精华内容
下载资源
问答
  • 怎么拒绝服务
    万次阅读
    2019-02-28 15:40:21

    拒绝服务(Denial of Service,简称DoS)

    是一种简单的破坏性攻击。通常是利用传输协议下的某个弱点、系统存在的漏洞、或服务器的漏洞。对目标系统发起大规模的进攻。用超出目标处理能力的海量数据包消耗可用系统资源、宽带资源等,造成程序缓冲区溢出错误,使其他合法用户无法正常请求。最终致使网络服务瘫痪,甚至系统死机

    拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为网络协议本身的安全缺陷,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区,不接收新的请求;二是使用IP欺骗,迫使服务器把非法用户的连接复位,影响合法用户的连接。

    最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽, 最后导致合法的用户请求无法通过。

    连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。

    防止攻击:

    许多现代的UNIX允许管理员设置一些限制,如限制可以使用的最大内存、CPU时间以及可以生成的最大文件等。如果当前正在开发―个新的程序,而又不想偶然地使系统变得非常缓慢,或者使其它分享这台主机的用户无法使用,这些限制是很有用的。Korn Shell的ulimit命令和Shell的Iimit命令可以列出当前程的资源限制。

    SYN Flood防御

    前文描述过,SYN Flood攻击大量消耗服务器的CPU、内存资源,并占满SYN等待队列。相应的,我们修改内核参数即可有效缓解。主要参数如下:

    net.ipv4.tcp_syncookies = 1

    net.ipv4.tcp_max_syn_backlog = 8192

    net.ipv4.tcp_synack_retries = 2

    分别为启用SYN Cookie、设置SYN最大队列长度以及设置SYN+ACK最大重试次数。

    SYN Cookie的作用是缓解服务器资源压力。启用之前,服务器在接到SYN数据包后,立即分配存储空间,并随机化一个数字作为SYN号发送SYN+ACK数据包。然后保存连接的状态信息等待客户端确认。启用SYN Cookie之后,服务器不再分配存储空间,而且通过基于时间种子的随机数算法设置一个SYN号,替代完全随机的SYN号。发送完SYN+ACK确认报文之后,清空资源不保存任何状态信息。直到服务器接到客户端的最终ACK包,通过Cookie检验算法鉴定是否与发出去的SYN+ACK报文序列号匹配,匹配则通过完成握手,失败则丢弃。当然,前文的高级攻击中有SYN混合ACK的攻击方法,则是对此种防御方法的反击,其中优劣由双方的硬件配置决定

    tcp_max_syn_backlog则是使用服务器的内存资源,换取更大的等待队列长度,让攻击数据包不至于占满所有连接而导致正常用户无法完成握手。net.ipv4.tcp_synack_retries是降低服务器SYN+ACK报文重试次数,尽快释放等待资源。这三种措施与攻击的三种危害一一对应,完完全全地对症下药。但这些措施也是双刃剑,可能消耗服务器更多的内存资源,甚至影响正常用户建立TCP连接,需要评估服务器硬件资源和攻击大小谨慎设置。

    除了定制TCP/IP协议栈之外,还有一种常见做法是TCP首包丢弃方案,利用TCP协议的重传机制识别正常用户和攻击报文。当防御设备接到一个IP地址的SYN报文后,简单比对该IP是否存在于白名单中,存在则转发到后端。如不存在于白名单中,检查是否是该IP在一定时间段内的首次SYN报文,不是则检查是否重传报文,是重传则转发并加入白名单,不是则丢弃并加入黑名单。是首次SYN报文则丢弃并等待一段时间以试图接受该IP的SYN重传报文,等待超时则判定为攻击报文加入黑名单。

    首包丢弃方案对用户体验会略有影响,因为丢弃首包重传会增大业务的响应时间,有鉴于此发展出了一种更优的TCP Proxy方案。所有的SYN数据报文由清洗设备接受,按照SYN Cookie方案处理。和设备成功建立了TCP三次握手的IP地址被判定为合法用户加入白名单,由设备伪装真实客户端IP地址再与真实服务器完成三次握手,随后转发数据。而指定时间内没有和设备完成三次握手的IP地址,被判定为恶意IP地址屏蔽一定时间。除了SYN Cookie结合TCP Proxy外,清洗设备还具备多种畸形TCP标志位数据包探测的能力,通过对SYN报文返回非预期应答测试客户端反应的方式来鉴别正常访问和恶意行为。

    清洗设备的硬件具有特殊的网络处理器芯片和特别优化的操作系统、TCP/IP协议栈,可以处理非常巨大的流量和SYN队列。

    HTTP Flood防御

    HTTP Flood攻击防御主要通过缓存的方式进行,尽量由设备的缓存直接返回结果来保护后端业务。大型的互联网企业,会有庞大的CDN节点缓存内容。

    当高级攻击者穿透缓存时,清洗设备会截获HTTP请求做特殊处理。最简单的方法就是对源IP的HTTP请求频率做统计,高于一定频率的IP地址加入黑名单。这种方法过于简单,容易带来误杀,并且无法屏蔽来自代理服务器的攻击,因此逐渐废止,取而代之的是JavaScript跳转人机识别方案。

    HTTP Flood是由程序模拟HTTP请求,一般来说不会解析服务端返回数据,更不会解析JS之类代码。因此当清洗设备截获到HTTP请求时,返回一段特殊JavaScript代码,正常用户的浏览器会处理并正常跳转不影响使用,而攻击程序会攻击到空处。

    DNS Flood防御

    DNS攻击防御也有类似HTTP的防御手段,第一方案是缓存。其次是重发,可以是直接丢弃DNS报文导致UDP层面的请求重发,可以是返回特殊响应强制要求客户端使用TCP协议重发DNS查询请求。

    特殊的,对于授权域DNS的保护,设备会在业务正常时期提取收到的DNS域名列表和ISP DNS IP列表备用,在攻击时,非此列表的请求一律丢弃,大幅降低性能压力。对于域名,实行同样的域名白名单机制,非白名单中的域名解析请求,做丢弃处理。

