN、ACK。
3、伺服器的緩沖區隊列(Backlog Queue)
伺服器不會在每次接收到SYN請求就立刻同客戶端建立連接,而是為連接請求分配內存空間,建立會話,並放到一個等待隊列中。如果,這個等待的隊列已經滿了,那麼,伺服器就不在為新的連接分配任何東西,直接丟棄新的請求。如果到了這樣的地步,伺服器就是拒絕服務了。
如果伺服器接收到一個RST位信息,那麼就認為這是一個有錯誤的數據段,會根據客戶端IP,把這樣的連接在緩沖區隊列中清除掉。這對IP欺騙有影響,也能被利用來做DOS攻擊。
上面的介紹,我們了解TCP協議,以及連接過程。要對SERVER實施拒絕服務攻擊,實質上的方式就是有兩個:
一, 迫使伺服器的緩沖區滿,不接收新的請求。
二, 使用IP欺騙,迫使伺服器把合法用戶的連接復位,影響合法用戶的連接這就是DOS攻擊實施的基本思想。具體實現有這樣的方法:
1、SYN FLOOD
利用伺服器的連接緩沖區(Backlog Queue),利用特殊的程序,設置TCP的Header,向伺服器端不斷地成倍發送只有SYN標志的TCP連接請求。當伺服器接收的時候,都認為是沒有建立起來的連接請求,於是為這些請求建立會話,排到緩沖區隊列中。
如果你的SYN請求超過了伺服器能容納的限度,緩沖區隊列滿,那麼伺服器就不再接收新的請求了。其他合法用戶的連接都被拒絕掉。可以持續你的SYN請求發送,直到緩沖區中都是你的只有SYN標記的請求。現在有很多實施SYN FLOOD的工具,呵呵,自己找去吧。
2、IP欺騙DOS攻擊
這種攻擊利用RST位來實現。假設現在有一個合法用戶(1.1.1.1)已經同伺服器建立了正常的連接,攻擊者構造攻擊的TCP數據,偽裝自己的IP為1.1.1.1,並向伺服器發送一個帶有RST位的TCP數據段。伺服器接收到這樣的數據後,認為從1.1.1.1發送的連接有錯誤,就會清空緩沖區中建立好的連接。這時,如果合法用戶1.1.1.1再發送合法數據,伺服器就已經沒有這樣的連接了,該用戶就必須從新開始建立連接。
攻擊時,偽造大量的IP地址,向目標發送RST數據,使伺服器不對合法用戶服務。
3、帶寬DOS攻擊
如果你的連接帶寬足夠大而伺服器又不是很大,你可以發送請求,來消耗伺服器的緩沖區消耗伺服器的帶寬。這種攻擊就是人多力量大了,配合上SYN一起實施DOS,威力巨大。不過是初級DOS攻擊。呵呵。Ping白宮??你發瘋了啊!
4、自身消耗的DOS攻擊
這是一種老式的攻擊手法。說老式,是因為老式的系統有這樣的自身BUG。比如Win95 (winsock v1), Cisco IOS v.10.x, 和其他過時的系統。
這種DOS攻擊就是把請求客戶端IP和埠弄成主機的IP埠相同,發送給主機。使得主機給自己發送TCP請求和連接。這種主機的漏洞會很快把資源消耗光。直接導致當機。這種偽裝對一些身份認證系統還是威脅巨大的。
實施DOS攻擊最主要的就是構造需要的TCP數據,充分利用TCP協議。這些攻擊方法都是建立在TCP基礎上的。當然還有更多的實施方法,可以自己去研究。
本文只是一種技術討論,不存在任何惡意。如果有人利用做過什麼壞事情,同本人無關。