拒绝服务攻击浅谈
文章出处:[EST] [CGI] 作者:风泽 转贴请注明出处,谢谢
先来看几个解释:
DoS(Denial of Service) 拒绝服务攻击
DDoS(Distributed Denial of Service) 分布式拒绝服务攻击
DRDoS(Distributed Reflection Denial of Servie Attack) 分布式反射拒绝服务攻击
拒绝服务攻击?如果你不是刚接触网络的话应该对这个词不陌生吧。拒绝服务攻击就是向网站服务器发送大量要求回复的信息,消耗网络带宽或系统资源,导致网站服务器不能正常服务以至于瘫痪而停止服务。还有一种DoS是针对系统本身漏洞的,通过漏洞利用程序向服务器发送特殊代码,导致服务器提供的服务停止或者服务器崩溃,此方法不属本文范围之内,不做深入讨论。
DoS是指一台攻击机器对服务器发送数据包,最常见方式有SYNFLOOD、LAND、FAKEPING、狂怒ping,这些攻击效果取决攻击主机的配置和带宽和被攻击主机的配置和带宽。
DoS威力很有限,所以就出现了DDoS,DDoS攻击方式和DoS基本一样,但它是有N台连上Internet的计算机组成的一个攻击者,威力可显而知,机器越多威力越大,很多网络管理员对DDoS很头疼,要摆脱DDoS的烦恼就要花一大笔资金,如果是小型企业的就负担不起了,所以DDoS给Internet带来了很多损失。但DDoS也有缺点,就是攻击者必须收集足够的攻击傀儡机器才能发起一次大规模的DDoS,当然对一些爱好攻击的人来说收集傀儡主机并不是困难之一。
另一个威力强悍的新型攻击方式--DRDoS,它不需要你收集大量肉鸡,只要带宽足够,1台机器就可以发动一次大规模的攻击,就象百度这样的大站也可以让他在短时间内停止服务。是不是很可怕?
DRDoS的攻击方式在2002就有报道,为什么到现在还称为新一代的攻击方式呢?因为在这几年中国内的一些主流攻击方式还是DDoS攻击,DRDoS攻击很少见,最近在某网站看见DRDoS攻击方式的攻击工具才觉得DRDoS时代已经悄悄的来了。由于这个攻击方式在网上介绍还不太多,今天我就来简单的介绍一下。
根据网络上的一些资料简单分析,被攻击机器接受SYN/ACK包都是合法的,而且有大量的路由参与了攻击,但他们都是用SYN/ACK回应包来攻击服务器,由这一点我们可以想到攻击是由一台或多台傀儡主机,伪造攻击目标主机的IP地址,大量向Internet上的任意主机(包括路由)发送SYN请求,这些接受到请求的主机都会根据请求的IP地址返回一个SYN/ACK包,这样被攻击的目标就大量接受返回的包,造成带宽资源的耗尽,最终导致拒绝服务。
知道了DRDoS的攻击手法,是不是感觉有点借刀杀人的味道?
DRDoS的防范我就不多说了,毕竟偶也没遇到此类攻击。再提两点:
1.攻击者对网络上的主机大量发送伪造的请求,一些防火墙就会自动反弹,间接的使一般用户也成为攻击中的一员,这样的攻击强度可显而知。
2.这点关于DRDoS防范方面的,也是DRDoS一个弱点,这个也是需要ISP做的一件事,就是在数据包出口做严格的审查,发现伪造的包,就将机器的源地址发送出去,这样DRDoS就达不到它的目的了。
以上两点是在和暗域网络技术站长冰血封情讨论的时候冰血兄给我介绍的,在此特别感谢冰血封情。
好了,几种拒绝服务攻击就简单的谈到这里,希望大家对攻击有一个简单了解,本人技术有限,如有不当之处还望各位能够斧正。
黑客是怎样攻击服务器的
Web服务器将成为下一代黑客施展妖术的对象。在很大程度上,进行这种攻击只需一个Web浏览器和一个创造性的头脑。以前,黑客的攻击对象集中在操
作系统和网络协议上,但随着这些攻击目标的弱点和漏洞逐渐得到修补,要进行这类攻击已经变得非常困难。操作系统正在变得更加稳健,对攻击的抵抗能力日益提
高。随着身份验证和加密功能渐渐被内置到网络协议中,网络协议也变得更加安全。此外,防火墙也越来越智能,成为网络和系统的外部保护屏障。
另一方面,电子商务技术正在日益普及开来,其复杂性有增无减。基于Web的应用程序正在与基本的操作系统和后端数据库更加紧密地集成在一起。遗憾的
是,人们在基于Web的基础设施安全性方面所做的工作还很不够。Web服务器和Web应用程序中的弱点被发现的速度为何这么快呢?