    慢速连接攻击防

    Slowloris攻击防御比较简单,主要方案有两个。

    第一个是统计每个TCP连接的时长并计算单位时间内通过的报文数量即可做精确识别。一个TCP连接中,HTTP报文太少和报文太多都是不正常的,过少可能是慢速连接攻击,过多可能是使用HTTP 1.1协议进行的HTTP Flood攻击,在一个TCP连接中发送多个HTTP请求。

    第二个是限制HTTP头部传输的最大许可时间。超过指定时间HTTP Header还没有传输完成,直接判定源IP地址为慢速连接攻击,中断连接并加入黑名单。

    分布式拒绝服务(DDoS:Distributed Denial of Service)攻击

    指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。

    比喻:

    一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业,他们会采取什么手段呢?(只为举例,切勿模仿)恶霸们扮作普通客户一直拥挤在对手的商铺,赖着不走,真正的购物者却无法进入;或者总是和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户;也可以为商铺的经营者提供虚假信息,商铺的上上下下忙成一团之后却发现都是一场空,最终跑了真正的大客户,损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成,需要叫上很多人一起。嗯,网络安全领域中DoS和DDoS攻击就遵循着这些思路。

                                                 

    在信息安全的三要素——“保密性”、“完整性”和“可用性”中,DoS(Denial of Service),即拒绝服务攻击,针对的目标正是“可用性”。该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务。

    DdoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。DDoS就是利用更多的傀儡机肉鸡)来发起进攻,以比从前更大的规模来进攻受害者

    攻击方式:

    DDoS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。 这种攻击方式可分为以下几种:

    通过使网络过载来干扰甚至阻断正常的网络通讯;

    通过向服务器提交大量请求,使服务器超负荷;

    阻断某一用户访问服务器;

    阻断某服务与特定系统或个人的通讯。

    攻击现象:

    被攻击主机上有大量等待的TCP连接;

    网络中充斥着大量的无用的数据包;

    源地址为假 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;

    利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求,使主机无法处理所有正常请求;

    严重时会造成系统死机。

    分类:

    按照TCP/IP协议的层次可将DDOS攻击分为基于ARP的攻击、基于ICMP的攻击、基于IP的攻击、基于UDP的攻击、基于TCP的攻击和基于应用层的攻击。

    基于ARP

      ARP是无连接的协议,当收到攻击者发送来的ARP应答时。它将接收ARP应答包中所提供的信息。更新ARP缓存。因此,含有错误源地址信息的ARP请求和含有错误目标地址信息的ARP应答均会使上层应用忙于处理这种异常而无法响应外来请求,使得目标主机丧失网络通信能力。产生拒绝服务,如ARP重定向攻击。

    基于ICMP

      攻击者向一个子网的广播地址发送多个ICMP Echo请求数据包。并将源地址伪装成想要攻击的目标主机的地址。这样,该子网上的所有主机均对此ICMP Echo请求包作出答复,向被攻击的目标主机发送数据包,使该主机受到攻击,导致网络阻塞。

    基于IP

      TCP/IP中的IP数据包在网络传递时,数据包可以分成更小的片段。到达目的地后再进行合并重装。在实现分段重新组装的进程中存在漏洞,缺乏必要的检查。利用IP报文分片后重组的重叠现象攻击服务器,进而引起服务器内核崩溃。如Teardrop是基于IP的攻击。

    基于TCP

     SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake),而SYN Flood拒绝服务攻击就是通过三次握手而实现的。TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。

    基于应用层

    应用层包括SMTP,HTTP,DNS等各种应用协议。其中SMTP定义了如何在两个主机间传输邮件的过程,基于标准SMTP的邮件服务器,在客户端请求发送邮件时,是不对其身份进行验证的。另外,许多邮件服务器都允许邮件中继。攻击者利用邮件服务器持续不断地向攻击目标发送垃圾邮件,大量侵占服务器资源。

    防止攻击:

    总体来说,对DoS和DDoS的防范主要从下面几个方面考虑:
    尽可能对系统加载最新补丁,并采取有效的合规性配置,降低漏洞利用风险;
    采取合适的安全域划分,配置防火墙、入侵检测和防范系统,减缓攻击。
    采用分布式组网、负载均衡、提升系统容量等可靠性措施,增强总体服务能力。

    主机设置

    关闭不必要的服务
    限制同时打开的Syn半连接数目
    缩短Syn半连接的time out 时间
    及时更新系统补丁

    网络设置
    网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备,在进行防DDoS设置的同时,要注意一下这是以多大的效率牺牲为代价的,对你来说是否值得。
    1.防火墙
    禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。
    2.路由器
    设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server

     

    答题参考:

    1、采用高性能的网络设备引

    首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、 口碑好的产品。 再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS 攻击是非常有效的。

    2、尽量避免 NAT 的使用

    无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换 NAT 的使用, 因为采用此技术会较大降低网络通信能力,其实原因很简单,因为 NA T 需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多 CPU 的时间,但有些时候必须使用 NA T,那就没有好办法了。

    3、充足的网络带宽保证

    网络带宽直接决定了能抗受攻击的能力, 假若仅仅有 10M 带宽的话, 无论采取什么措施都很难对抗当今的 SYNFlood 攻击, 至少要选择 100M 的共享带宽,最好的当然是挂在1000M 的主干上了。但需要注意的是,主机上的网卡是 1000M 的并不意味着它的网络带宽就是千兆的, 若把它接在 100M 的交换机上, 它的实际带宽不会超过 100M, 再就是接在 100M的带宽上也不等于就有了百兆的带宽, 因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。

    4、升级主机服务器硬件

    在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒 10 万个 SYN 攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是 CPU 和内存, 若有志强双 CPU 的话就用它吧, 内存一定要选择 DDR 的高速内存, 硬盘要尽量选择SCSI 的,别只贪 IDE 价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用 3COM 或 Intel 等名牌的,若是 Realtek 的还是用在自己的 PC 上吧。

    5、把网站做成静态页面

    大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到为止关于 HTML 的溢出还没出现,新浪、搜狐、网易等门户网站主要都是静态页面, 若你非需要动态脚本调用, 那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器, 当然, 适当放一些不做数据库调用脚本还是可以的, 此外,最好在需要调用数据库的脚本中拒绝使用代理的访问, 因为经验表明使用代理访问你网站的80%属于恶意行为。

     

    更多相关内容
  • 拒绝服务攻击详解

    千次阅读 2021-11-19 17:01:42
    一、拒绝服务攻击的原理 二、拒绝服务攻击的分类 1、资源消耗 2、系统或应用程序缺陷 3、配置修改 三、典型的拒绝服务攻击 1、Ping of Death 2、泛洪攻击 (1)SYN泛洪 (2)ACK泛洪攻击 (3)TCPLAND攻击...

