手机版 | 登陆 | 注册 | 留言 | 设首页 | 加收藏
当前位置: 网站首页 > 技术教程 > 网络教程 > 文章 当前位置: 网络教程 > 文章

DDOS攻击之网络带宽资源攻击种类

时间:2019-10-20    点击: 次    来源:网络    作者:佚名 - 小 + 大

无论是服务器的出口带宽,还是路由器、交换机对数据的处理能力都存在一个上限,当处理的数据包达到上限时,就会出现网络延时,服务器响应缓慢等情况。消耗网络带宽资源的分布式拒绝服务攻击就是利用这个原理,控制僵尸网络同时向目标主机发送大量的数据包,堵塞目标主机的网络带宽,使服务器无法快速响应正常用户的请求,造成拒绝服务攻击。

一、直接攻击

直接攻击是僵尸网络主控机操控僵尸机同时向目标主机发送大量的数据包,占用目标主机的带宽资源及服务器对数据的处理能力,达到拒绝攻击的目的。

直接攻击

直接攻击又分为 ICMP/IGMP洪水攻击与UDP洪水攻击

1.ICMP/IGMP洪水攻击:发送大量的ICMP/IGMP报文,占用目标宽度资源

ICMP网络控制消息协议,用于发送控制消息提供通信环境中的各种问题反馈,通过这些反馈做出问题的判断,采取相应的解决方法。

IGMP因特网组管理工具,用于管理因特网协议多播组成员的一种通讯协议,IP主机和相邻的路由器利用IGMP来建立多播组的组成员。

攻击者操控僵尸主机向目标主机发送大量的ICMP/IFMP 报文,从而消耗目标主机的带宽资源。但是被攻击的主机可以直接在网络边界过滤掉ICMP/IGMP的数据包使攻击失效。

2.UDP洪水攻击:发送大量的UDP,占用目标主机的带宽资源。

UDP用户数据报协议,一种面向无连接的传输层协议,主要用于不要求分组顺序的到达传输,提供不可靠的传送服务。

利用UDP数据包,攻击者可以发起类似于ICMP/IGMP的攻击,UDP攻击分为两种方式,一种大包一种小包。小包指64字节大小的数据包,是以太网传输数据帧的最小值,同样的流量包越小数量越多,由于交换机、路由器等网络设备会挨个包进行校验,因此UDP小包攻击能大大增加网络设备的负担。大包指1500字节以上的数据包,这个大小超过了以太网的最大传输单元,当目标主机收到UDP包时需要对数据包进行分片重组,从而占用带宽,造成网络堵塞。

二、反射和放大攻击

ICMP/IGMP攻击与UDP攻击容易被反查到真实的攻击地址,而且攻击效果并不是很明显。所以用到反射攻击DRDoS(分布式反射拒绝服务攻击),在反射攻击时,攻击者操控僵尸主机发送大量的数据包,不过这些数据包的目的IP是作为反射器的服务器,而源地址则伪造成了目标主机的IP地址,作为反射器的服务器在收到数据包后,会认为数据包来自目标主机,因此相应的数据包会返回给目标主机,大量的响应数据包会耗尽目标主机的带宽,形成拒绝服务攻击。

相比直接攻击反射攻击多了一层反射器,更难寻找攻击者,但是反射攻击真正的利用在于利用反射攻击放大攻击效果。放大攻击也是一种特殊的反射攻击,当发送的数据包小于返回的响应数据包时就形成了放大攻击,请求数据包与反射数据包的差距越大,放大的倍数也就越大。

1.ACK反射攻击:通过伪造源IP到目标主机,将TCP三次握手中的ACK应答反馈到目标主机

ACK反射攻击利用的是TCP(传输控制协议)在建立连接时的三次握手,当客户端请求SYN连接时,服务器会向其返回ACK应答,利用这个应答即可进行ACK应答反射攻击。

当客户端建立TCP连接时,TCP会进行三次握手,同时服务器会返回ACK应答,攻击者操控僵尸主机向作为反射器的服务器发起大量的TCP请求数据包,并将源地址伪造为目标主机,这样作为反射器的服务器在收到TCP请求后会认为是目标主机发送给的请求,所以将ACK应答返回给目标主机,这样大量的ACK应答发送到目标主机,堵塞目标主机的带宽,形成拒绝服务。完成这ACK反射攻击,需要找到大量的开启了TCP端口的服务器作为反射器,反射器越多效果越明显。

2.DNS放大攻击:DNS请求数据包小于响应包形成放大攻击,通过伪造源IP将响应包发送到目标主机

DNS域名解析协议,作为互联网上域名与IP相互映射的一个分布式数据库,能够方便的通过域名解析到指定的IP地址,而无需记忆IP地址。

由于DNS的响应数据包远远大于请求数据包,配合反射攻击的原理,攻击者通过操纵大量僵尸主机向作为反射器的服务器发起请求,并将源地址伪造为目标主机IP,由于响应包大于请求包,所以返回到目标主机的流量将远远大于与请求的流量,通常放大倍数2~10倍,这就是通过反射放大形成的放大攻击。

由于当DNS响应包大于512字节时,大于512的部分会被舍弃,这样我们的放大攻击效果可能会被减弱,而DNS的扩展机制EDNS0,扩展了DNS数据包的结构会根据请求包的大小生成响应包大小从而解决了这个问题。攻击者利用dig与EDNS0配合,向开放了DNS解析器的反射器发送dig查询命令,同时将请求包的大小设置到足够大,并将请求的源IP地址伪造为目标服务器的IP地址,DNS解析器在收到查询命令后,会将解析结果返回到源地址也就是目标地址,从而形成拒绝服务攻击。这种放大攻击放大倍数可以达到请求数据的50倍以上。

3.NTP放大攻击:通过请求NTP并将返回的数据包反馈到目标服务器。

NTP网络时间协议,用来同步计算机时间的协议,它可以使计算机与时间源进行高精度化的同步。

当计算机向NTP服务器请求时,请求中的monlist可以获取到最后600个与NTP服务器通讯的计算机信息,这就又意味着一个请求可以返回一个非常大的响应包。攻击方法与ACK/DNS攻击一样,通过大量的僵尸主机伪造源IP地址向NTP服务器发送请求包,NTP服务器将响应包发给目标主机,形成拒绝服务。这种攻击最大可以放大700倍。

完成NTP攻击需要大量的NTP服务器。

4.SNMP放大攻击:

SNMP简单网络管理协议,提供一个管理框架来监控和维护互联网设备。

攻击者通过SNMP协议向开启SNMP的网络设备并伪造源IP地址,设备在收到GETBulk请求后,将响应包发到目标主机形成拒绝服务攻击,放大效果可到达25倍以上。


三、链路攻击:通过大量的数据包堵塞骨干网络

链路攻击的攻击目标为骨干网络上的带宽资源,而不是放大攻击中的服务器带宽资源。

链路攻击需要攻击者将僵尸主机按照地理位置分为两批,然后通过一侧主机向另一侧主机发送大量数据,造成数据包经过的骨干线路网络堵塞,形成拒绝服务。。

上一篇:无需软件查看别人家WiFi密码方法 分享wifi二维码提取密码

下一篇:nmap纯扫描实用方法可用于扫描snmp

软码库_找资源就来软码库!