（6/8 软件漏洞攻击利用技术）如何成为一名黑客（网络安全从业者）——网络攻击技术篇

2016-09-19 Mr.Quark Quark网络安全

1、概念

---

        拒绝服务攻击（Denial Of Service， DoS）是指攻击者向目标主机发送数量众多的攻击数据包，消耗目标计算机大量的网络带宽和计算机资源，使得目标主机没有生育带宽和资源给正常用户的服务请求提供响应的一种攻击方式。由于这种攻击的最终表现形式是拒绝给用户提供服务，拒绝服务攻击由此得名。

2、DoS攻击的原理

---

        由于目标主机为了提供某些服务，必须开放一些特定的端口，以便外界的计算机和目标主机连接访问。但是从外网针对目标主机发起的每个连接，无论是正常链接还是异常的攻击，都要消耗目标主机一定的系统资源或网络带宽。当连接请求的目的超过目标主机所能支持的最大连接数量上限时，目标主机就没有额外的资源对外提供服务。

（1）DoS的实现方式

        由于DoS攻击的目的是使目标主机无法对外正常提供服务，因此可以通过以下三种方法实现：

    1）利用目标主机自身存在的拒绝服务型漏洞进行攻击。

        如果目标主机中网络协议或者操作系统网络服务程序存在拒绝服务型漏洞，攻击者向目标主机发送含有漏洞利用代码的数据包，那么目标主机收到数据包后将被触发拒绝服务漏洞，造成计算机无法提供对外服务。

2）耗尽目标主机CPU和内存等计算机资源的攻击。

        攻击者通过发送大量的数据包，与目标主机建立网络连接或者只是目标主机的自动应答。目标主机在不断建立、维护网络连接与回应数据包中，耗尽所有CPU和内存等资源，则攻击者的目的就会达到。

3）耗尽目标主机网络带宽攻击。

        由于目标主机的网络带宽是有限的，攻击者通过发送大连的网络垃圾数据包来完全占用目标主机的网络带宽，使目标主机无多余的网络带宽可用。

（2）DoS的分类

1）IP层协议的攻击（这是DoS最低层次的攻击）

        攻击方法是向目标主机大量发送ICMP和IGMP协议的请求包，是目标主机的资源全部用于应答这些数据包，造成目标主机拒绝服务。这种攻击方法完全靠数量取胜，无需攻击策略。

        例如，Smurf攻击，这是一种反射型的拒绝服务攻击。攻击者会向网络中具有广播功能的网络设备发送源地址被伪造为目标主机的ICMP响应请求数据包。网络设备会将数据包再自己所辖的网络范围内进行广播，网络中所有收到这个数据包的计算机会按照数据包中伪造的源地址向目标主机回应数据包。如果回应的计算机数量足够多并且回应的数据包数量巨大，则会导致目标主机的资源或带宽被耗尽，造成拒绝服务。

2）TCP协议的攻击

利用TCP协议的DoS攻击可分为两类：

        一是利用TCP协议本身的缺陷实施的。例如SYN-Flood和ACK-Flood攻击。由于协议本身具有一定安全缺陷，这两种攻击可以利用握手过程的缺陷完成拒绝服务攻击。

        二是利用TCP全连接进行的攻击。即TCP连接洪水攻击（Port Connection Flood），攻击者利用自己计算机发起多线程连接目标主机的TCP端口，然后断开。然后不断循环。但是当这种攻击方式超过一定程序时，防火墙很容易识别和拦截。

3）UDP协议的攻击

        UDP-Flood攻击使一种典型的带宽消耗型DoS攻击，攻击者制造出容量巨大的UDP数据包，发送到目标主机，从而完全占满目标主机的网络带宽，达到拒绝服务的效果。

4）应用层协议的攻击

        脚本洪水攻击（Script Flood）是常见的应用层DoS、攻击者利用代理服务器对Web服务器发起大量的HTTP Get请求，如果目标服务器是动态Web服务器，大量的HTTP Get请求会查询动态页面，这些请求会对后台的数据库服务器造成极大负载直到无法正常响应。

3、DDoS攻击原理

---

        分布式拒绝服务攻击（Distributed DoS，DDoS）攻击是在DoS攻击技术的基础上，由攻击者非法控制大量的第三方计算机辅助其进行攻击的一种攻击方式，可以简单理解为多对一的攻击。

DDoS攻击示意图

        DDoS攻击由攻击者、主控端、代理端（肉鸡）三部分构成。攻击者是DDoS攻击的发起者，攻击者在发动攻击前已经取得了多台主控端的控制权，每台主控端又分别控制着大量肉鸡。主控端和肉鸡上都安全了攻击者的远程控制软件，攻击者可以通过控制软件，操作肉鸡完成攻击。

        整个DDoS攻击包含的各类计算机组成了一个僵尸网络，因为主控端和代理端就像一个僵尸，被攻击者控制着向目标主机发起攻击，而自己却毫无知觉。

4、DoS/DDoS攻击的防御措施

---

        目前能有效防范DoS/DDoS攻击的攻击主要是支持DDoS防御的防火墙。它是通过识别异常攻击数据包并过滤掉。

        而识别和过滤DoS/DDoS攻击数据包的主要方法包括以下几个方面：

（1）静态和动态的DDoS过滤器

（2）反欺骗技术

（3）异常识别

（4）协议分析

（5）速率限制

        对于一般用户可以使用以下方法防范DDoS攻击：

        （1）增强系统的安全性，及早发现系统中存在的漏洞，及时安装补丁，并禁止所有不必要的服务。

        （2）利用普通防火墙、路由器等网络和网络安全设备加固网络的安全型，关闭服务器的非开放服务端口，限制SYN半连接的数量， 配置好访问控制列表的过滤规则，禁止网络中的无用UDP数据包和ICMP数据包。

---

        欢迎大家关注我的微信公众号，学习更多关于网络安全的知识。如果你有什么好的建议，也欢迎通过公众号给我留言，一定虚心接受有益的建议。

搜索公众号：Quark网络安全

或长按扫下方的二维码↓↓↓↓↓

---

        免责声明：本公众号发表的所有文章均旨在传播网络安全知识及指导用户保护隐私，至于用户将所学知识用于何种目的或造成何种后果，本微信公众号均无力控制，也概不负责。

        图片源自网络，如有侵权，请告之。