    目录

    一、拒绝服务攻击的原理

    二、拒绝服务攻击的分类

    1、资源消耗

    2、系统或应用程序缺陷

    3、配置修改

    三、典型的拒绝服务攻击

    1、Ping of Death

    2、泛洪攻击

    (1)SYN泛洪

    (2)ACK泛洪攻击

    (3)TCPLAND攻击

    (4)UDP泛洪攻击

    3、Smurf攻击

    四、分布式拒绝服务攻击DDoS

    1、组成

    2、流程

    3、特点

    五、DoS/DDoS攻击的检测与防御

    1、检测

    2、防御困难的原因

    3、防御方法


    一、拒绝服务攻击的原理

    拒绝服务(DoS,Denial of Service)是一种典型的破坏服务可用性的攻击方式。它不以获得系统权限为目的。

    ●根据NIST SP 800-61的定义,拒绝服务是一种通过耗尽CPU、内存、带宽或磁盘空间等系统资源,来阻止或削弱对网络、系统或者应用程序的授权使用的行为。

    ●拒绝服务攻击通常利用传输协议弱点、系统漏洞、服务漏洞对目标系统发起大规模进攻,利用超出目标处理能力的海量合理请求数据包消耗可用系统资源、带宽资源等,造成程序缓冲区溢出错误,致使其无法处理合法用户的请求,无法提供正常服务,最终致使网络服务瘫痪,甚至系统死机。

    ●早期的拒绝服务攻击主要是利用TCP/IP协议或应用程序的缺陷,使得目标系统或应用程序崩溃。

      当前的拒绝服务攻击试图通过耗尽系统资源来达到目标系统不能为授权用户提供服务的目的。

    二、拒绝服务攻击的分类

    1、资源消耗

    ●可消耗的资源包括目标系统的系统资源(包括CPU资源、内存资源、存储资源等)和网络带宽

    ●如:发送大量的垃圾数据包占用网络带宽,导致正常的数据包因为没有可用的带宽资源而无法到达目标系统;发送大量的垃圾邮件,占用系统磁盘空间;制造大量的垃圾进程占用CPU资源等。

    2、系统或应用程序缺陷

    ●主要利用网络系统或协议的漏洞来完成,一个恶意的数据包可能触发协议栈崩溃,从而无法提供服务。

    ●这类攻击包括死亡之Ping(Ping of Death)、泪滴攻击(Teardrop)、Land攻击、Smurf攻击、IP分片攻击、UDP泛洪攻击等。

    3、配置修改

    ●修改系统的运行配置,导致网络不能正常提供服务。

    ●如:修改主机或路由器的路由信息、修改注册表或者某些应用程序的配置文件。

    三、典型的拒绝服务攻击

    1、Ping of Death

    ●ICMP报文长度固定(64KB),很多操作系统只开辟64KB的缓冲区用于存放ICMP数据包。如果ICMP数据包的实际尺寸超过64KB,就会产生缓冲区溢出,导致TCP/IP协议堆栈崩溃,造成主机重启或死机,从而达到拒绝服务攻击的目的。

    ●通过ping命令的-1选项可以指定发送数据包的大小。如果设置的大小超过了缓冲区大小将触发协议栈崩溃,如:

    ping -1 65540 192.168.1.1

    ●现在的操作系统已经修复了该漏洞,当用户输入超出缓冲区大小的数值时,系统会提示用户输入范围错误。

    2、泛洪攻击

    泛洪(Flooding)攻击是一种常见的依靠大流量来挫败目标系统的一种攻击方式。

    (1)SYN泛洪

    ●三步握手过程:

    原理:SYN泛洪利用的是TCP协议的三步握手机制,攻击者利用伪造的IP地址向目标系统发出TCP连接请求,目标系统发出的响应报文得不到被伪造IP地址的响应,从而无法完成TCP的三步握手,此时目标系统将一直等待最后一次握手消息的到来直到超时,即半开连接。如果攻击者在较短的时间内发送大量伪造的IP地址的TCP连接请求,则目标系统将存在大量的半开连接,占用目标系统的资源,如果半开连接的数量超过了目标系统的上限,目标系统资源耗尽,从而达到拒绝服务的目的。

    常用工具:hping3。hping是面向命令行的用于生成和解析TCP/IP协议数据包汇编/分析的开源工具,支持TCP、UDP、ICMP、RAW-IP协议,具有跟踪路由模式。使用hping3可以很方便构建拒绝服务攻击。如:以下命令将实现对192.168.1.1主机进行SYN泛洪攻击:

    hping -c 10000 -d 120 -S -p 80 --flood --rand-source 192.168.1.1
    //-c 10000:表示参数数据包数据量为10000
    //-d 120:指定数据包大小为120
    //-S:指定发送SYN数据包
    //-p 80:指定端口号为80
    //--flood:指定进行防洪,即尽可能快的发送数据包
    //--rand-source:指随机化发送数据包的源地址

    发起攻击后可以通过Windows任务管理器看到攻击效果,CPU的占用率几乎达到了100%。

    ●针对SYN泛洪的防御:

    A.缩短SYN Timeout时间

    可以使得攻击者伪造的SYN还没有达到目标系统上限时就超时,半开连接被丢弃,从而释放部分被占用的系统资源。

    B.设置SYN Cookie

    给每个请求连接的IP分配一个Cookie,如果短时间内连续收到某个IP的重复SYN报文,就认定是攻击行为,丢弃来自该IP地址的数据包。

    C.负反馈策略

    一旦SYN半连接的数量超过系统中TCP活动半连接最大连接数的阈值,系统将认为受到攻击并作出反应:减少SYN Timeout时间、减少SYN-ACK的重试次数、自动对缓冲区中的报文进行延时等措施。

