【相关博客链接】
【期末复习】北京邮电大学《网络安全》课程期末复习笔记(1. 网络安全概述)
【期末复习】北京邮电大学《网络安全》课程期末复习笔记(2. 恶意代码)
【期末复习】北京邮电大学《网络安全》课程期末复习笔记(3. ARP攻击)
【期末复习】北京邮电大学《网络安全》课程期末复习笔记(5. DNS安全)
【期末复习】北京邮电大学《网络安全》课程期末复习笔记(6. 网络安全扫描)
【期末复习】北京邮电大学《网络安全》课程期末复习笔记(7. 防火墙)
【期末复习】北京邮电大学《网络安全》课程期末复习笔记(8. 入侵检测系统)
【期末复习】北京邮电大学《网络安全》课程期末复习笔记(9. 虚拟专用网络)
【期末复习】北京邮电大学《网络安全》课程期末复习笔记(10. 应用安全PGP)
【期末复习】北京邮电大学《网络安全》课程期末复习笔记(11. 社会工程学)
4. 拒绝服务攻击
4.1. Ping of Death
- 早期的操作系统处理ICMP分组时,只开辟64KB缓冲区用来存放收到的数据包
- 攻击者故意在ICMP Echo数据包(Ping包)之后附加非常多的冗余信息,使数据包的尺寸超过65535个字节的上限。
- 接收方对这种数据包进行处理时就会出现内存分配错误,导致TCP/IP堆栈溢出,从而引起系统崩溃,挂起或重启
4.2. Teardrop
- 向目标机器发送损坏的IP包,诸如重叠的包或过大的包载荷,该攻击通过TCP/IP协议栈中分片重组代码中的bug来瘫痪各种不同的操作系统
4.3. Land攻击
- 利用特殊的TCP封包传送至目标主机,使其因无法判别而当机或被迫重新启动
- 用一个特别打造的SYN包,它的源IP地址和目标IP地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送SYN一ACK消息,结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留,直到超时
4.4. SYN洪水
- 每个机器都需要为半开连接分配一定的资源
- 这种半开连接的数量是有限制
- 共计方利用TCP连接三次握手过程,打开大量的半开TCP连接
- 目标机器不能进一步接受TCP连接。机器就不再接受进来的连接请求
- 攻击细节
- 连接请求是正常的,但是,源IP地址往往是伪造的,并且是一台不可达的机器的IP地址,否则,被伪造地址的机器会重置这些半开连接
- 一般,半开连接超时之后,会自动被清除,所以,攻击者的系统发出SYN包的速度要比目标机器清除半开连接的速度要快
- 任何连接到Internet上并提供基于TCP的网络服务,都有可能成为攻击的目标
- 这样的攻击很难跟踪,因为源地址往往不可信,而且不在线
4.5. Smurf
- 攻击者向一个广播地址发送ICMP Echo请求,并且用受害者的IP地址作为源地址
- 广播地址网络上的每台机器响应这些Echo请求,同时向受害者主机发送ICMP Echo-Reply应答
- 受害者主机会被这些大量的应答包淹没
4.6. HTTP洪水
- 这类攻击会占用大量的HTTP进程,从而耗费大量的系统资源。最终,会导致系统因不堪重负而崩溃掉
- 俗称CC攻击
4.7. 基于误用的DDoS检测
- 基于误用的DDoS攻击检测是指事先收集已有DDoS攻击的各种特征,然后将当前网络中数据包的特征和各种攻击特征相互比较,如果特征匹配则发现DDoS攻击
- 这也就是说,咱们建立的模型就是攻击流量的模型
- 基于误用方法依赖于攻击特征的选取,一般用于检测利用漏洞型的DDoS攻击
- 基于误用的DDoS检测主要是利用了特征匹配、模型推理、状态转换和专家系统的方法
4.8. 基于异常的DDoS检测
- 基于异常的DDoS攻击检测是指通过监视系统审计记录上系统使用的异常情况,可以检测出违反安全的事件。⽬前,⼤多数的DDoS攻击检测都属于异常检测
- 咱们建立的模型是正常流量的模型
4.9. 混合模式DDoS检测
- 混合模式DDoS攻击检测是将误⽤DDoS攻击检测和异常 DDoS攻击检测两种⽅式混合使⽤
- 通常使⽤数据挖掘的⽅法,由异常检测发现攻击,从发现的攻击中摘录特征放⼊误⽤模式特征库中,再利⽤误⽤检测的⽅法来检测DDoS攻击。但实际效果根据具体情况的不同也有差异