有
很多因素促成了这种Web黑客活动的快速增加。其中最主要的原因是防火墙允许所有的Web通信都可以进出网络,而防火墙无法防止对Web服务器程序及其组
件或Web应用程序的攻击。第二个原因是,Web服务器和基于Web的应用程序有时是在“功能第一,安全其次”的思想指导下开发出来的。
当您的Web服务器面临巨大威胁时,怎样保障它们的安全呢?这就需要您不断了解新信息,新情况,每天跟踪您所用服务器的有关网站,阅读相关新闻并向它进行咨询。为了让你着手这方面的工作,下面介绍黑客对NT系统的四种常用攻击手段,同时介绍如何防止这类攻击。
Microsoft IIS ism.dll缓冲区溢出受影响的服务器:运行IIS 4.0并带有“Service Pack
3/4/5”的Windows
NT服务器MicrosoftIIS缓冲区溢出这一安全弱点是Web服务器无时不有的重大缺陷之一。该弱点被称为IIS
eEye,这个名称来自发现此问题的一个小组。在实施缓冲区溢出攻击时,黑客向目标程序或服务输入超出程序处理能力的数据,导致程序突然终止。另外,还可
以通过设置,在执行中的程序终止运行前,用输入的内容来覆盖此程序的某些部分,这样就可以在服务器的安全权限环境下执行任意黑客命令。
eEye发现,IIS用来解释HTR文件的解释程序是ism.dll,它对缓冲区溢出攻击的抵抗力十分脆弱。如果攻击者将一个以.htr结尾的超长文
件名(大约3,000个字符,或更多)传递给IIS,那么输入值将在ism.dll中造成输入缓冲区溢出,并导致IIS崩溃。如果攻击者输入的不是一串字
母而是可执行代码(通常称为“鸡蛋”或“外壳代码”),那么在IIS终止之前将执行该代码。由eEye小组发现的这一攻击方法
包括三个步骤:
1.创建一个用于侦听任意TCP端口上连接活动的程序。一旦接收到连接信号,该程序将执行一个Windows命令外壳程序(cmd.exe),并将
该外壳与连接绑定在一起。这个程序是经过修改的Netcat。Netcat是一个流行的网络连接实用程序,其源代码可以免费获得。
2.在IIS的ism.dll中制造缓冲区溢出,并使IIS从外部Web站点下载侦听程序(由步骤1产生)。
3.执行刚下载的程序(由步骤2产生),该程序将等待传入的连接并使攻击者进入Windows命令外壳程序中。
由于缓冲区溢出导致IIS在崩溃之前转而运行Windows命令外壳,所以该外壳程序将在IIS的安全权限背景下运行,而该安全权限背景等价于
NT
Administrator权限。这样,攻击者要做的只是与被攻击的IIS服务器的侦听端口建立连接,然后等着出现c:>提示就万事大吉
了。现在,攻击者拥有对整个NT服务器的管理权限,可以做任何事,比如,添加新用户、修改服务器的内容、格式化驱动器,甚至将该服务器用作攻击其它系统的
踏脚石。
运行IIS 4.0并带有“Service Pack 3/4/5”的Windows NT服务器容易受到此类攻击。Microsoft已经发布了对该弱点的修补程序。Windows NT Service Pack 6也已经修补了该问题。
文章转载地址:http://www.cnpaf.net/Class/hack/06101110491633851871.html
加支付宝好友偷能量挖...