    D.退让策略

    SYN泛洪攻击的缺陷是一旦攻击开始,将不会再进行域名解析。服务器受到攻击后迅速更换IP地址,那么攻击者攻击的将是一个空的IP地址,而防御方只要将DNS解析更改到新的IP地址就能在很短的时间内恢复正常用户访问。为迷惑攻击者,甚至可以放置一台“牺牲”服务器让攻击者满足于攻击的效果。(蜜罐技术)

    E.分布式DNS负载均衡

    将用户的请求分配到不同IP的服务器主机上。

    F.防火墙

    识别SUN泛洪攻击所采用的攻击方法,并将攻击包阻挡在外。

    (2)ACK泛洪攻击

    ●原理:与SYN泛洪类似,不同的是攻击者直接伪造三步握手的最后一个ACK数据包。目标系统收到该数据包后会查询有没有该ACK对应的握手消息。因为没有前期握手过程,所以目标系统查询后会回复ACK/RET。该过程消耗目标系统资源,当攻击者发送大量的伪造的ACK数据包时,可能会耗尽系统资源,从而导致拒绝服务。

    (3)TCPLAND攻击

    ●原理:TCPLAND(Local Area Network Denial Attack)攻击同样利用了TCP的三步握手过程。通过向目标系统发送TCP SYN报文而完成对目标系统的攻击。与正常的TCP SYN报文不同的是,LAND攻击报文的源IP地址和目的IP地址相同,都是目标系统的IP地址。因此,目标系统接收到这个SYN报文后,就会向该报文的源地址(目标系统本身)发送一个ACK报文,并建立一个TCP连接,即目标系统自身建立连接。如果攻击者发送了足够多的SYN报文,则目标系统的资源就会耗尽,最终造成DoS攻击。

    ●针对LAND攻击的检测:只要判断网络数据包的源/目标地址是否相同即可。可以通过防火墙设置适当的防火墙过滤规则(入口过滤)来防止该类攻击。

    (4)UDP泛洪攻击

    ●原理:攻击者将UDP数据包发送到目标系统的服务端口上,通常是诊断回送服务Echo,因为此服务一般默认开启。若目标系统开启了此服务,就会回应一个带有原始数据内容的UDP数据包给源地址主机。若目标系统没有开启此服务,就会丢弃攻击者发送的数据包,可能会回应ICMP的“目标主机不可达”类型消息给攻击者。但是无论服务有没有开启,攻击者消耗目标系统链路容量的目的已经达到。几乎所有的UDP端口都可以作为攻击目标端口。

    3、Smurf攻击

    Smurf攻击是发生在网络层的著名DoS攻击,该攻击结合了IP欺骗和ICMP响应,使大量网络传输充斥目标系统,是一种典型的放大反射攻击。

    ●原理:因为目标系统会优先处理ICMP报文而导致无法为合法用户提供服务。为了使攻击有效,Smurf利用了定向广播技术,即攻击者向反弹网络的广播地址发送源地址为被攻击者主机IP地址的ICMP数据包。因此反弹网络会向被攻击者主机发送ICMP响应数据包,从而淹没被攻击主机。

    ●例:被攻击者主机的IP地址为10.10.10.10。攻击者首先找到一个存在大量主机的网络(反弹网络),并向其广播地址(192.168.1.255)发送一个伪造的源地址为被攻击主机的ICMP请求分组。路由器收到该数据包后,会将该数据包在192.168.1.0/24中进行广播。收到广播的所有192.168.1.0/24网段的主机都会向10.10.10.10主机发送ICMP响应。这会导致大量数据包被发往被攻击主机10.10.10.10,从而导致拒绝服务。

    四、分布式拒绝服务攻击DDoS

    分布式拒绝服务攻击(DDoS,Distributed Denial of Service)是在Dos基础上产生的,也是目前威力最大的DoS攻击方法。DDoS攻击将大量计算机(傀儡主机、僵尸网络、botnet)联合起来对一个或多个大型站点发起DoS攻击,从而提高了DoS的威力。

    1、组成

    DDoS一般都是基于客户机/服务器模式。DDoS攻击程序一般由客户端、服务端和守护程序组成。客户端也称攻击控制台,即攻击者发起攻击的主机,攻击者一般不需要直接控制守护程序,而是通过服务器端来控制攻击过程,这样更有利于隐藏自己。

    服务器端也称主控端,使一些攻击者已经入侵成功并可以实施控制的主机。服务器端安装的程序可以接受来自攻击控制台发来的指令,并将这些指令发送到守护程序所在主机。

    守护程序所在主机称为攻击代理,其同样是被攻击者入侵并控制的一部分主机,在其上安装攻击性程序,可以接收来自服务器端的指令,并向目标系统发起攻击。

    2、流程

    首先需要在互联网上寻找有漏洞的主机并实施入侵,然后在其中安装后门程序使其成为傀儡/僵尸主机(由大量僵尸主机组成的网络称为僵尸网络)。攻击者控制的僵尸网络里面的主机越多,DDoS攻击的威力越大。

    3、特点

    ●分布性

    通过分布在不同地点协同发起攻击

    ●隐蔽性

    DDoS通过傀儡主机发起攻击,对于真正发起攻击的攻击者而言具有很好的隐蔽性,导致追踪攻击者更为困难

    ●攻击威力大

    DDoS攻击的危害性非常巨大,除了会造成攻击目标服务能力下降外,还会占用大量的网络带宽,造成网络拥塞,威胁到这个网络的安全运行。

    五、DoS/DDoS攻击的检测与防御

    1、检测

    ●出现大量的DNS PTR查询请求

    ●超出网络正常工作时的极限通讯流量

    ●特大型的ICMP和UDP数据包

    ●不属于正常连接通讯的TCP和UDP数据包

    ●数据段内容只包含文字和数字字符(如:没有空格、标点和控制字符)

    2、防御困难的原因

    ●定位攻击者不容易,因为Internet上绝大多数网络都不限制源地址,即伪造源地址非常容易,因此很难溯源找到攻击控制端的位置。且各种反射式攻击导致无法定位攻击者。

