攻击者向某些网络资源发送过量的数据时发生的就是泛洪攻击。这些网络设备可以是路由器、交换机、应用程序、主机,也可以是网络链路。常见的包括MAC 泛洪、网络泛洪、TCP SYN 泛洪和应用程序泛洪。 1、MAC 泛洪 是指以假冒的源 MAC 地址和目的地址将数据包从攻击者的系统发送到以太网链路上,用于占领MAC 地址在交换上CAM 的位置,由于CAM 表容量是有限的,当CAM 填满后,其它主机就只能在本地LAN 上进行泛洪,这就使攻击者可以对这些帧进行嗅探。 2、网络泛洪 一般是消耗网络链路的可用带宽而设计的,然后,将合法流量发送到充斥着虚假流量的线缆上的可能性就非常低了,这些攻击通常是针对网络的internet 链路的,internet 链路既是网络中最缓慢也是其中最关键的部分,常见有smurf 和DDos。 Smurf 攻击:是利用假冒的internet 控制消息协议(ICMP)广播ping 进行攻击,IP支持所谓的定向广播,某个工作站将广播数据包发送到另一个网络时所发生的就是定向广播。例如,当192.168.1.0/24 网络中的一台主机可以将数据包发送到192.168.1.255,如是路由器配置为传播定向广播,那么网络192.168.1.0/24 就会收到该数据包,将其发送给网络192.168.1.0/24 上的所有主机,该网络上所有配置为对广播流量作响应的工作站都会作出响应。Smurf 攻击利用这种形为将很小的数据包变成大规模的攻击,如下图所示: Smurf 是一种增幅攻击,因为一个假冒广播ping 到达回弹网络后,该网络中的每台主机都会向这种攻击的受害者响应各不相同的ping 数据包。假定攻击者能够向其中有100 台主机的的回弹网络发出速率为768kbit/s 的广播ping 数据,将回程流量发送到受攻击网络中的时候,这将变成速率为每秒76.8Mbit/s 的数据流,回弹的网络越大增幅就越大。 在路由器上可以使用命令 no ip directed-broadcast 可以阻止网络成为smurf 攻击的源头。也可利用承诺访问速度(CAR)之类的技术对其进行过滤。 DDOS 攻击:在增幅泛洪攻击出现之前,只要带宽高于攻击者的带宽,网络就不会受网络泛洪攻击的影响。现在,攻击者利用增幅攻击可以得到比受害者高得多的带宽。Stacheldraht 攻击是最早的DDoS 攻击之一,是一种三级DDoS 攻击,攻击者利用这种攻击与主控系统进行通信,而主控系统与代理系统进行通信。许多较新的的攻击已经没有“主控系统”这个角色,而采用了通过IRC 通道进行注册的代理系统,这使得检测非常困难,其原理如下: 1)攻击者侵入许多 internet 上的系统,然后将DDoS 主探系统软件安装在系统中 2)这些主探系统尝试感染 internet 部分,然后将受感染的系统作为代理系统,从特洛 伊木马电子邮件,到利用应用程序或操纵系统中的弱点,其中任何一种方法均可用 于攻击失守的代理系统 3)攻击者伺机将攻击指令发送给主控系统,主控系统随后将操纵其代理系统,对某个IP 地址进行泛洪攻击。 4)受攻击的网络将淹没在假冒的网络流量中,合法用户的请求得到处理的可能性将会很小。 对于这种攻击和所有基于网络的泛洪攻击,在没有服务提供商协助的情况下,这些攻击是无法得到阻止的。 TCP SYN 泛洪:是泛洪攻击的最早形式之一,这种攻击的原理是,发送一个TCP SYN数据包,然后不再对其响应送回的SYN-ACK 确认,由于TCP 在某种程度上是可靠的,收到SYN 数据包的服务器将一直将边接保持开放状态,服务器还会定期重新发送SYN-ACK数据包,在拆除连接之前,默认情况下最多发4 次。攻击者发起 TCP SYN 泛洪攻击时,分们会向某个系统发出数千个连接请求,以耗尽服务器的所有可用内存,这会使用服务器崩溃。三次握手图: 3、应用程序攻击 是指消耗应用程序或系统资源而设计的攻击,最常见的应用程序泛洪是垃圾邮件。其它类型的应用程序攻击包括在服务器上持续运行 CPU 密集型应用程序,以及利用持续不断的认证请求对服务器进行泛洪攻击。除了是在应用层,如同 SYN 泛洪攻击,攻击者TCP 连接建立完毕后,在提示输入密码时停止响应。还有一种无意中引起的应用程序攻击,称为slashdot 效应。是一个访问量众多的计算机怪客新闻站点,如果该新闻很受欢迎,那么与该站点的连接会出现高嶷,这往往会使该站点在一段时间内不可用,这种现象也叫快闪人群。
|