| 转贴:黑客攻击方法 |
| 作者:冰盾防火墙 网站:www.bingdun.com 日期:2015-01-05 |
| |
| 黑客攻击方法概要之 拒绝服务攻击法\r\n\r\n时间:2002年08月11日 19:04 来源:曹政 教程\r\n\r\n\r\n前言:限于笔者认识水平,以下所介绍的技术并不能涵盖所有的黑客攻击手段,甚至只能说掀开了冰山一角而已,所以不敢叫做“大全”,“揭密”这样唬人的字眼,只好称之为概要,不过绝大部分黑客行为都是以下几种方式实现或衍生的,就好比全球的语言有几百种,但是真正流通广泛的不过寥寥几种而已。\r\n\r\n正文:\r\n\r\n拒绝服务攻击法:(Deny of Service ,简称D.o.s)\r\n\r\n原理:\r\n系统的资源,操作能力是有限的,通常限度的建立是在正确的评估正常的,合理的请求调用基础上,比如sina首页,他们会评估每天到访的访客数量,并依据该评估决定用多少台服务器并采用怎样的系统优化手段,同时他们会有所谓的冗余设置保证应付突然增高的并发情况,比如世界杯期间的网络直播。但是如果系统承受了超过其所能承受的请求或者资源调用,就会导致服务阻塞,从而影响进一步对客户请求的处理。在正常情况下临界值是很难被突破的,但是有些别有用心的人就会通过人为的方式,象目标主机发送大量的伪造请求,从而阻塞系统资源,使系统无法为其他正常的请求继续提供服务,从而造成攻击效果。\r\n拒绝服务攻击本身也可以细分,比如从阻塞对象看,可能是CPU(大量频繁调用比较耗费CPU的程序),内存(大量频繁调用内存开销很大的程序),存储介质(导致大量的大文件生成),I/O(造成I/O被占满),带宽(占满所有可用带宽),或者系统参数(冲破系统设置的某些参数限制,造成系统不能打开新文件或接收新请求)。从攻击对象看,可能是伺服程序(如web Server,甚至打印服务应用程序),CGI程序,路由设备,或者其他任何可在远程调用的请求应答程序。\r\n\r\n攻击方法:\r\n1.伪造数据包,使之让系统认为是正常的数据包\r\n2.建立多线程(进程)的数据包发送工具\r\n3.选择一台或多台(多台攻击性更强)能够与网络有高速连接的主机作为攻击源\r\n4.执行程序,实施攻击\r\n当然对于大部分初级黑客而言,实际上他们利用了现成的工具,只做了第三步和第四步操作\r\n\r\n防护手段:\r\nD.o.s是最容易实现,却最难防护的攻击手段,因为你很难分辨哪些是正确的请求,哪些是伪造的请求。\r\n作好防护工作,需要苦练内功:\r\n第一,熟悉自己系统各种公开的服务所采用的软件,了解他们处理请求的资源耗费和时间耗费。\r\n第二,减少和停止不必要的服务,防止别人有隙可乘。\r\n第三,修改有关服务的配置参数,保证其对资源的耗费处于可控制的状态下。\r\n第四,按照IP过滤和报文过滤软件,并针对系统日志对具有攻击企图的行为设置过滤。\r\n第五,及时阅读有关安全方面的信息,并随时更新自己的服务应用系统。\r\n\r\n典型案例\r\n\r\n1.Ping炸弹:当年中国集体攻击美国白宫就是通过该技术,通过黑客团体组织,以大量的ping报文同时发送到白宫网站,导致该服务器连接数超过限制,从而拒绝服务,实现攻击效果。对付ping炸弹的方法其实很简单,通过对路由,防火墙等设施进行合理的配置屏蔽掉对ping报文的接收和处理即可。有些朋友知道,有些站点虽然可以访问,但是不能ping通,就是基于这样的原理。\r\n\r\n2.SYN Flood攻击:TCP协议是面向连接的协议,和UDP协议不同(tencent的QQ采用UDP协议),需要确认连接后才进行数据传输,因此正常情况下,用户端软件(比如IE浏览器)发送一个连接请求,服务器端软件(比如Apache或IIS)要返回一个确认信息,并提示用户可以连接,然后用户端再发送一个确认信息,表示已经建立了连接,并告之要发送的对象,然后服务端再确认...,换言之,正常情况下用户提交一个网络上的应用请求,需要和服务端进行三次连接,其中第一次连接确认我们称为SYN(中文称为握手信号)信号。以上描述的是正常步骤,那么非正常的是怎样的呢?当该连接请求是用户刻意伪造的,样子很象正常的,但是地址却是虚假的,服务端接收到后会发现反馈不到,然后服务端会重复发送请求,直到指定次数,这代表什么呢?\r\n举个例子,一个花店有若干个外送员工,按照正常的处理能力,可以每天发送几百到几千束花。但是有人搞恶作剧,打电话订花,却留下虚假的地址,如果地址不存在也就罢了,员工将花送到地方发现查无此人,也就不再浪费这个时间了,但是这个地址“假”的却很真,员工发现该地方存在,只是暂时没人,偏偏花店要信誉,于是只好择期再来......,SYN Flood攻击,就类似这样的行为,他使得系统大量的资源空费在无用的连接上,通常对于标准配置而言,当服务端发现SYN信号没有响应时,他会在30秒内重复发送大约10次反馈信号,直到得到相应反馈为止,而伪造的连接请求,就是白白的让服务器多做了这么多事情。\r\n通常攻击者会发送大量的类似的伪造的连接请求,这样系统将很快被这些连接请求所阻塞,从而使正常的请求无法应答。\r\n对付SYN FLood攻击,可以采取以下几种方式进行缓解,第一,减少系统SYN等待时间(只能缓解攻击),第二,对攻击源地址进行过滤(但是对于伪造精细的报文无效),第三,修改系统SYN_back_log上限(只能缓解攻击),第四,将系统SYN的重发次数降低(可以缓解攻击),第五,如果是linux系统,可以升级内核并设置Syn_cookies(极大缓解攻击)。如果需要根治这种攻击,就必须在要保护的主机或网段前添加专门的防攻击的过滤设备了,而且通常的防火墙,很可能也无法抵御这种行为。\r\n笔者服务器流量非常高,正常情况下(每秒种100个连接请求)SYN连接数字一直在二位数,当遭受攻击时,SYN连接数一直上升到了4000多!造成服务器阻塞,彻底失去对web的响应。是对这种行为深有体会的。\r\n\r\n总结,拒绝服务攻击法是原理和实施都非常容易,防护却非常麻烦的一种攻击方法,而且实在损人不利己;攻击者得不到任何诸如帐号,密码以及关键数据等信息,所图的唯一目的就是让对方服务器当机,据说Donews就饱受其害。就算以笔者这样在网络安全领域不入流的水准,也敢夸下海口,能在半个小时让新浪服务器拒绝服务,可是这又能证明什么呢?所以,拒绝服务攻击,是一种不入流的手段,类似于武侠小说中常说的“下三滥”,一个精通“下三滥”的高手,再高,还是“下三滥”。\r\n\r\n下文中,我将介绍“特洛伊木马”方法\r\n\r\n |
|
| |
|
| |
|
京ICP备14024464 公安备案号 京1081234