    ●如果攻击者构造足够大的合法流量到达目标网络,那么流量可能会使目标系统的网络连接被淹没,从而限制其他想要连接到目标系统的合理请求。

    3、防御方法

    ●进行合理的带宽限制:限制基于协议的带宽。如:端口25只能使用25%的带宽,端口80只能使用50%的带宽。

    ●运行尽可能少的服务,只允许必要的通信

    ●及时更新系统并安装系统补丁

    ●封锁恶意IP地址

    ●增强系统用户的安全意识,避免成为傀儡主机。如果攻击者无法入侵并控制足够数量的傀儡主机,则DDoS就无法进行。

    ●建立健全DoS/DDoS攻击的应急响应机制。组织机构应该建立相应的计算机应急响应机制,当DoS/DDoS攻击发生时,应迅速确定攻击源,屏蔽攻击地址,丢弃攻击数据包,最大限度地降低损失。

    展开全文
  • 服务器存在缓慢的HTTP拒绝服务攻击

    万次阅读 多人点赞 2021-08-17 14:37:04
    缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。 慢速HTTP拒绝服务攻击经过不断的演变和...

    1️⃣漏洞验证

    ip: X.X.X.X, TTL>220s

    在这里插入图片描述

    2️⃣漏洞利用

    Kali上安装测试工具SlowHttpTest

    sudo apt-get install slowhttptest
    

    Slow headers攻击

    slowhttptest -c 1000 -H -g -o my_header_stats -i 10 -r 200 -t GET -u https://x.x.x.x -x 24  -p 3
    

    在这里插入图片描述

    Slow body攻击

    slowhttptest -c 3000 -B -g -o my_body_stats -i 110 -r 200 -s 8192 -t FAKEVERB -u https://x.x.x.x -x 10 -p 3
    

    在这里插入图片描述

    Slow read攻击

    slowhttptest -c 8000 -X -r 200 -w 512 -y 1024 -n 5 -z 32 -k 3 -u https://x.x.x.x -p 3
    

    在这里插入图片描述

    工具使用参数:

    -g 在测试完成后,以时间戳为名生成一个CVS和HTML文件的统计数据 
    -H SlowLoris模式 
    -B Slow POST模式 
    -R Range Header模式 
    -X Slow Read模式 
    -c number of connections 测试时建立的连接数 
    -d HTTP proxy host:port 为所有连接指定代理 
    -e HTTP proxy host:port 为探测连接指定代理 
    -i seconds 在slowrois和Slow POST模式中,指定发送数据间的间隔。 
    -l seconds 测试维持时间 
    -n seconds 在Slow Read模式下,指定每次操作的时间间隔。 
    -o file name 使用-g参数时,可以使用此参数指定输出文件名 
    -p seconds 指定等待时间来确认DoS攻击已经成功 
    -r connections per second 每秒连接个数 
    -s bytes 声明Content-Length header的值 
    -t HTTP verb 在请求时使用什么操作,默认GET
    -u URL 指定目标url 
    -v level 日志等级(详细度) 
    -w bytes slow read模式中指定tcp窗口范围下限 
    -x bytes 在slowloris and Slow POST tests模式中,指定发送的最大数据长度 
    -y bytes slow read模式中指定tcp窗口范围上限 
    -z bytes 在每次的read()中,从buffer中读取数据量
    

    3️⃣漏洞由来

    DDOS——CC攻击——缓慢的HTTP DOS攻击

    一句话总结:DDOS、CC攻击的变种

    4️⃣攻击原理

    对任何一个开放了HTTP访问的服务器HTTP服务器,先建立了一个连接(三次握手),指定一个比较大的content-length,然后以非常低的速度发包,比如1-10s发一个字节,然后维持住这个连接不断开。如果客户端持续建立这样的连接,那么服务器上可用的连接将一点一点被占满,从而导致拒绝服务。
    在这里插入图片描述

    只要Web服务器开放了Web服务,那么它就可以是一个靶子,HTTP协议在接收到request之前是不对请求内容作校验的,所以即使你的Web应用没有可用的form表单,这个攻击一样有效。
    在这里插入图片描述

    在客户端以单线程方式建立较大数量的无用连接,并保持持续发包的代价非常的低廉。实际实验中一台普通PC可以建立的连接在3000个以上。这对一台普通的Web server,将是致命的打击。更不用说结合肉鸡群做分布式DoS了。

    5️⃣慢速攻击分类

    慢速HTTP拒绝服务攻击主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。

    Slow headers
    Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。抓包数据可见,攻击客户端与服务器建立TCP连接后,每30秒才向服务器发送一个HTTP头部,而Web服务器再没接收到2个连续的\r\n时,会认为客户端没有发送完头部,而持续的等等客户端发送数据。
    在这里插入图片描述
    在这里插入图片描述

    Slow body
    攻击者发送一个HTTP POST请求,该请求的Content-Length头部值很大,使得Web服务器或代理认为客户端要发送很大的数据。服务器会保持连接准备接收数据,但攻击客户端每次只发送很少量的数据,使该连接一直保持存活,消耗服务器的连接和内存资源。抓包数据可见,攻击客户端与服务器建立TCP连接后,发送了完整的HTTP头部,POST方法带有较大的Content-Length,然后每10s发送一次随机的参数。服务器因为没有接收到相应Content-Length的body,而持续的等待客户端发送数据。
    在这里插入图片描述
    在这里插入图片描述

    Slow read
    客户端与服务器建立连接并发送了一个HTTP请求,客户端发送完整的请求给服务器端,然后一直保持这个连接,以很低的速度读取Response,比如很长一段时间客户端不读取任何数据,通过发送Zero Window到服务器,让服务器误以为客户端很忙,直到连接快超时前才读取一个字节,以消耗服务器的连接和内存资源。抓包数据可见,客户端把数据发给服务器后,服务器发送响应时,收到了客户端的ZeroWindow提示(表示自己没有缓冲区用于接收数据),服务器不得不持续的向客户端发出ZeroWindowProbe包,询问客户端是否可以接收数据。

    在这里插入图片描述
    在这里插入图片描述

    6️⃣解决办法

    官方解决方法

    针对不同的Server其对慢速http拒绝服务攻击防范方法也不同:

    WebSphere

    1、限制 HTTP 数据的大小
    在WebSphere Application Server 中进行如下设置:

    任何单个 HTTP 头的默认最大大小为 32768 字节。可以将它设置为不同的值。

    HTTP 头的默认最大数量为 50。可以将它设置为不同的限制值。

    另一种常见的 DOS 攻击是发送一个请求,这个请求会导致一个长期运行的 GET 请求。WebSphere Application Server Plug-in 中的 ServerIOTimeoutRetry 属性可限制任何请求的重试数量。这可以降低这种长期运行的请求的影响。

    设置限制任何请求正文的最大大小。

    2、设置keepalive参数

    打开ibm http server安装目录,打开文件夹conf,打开文件httpd.conf,查找KeepAlive值,改ON为OFF,其默认为ON。

    这个值说明是否保持客户与HTTP SERVER的连接,如果设置为ON,则请求数到达MaxKeepAliveRequests设定值时请求将排队,导致响应变慢。

    详见参考链接:

    http://www.ibm.com/developerworks/cn/websphere/techjournal/1210_lansche/1210_lansche.html#new-step32
    

    Weblogic

    1、在配置管理界面中的协议->一般信息下设置 完成消息超时时间小于200
    2、在配置管理界面中的协议->HTTP下设置 POST 超时、持续时间、最大 POST 大小为安全值范围。

    http://docs.oracle.com/cd/E12890_01/ales/docs32/integrateappenviron/configWLS.html#wp1101063
    

    Nginx

    1、通过调整$request_method,配置服务器接受http包的操作限制;
    2、在保证业务不受影响的前提下,调整client_max_body_size, client_body_buffer_size, client_header_buffer_size,large_client_header_buffersclient_body_timeout, client_header_timeout的值,必要时可以适当的增加;
    3、对于会话或者相同的ip地址,可以使用HttpLimitReqModule and HttpLimitZoneModule参数去限制请求量或者并发连接数;
    4、根据CPU和负载的大小,来配置worker_processes 和 worker_connections的值,公式是:max_clients = worker_processes * worker_connections。

    Apache

    建议使用mod_reqtimeout和mod_qos两个模块相互配合来防护。
    1、mod_reqtimeout用于控制每个连接上请求发送的速率。配置例如:
    #请求头部分,设置超时时间初始为10秒,并在收到客户端发送的数据后,每接收到500字节数据就将超时时间延长1秒,但最长不超过40秒。可以防护slowloris型的慢速攻击。

    RequestReadTimeout header=10-40,minrate=500
    

    #请求正文部分,设置超时时间初始为10秒,并在收到客户端发送的数据后,每接收到500字节数据就将超时时间延长1秒,但最长不超过40秒。可以防护slow message body型的慢速攻击。

    RequestReadTimeout body=10-40,minrate=500
    

    需注意,对于HTTPS站点,需要把初始超时时间上调,比如调整到20秒。

    示例:

    LoadModule reqtimeout_module modules/mod_reqtimeout.so
    <IfModule reqtimeout_module>
            RequestReadTimeout header=10-40,minrate=500 body=10-40,minrate=500
    </IfModule>
    

    2、mod_qos用于控制并发连接数。配置例如:
    当服务器并发连接数超过600时,关闭keepalive
    QS_SrvMaxConnClose 600
    限制每个源IP最大并发连接数为50
    QS_SrvMaxConnPerIP 50
    这两个数值可以根据服务器的性能调整。
    更多关于qos_module配置参考:

    http://mod-qos.sourceforge.net/dos.html
    

    示例:

    LoadModule qos_module modules/mod_qos.so
    <IfModule qos_module>
    QS_SrvMaxConnClose 600
    QS_SrvMaxConnPerIP 50
    </IfModule>
    

    IHS服务器

    请您先安装最新补丁包,然后启用mod_reqtimeout模块,在配置文件中加入:

    LoadModule reqtimeout_module modules/mod_reqtimeout.so 
    

    为mod_reqtimeout模块添加配置:

    <IfModule mod_reqtimeout.c>
    RequestReadTimeout header=10-40,MinRate=500 body=10-40,MinRate=500
    
    对于HTTPS站点,建议header=20-40,MinRate=500。 参见:
    http://www-01.ibm.com/support/docview.wss?uid=swg21652165
    

    F5负载均衡

    F5负载均衡设备有相应的防护模块,如无购买可参考附件中的详细配置过程。
    关于F5的慢速攻击防护配置,请参考以下链接:

    https://support.f5.com/kb/en-us/solutions/public/10000/200/sol10260.html
    https://devcentral.f5.com/articles/mitigating-slow-http-post-ddos-attacks-with-irules-ndash-follow-up
    

    IIS服务器

    IIS可配置相关网站的Web.config如下:
    1、WebLimits设置:

    <configuration>
        <system.applicationHost>
            <webLimits connectionTimeout="00:00:30"
            headerWaitTimeout="00:00:10"
            dynamicIdleThreshold="150"
            minBytesPerSecond="512"
        />
        </system.applicationHost>
    </configuration>
    

    参考以下链接:

    https://docs.microsoft.com/en-us/iis/configuration/system.applicationhost/weblimits#configuration
    

    2、headerLimits设置:

    <configuration>
     <system.webServer>
      <security>
       <requestFiltering>
        <requestLimits>
         <headerLimits>
         <add header="Content-type" sizeLimit="100" />
         </headerLimits>
        </requestLimits>
       </requestFiltering>
      </security>
     </system.webServer>
    </configuration>
    

    参考以下链接:

    https://docs.microsoft.com/en-us/iis/configuration/system.webserver/security/requestfiltering/requestlimits/headerlimits/
    

    在这里插入图片描述

    展开全文
  • DOS拒绝服务攻击

    千次阅读 2022-04-07 16:47:14
    所谓拒绝服务攻击,通常是利用传输协议中的某个弱点、系统或服务存在的漏洞,对目标系统发起大规模的进攻,使其无法处理合法用户的正常请求和提供正常服务,最终导致网络服务瘫痪,甚至系统死机。简言之,DOS攻击是...

    初识DOS攻击与防御

    • DOS攻击概念
      所谓拒绝服务攻击,通常是利用传输协议中的某个弱点、系统或服务存在的漏洞,对目标系统发起大规模的进攻,使其无法处理合法用户的正常请求和提供正常服务,最终导致网络服务瘫痪,甚至系统死机。简言之,DOS攻击是使目标系统瘫痪,是一种典型的损人不利己的攻击。
    • DOS攻击原因
      内因:网络协议的安全缺陷。
      外因:利益驱使的蓄意行为,即攻击者故意为之;偶然、无意事件。
    • DOS攻击原理
      攻击原理:利用合理的请求占用过多的服务资源(网络带宽、文件系统空间容量、开放的进程、允许的连接),使得服务超载,无法响应正常的服务请求。
    • DOS攻击方法
      (1)耗尽计算机资源,如带宽、内存、磁盘空间、处理器时间;
      (2)破坏配置信息,如路由信息;
      (3)破坏状态信息,如TCP链接中断;
      (4)破坏网络硬件;
      (5)破坏通信介质,阻挡正常通信。

    DOS常见攻击技术

    • SYN Flood(SYN洪水攻击)
      基本思想:利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负载或内存不足)的攻击方式。
      攻击过程:在三次握手过程中,假设客户端发送SYN分组后突然死机或掉线,服务器端发送SYN/ACK应答后无法收到客户端反馈的ACK分组,即第三次握手无法完成,这种情况被称为半开的TCP连接状态;此时,服务器端一般会重复发送ACK分组3-5次,并等待一段时间后丢弃这个半开连接,这段时间称为SYN Timeout,大约为30秒至2分钟。
      在这里插入图片描述
      如果一个恶意攻击者大量模拟以上情况,伪造大量源IP地址,服务器端为了维护一个非常大的半开连接列表而消耗非常多的资源,如果服务器的TCP/IP栈不够强大,最后可能会导致堆栈溢出或崩溃,即使服务器端足够强大,服务器端将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求,此时,从正常客户的角度来看,服务器失去了响应,这种情况称为服务器端受到了SYN Flood攻击。
      在这里插入图片描述
      攻击者实施这种攻击一般有两种方法:
      (1)向目标端发送SYN分组,并确保发送分组的地址不会应答SYN/ACK分组,这需要监听数据包,并且在主机或路由器上进行阻断;
      (2)伪装成当时不在线的IP地址,向目标机发动攻击。
      防御措施
      (1)缩短SYN Timeout时间;
      (2)设置SYN Cookie,即给每一个连接请求的IP地址分配一个Cookie,如果短时间内连续收到某个IP的重复的SYN报文,就可以认定受到了该攻击,以后该IP地址发来的数据包将被丢弃;
      (3)设置路由器和防火墙在给定时间内只允许数量有限的半开TCP连接发生。
    • ICMP Flood
      Smurf Flood
      攻击过程:攻击者发送源地址伪造的ICMP数据包,目的地址设为某个网络的地址,源地址设为被攻击主机(一般指web服务器),收到此ICMP数据包的主机会向源地址返回应答包,因此该应答包都指向了被攻击主机,使得被攻击主机在某一个时间段内被成千上万的数据包淹没,从而造成拒绝服务。
      在这里插入图片描述
      防御措施:配置路由器禁止IP广播包进网
      Ping of Death(死亡之Ping)
      攻击过程:发送一些尺寸超大(大于64K)的ICMP包。
      防御措施:最有效防御方式是禁止ICMP报文通过网络安全设备。
    • Land 攻击(Local Area Network Denial Attack/局域网拒绝服务攻击)
      攻击过程:发送具有相同源地址和目标地址的欺骗数据包,即攻击者构造特殊的SYN包,目的地址和源地址都是受害主机,受害主机接收该SYN包后,会向自己回复SYN/ACK包,第三次握手时自己回复给自己一个ACK包,大量这样的数据包会使目标主机建立很多无向连接,占用大量系统资源,最终导致崩溃。
      在这里插入图片描述
      防御措施
      (1)防火墙拦截攻击包;
      (2)操作系统修复漏洞;
      (3)配置路由器,屏蔽源地址与目标地址相同的数据包。
    • TearDrop 攻击(泪滴攻击)
      攻击过程:是基于UDP的病态分片数据包的攻击方法,即攻击者向目标主机发送大量的、过大的错位IP碎片,某些操作系统收到重叠偏移的伪造分片数据包时,就会出现系统崩溃或重启。
      在这里插入图片描述
      现象:对于Windows系统会导致蓝屏死机,并显示STOP0x0000000A错误。
      防御方法:添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。

    暂存:

    认识DDOS攻击

    DDOS攻击:Distributed Denial of Service分布式拒绝服务攻击,利用合理的请求造成资源过载,导致服务不可用的一种攻击方式,是一种分布式的、协同的大规模攻击方式。
    特点:利用若干个网络节点(肉鸡、僵尸网络)同时向目标发起攻击。

    CC攻击

    原理:对一些资源消耗较大的应用页面不断发起正常请求,以达到造成消耗服务器端资源的目的。
    防御方法:
    (1)优化服务器性能:应用代码性能优化、网络架构优化。
    (2)限制请求频率:可以通过IP地址和Cookie定位一个客户端,针对过频繁访问,采取重定向页面。
    (3)验证码机制:有效阻止自动化重放攻击的有效行为之一。

    展开全文
  • 拒绝服务攻击

    千次阅读 多人点赞 2020-10-02 03:51:48
    目录 基本概念 DOS:拒绝服务攻击 DDOS:分布式拒绝服务攻击 RDoS:反射拒绝服务 DRDoS:分布式反射拒绝服务 方法 关于dns反射拒绝服务的攻击脚本 基本概念 首先,要说的是,在互联网里,最重要的就是通信,没有通信...
  • 缓慢的 HTTP 的拒绝服务攻击

    千次阅读 2022-01-26 10:15:12
    缓慢的 HTTP 的拒绝服务攻击
  • 缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。 慢速HTTP拒绝服务攻击经过不断的演变和...
  • 关于拒绝服务攻击 DOS攻击

    千次阅读 2022-04-13 14:45:39
    目录 一介绍: 1.1 数据链路层拒绝服务攻击 1.2 网络层的拒绝服务攻击 1.3传输层的拒绝服务攻击 1.4基于应用层的拒绝服务攻击 一介绍: 拒绝服务就像是,我们中午在食堂吃饭,但是食堂提供的餐桌是有限的,往往需要...
  • Android App通用型拒绝服务漏洞介绍

    千次阅读 2021-12-01 13:50:35
    Android 本地拒绝服务漏洞 漏洞类型:本地拒绝服务 威胁等级:中 影响版本:Android系统所有版本 漏洞描述 Android系统提供了Activity、Service和Broadcast Receiver等组件,并提供了Intent机制来协助应用间的...
  • 分布式拒绝服务(DDoS:Distributed Denial of Service):攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常该攻击方式利用目标...
  • 【网络与系统安全实验】拒绝服务攻击及防御 拒绝服务攻击概述 拒绝服务攻击的概念 “拒绝服务”这个词来源于英文Denial of Service(简称DoS),它是一种简单的破坏性攻击,通常攻击者利用TCP/IP协议中的某个弱点,...
  • 超详细缓慢的http拒绝服务攻击验证

    万次阅读 2019-03-12 17:26:32
    什么是Http拒绝服务攻击? 缓慢的http拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量http request攻击,直到服务器带宽被打满,造成了拒绝服务。 慢速HTTP...
  • 缓慢的HTTP拒绝服务攻击漏洞

    千次阅读 2021-02-26 17:43:40
    缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。 慢速HTTP拒绝服务攻击经过不断的演变和...
  • TCP拒绝服务攻击简述与实验

    千次阅读 2021-02-28 14:23:30
    一、TCP拒绝服务攻击简述 拒绝服务(DoS)攻击即是攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些...
  • 11.4. 拒绝服务攻击

    千次阅读 多人点赞 2020-08-05 17:02:10
    拒绝服务攻击11.4.1. 简介11.4.2. UDP反射11.4.3. TCP Flood11.4.4. Shrew DDoS11.4.5. Ping Of Death11.4.6. Challenge Collapsar (CC)11.4.7. 基于服务特性11.4.8. 参考链接 11.4. 拒绝服务攻击 11.4.1. 简介 DoS...
  • Apache Tomcat 缓慢的HTTP拒绝服务攻击

    千次阅读 2021-12-12 09:55:36
    Apache Tomcat 缓慢的HTTP拒绝服务攻击 漏洞详情 缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了...
  • Kali渗透测试:拒绝服务攻击

    千次阅读 2022-05-31 21:48:02
    故意占用某一系统对外服务的有限资源,从而导致其无法正常工作的行为就是拒绝服务攻击。拒绝服务攻击是指攻击者想办法让目标停止提供服务,是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击知识拒绝服务...
  • 【系统安全学习3】拒绝服务攻击

    千次阅读 2022-03-27 16:41:42
    拒绝服务攻击 一、实验目的: 掌握TCP洪水攻击、UDP洪水攻击、HTTP请求洪水攻击等拒绝服务攻击的基本原理。 学会使用LOIC等软件实现拒绝服务攻击。 了解拒绝服务攻击的危害,掌握拒绝服务攻击的症状以及检测方法。 ...
  • python编写ARP拒绝服务攻击脚本

    千次阅读 2022-03-25 20:23:18
    python编写拒绝服务攻击脚本
  • 拒绝服务攻击分类及原理、特点

    千次阅读 2021-06-19 09:25:13
    从攻击作用机理的角度,拒绝服务供给可以分为哪三类?简述这三类拒绝服务供给的基本原理和各自主要特点。 拒绝服务攻击:泛指一切导致目标服务不可用的攻击手段,包括对物理环境、硬件、软件等各个层面所实施的...
  • 什么是分布式拒绝服务攻击?

    千次阅读 2022-01-06 11:15:57
    当多台机器一起运行以攻击一个目标时,就会发生分布式拒绝服务 (DDoS) 攻击。DDoS 攻击者通常利用僵尸网络(一组被劫持的互联网连接设备)进行大规模攻击。攻击者利用安全漏洞或设备弱点,使用命令和控制软件来控制...
  • 拒绝服务攻击原理

    万次阅读 2018-11-03 17:07:52
    拒绝服务攻击原理 原创: 计算机与网络安全 计算机与网络安全 今天 一次性进群,长期免费索取教程,没有付费教程。 教程列表见微信公众号底部菜单 进微信群回复公众号:微信群;QQ群:16004488 微信公众号:计算机与...
  • 缓慢的http拒绝服务攻击

    千次阅读 2020-07-08 15:16:17
    缓慢的http拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量http request攻击,直到服务器带宽被打满,造成了拒绝服务。 慢速HTTP拒绝服务攻击经过不断的...
  • 智能合约漏洞——拒绝服务

    千次阅读 2021-05-28 10:25:32
    拒绝服务攻击,也就是DOS(Denial of Service)攻击, (1) 智能合约中基于一个可以被外部调用来控制的数据来执行循环,比如 contract DistributeTokens { address public owner; address[] investors;// 投资人数...
  • #tomcat慢速HTTP拒绝服务攻击安全问题解决办法 修改Tomcat 配置文件 server.xml 中的 <Connector … /> 配置中,设置connectiontimeout值,默认为20000ms,修改为8000ms <Connector port="8080" protocol=...
  • properties 新增以下配置 server.tomcat.port-header=HEAD,PUT,DELETE,OPTIONS,TRACE,COPY,SEARCH,PROPFIND
  • 停止现有的vsftpd服务 service vsftpd stop 在线卸载vsftpd yum remove -y vsftpd 删除以前的目录 rm -rf /etc/vsftpd -R 软连接 ln -s /lib64/libcap.so.2.16 /usr/lib/libcap.so 下载vsftpd、解压 cd...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 437,465
精华内容 174,986
关键字:

怎么拒绝服务