网络攻击:半连接攻击(SYN攻击)、全连接攻击、RST攻击、IP欺骗、DNS欺骗、DOS/DDOS攻击
2013-09-17 16:39
411 查看
一、半连接攻击(SYN攻击)
1.1 定义
发生在TCP 3次握手中。
如果A向B发起TCP请求,B也按照正常情况进行响应了,但是A不进行第3次握手,这就是半连接攻击。
SYN攻击数据DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。
1.2 检测半连接攻击(SYN攻击)
1. netstat -n -p TCP
很多连接处于SYN_RECV状态(Windows下是SYN_RECEIVED),原IP地址都是随机的,表面这是一种带有IP欺骗的SYN攻击。
2. netstat -n -p TCP | grep SYN_RECV | grep 22 | wc -l 324
显示TCP端口22的未连接数有324个。
1.3 防范半连接攻击(SYN攻击)
过滤网关防护:
1. 网关超时设置
防火墙计数器到时,还没收到第3次握手包,则往服务器发送RST包,以使服务器从对列中删除该半连接。
网关超时设置,不宜过小也不宜过大。过小影响正常通讯,过大,影响防范SYN攻击的效果。
2. SYN网关
SYN网关将数据包转发给服务器,需要第3次握手包时,SYN网关以客户端名义给服务器发第3次握手包。
这会增加连接队列数目,一般服务器所承受的连接数量比半连接数量大得多。可以减轻SYN攻击。
3. SYN代理
SYN代理不转发SYN包,而是以服务器名字主动回复SYN/ACK包给客户。SYN代理代替了服务器去处理SYN攻击,此时要求过滤网关自身有很强的防范SYN攻击能力。
加固TCP/IP协议栈:
4. SynAttackProtect机制
5. SYN cookies技术
6. 增加最大半连接数
backlog队列需要大量的内存资源,不能被无限的扩大。
7. 缩短超时时间
timeout超时时间,即半连接存活时间,是系统所有重传次数等待的超时时间总和,这个值越到,半连接数占用backlog队列的时间越长,系统能处理的SYN请求越少。
为缩短超时时间,可以通过缩短重传超时时间和减少重传次数来实现。
1.4 参考资料
TCP漏洞,半连接:http://blog.csdn.net/cpk154505/article/details/8768241
二、全连接攻击
2.1 定义
客户端仅仅“连接”到服务器,然后再也不发送任何数据,直到服务器超时处理或者耗尽服务器的处理进程。
为何不发送任何数据呢? 因为一旦发送了数据,服务器检测到数据不合法后就可能断开此次连接;如果不发送数据的话,很多服务器只能阻塞在recv或者read调用上。
半连接攻击是耗尽全局的内存;全连接攻击耗尽的是主机的处理进程和连接数量。
2.2 参考资料
TCP的半连接攻击和全连接攻击:http://blog.csdn.net/zhangxinrun/article/details/7619234
三、RST攻击
3.1 定义
假设一个合法用户(1.1.1.1)已经同服务器建立的正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据包。
TCP收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓冲区中建立好的连接。
这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户必须重新开始建立连接。
四、IP欺骗
4.1 定义
行动产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。
五、DNS欺骗
5.1 定义
攻击者冒充域名服务器的一种欺骗行为。
5.2 原理
如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。
DNS欺骗其实并不是“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
六、DOS攻击、DDOS攻击
6.1 定义
DOS攻击:拒绝服务。 制造大量数据,使受害主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求。
DDOS攻击:分布式拒绝服务。 多台傀儡机(肉鸡)同时知道大量数据。
1.1 定义
发生在TCP 3次握手中。
如果A向B发起TCP请求,B也按照正常情况进行响应了,但是A不进行第3次握手,这就是半连接攻击。
SYN攻击数据DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。
1.2 检测半连接攻击(SYN攻击)
1. netstat -n -p TCP
很多连接处于SYN_RECV状态(Windows下是SYN_RECEIVED),原IP地址都是随机的,表面这是一种带有IP欺骗的SYN攻击。
2. netstat -n -p TCP | grep SYN_RECV | grep 22 | wc -l 324
显示TCP端口22的未连接数有324个。
1.3 防范半连接攻击(SYN攻击)
过滤网关防护:
1. 网关超时设置
防火墙计数器到时,还没收到第3次握手包,则往服务器发送RST包,以使服务器从对列中删除该半连接。
网关超时设置,不宜过小也不宜过大。过小影响正常通讯,过大,影响防范SYN攻击的效果。
2. SYN网关
SYN网关将数据包转发给服务器,需要第3次握手包时,SYN网关以客户端名义给服务器发第3次握手包。
这会增加连接队列数目,一般服务器所承受的连接数量比半连接数量大得多。可以减轻SYN攻击。
3. SYN代理
SYN代理不转发SYN包,而是以服务器名字主动回复SYN/ACK包给客户。SYN代理代替了服务器去处理SYN攻击,此时要求过滤网关自身有很强的防范SYN攻击能力。
加固TCP/IP协议栈:
4. SynAttackProtect机制
5. SYN cookies技术
6. 增加最大半连接数
backlog队列需要大量的内存资源,不能被无限的扩大。
7. 缩短超时时间
timeout超时时间,即半连接存活时间,是系统所有重传次数等待的超时时间总和,这个值越到,半连接数占用backlog队列的时间越长,系统能处理的SYN请求越少。
为缩短超时时间,可以通过缩短重传超时时间和减少重传次数来实现。
1.4 参考资料
TCP漏洞,半连接:http://blog.csdn.net/cpk154505/article/details/8768241
二、全连接攻击
2.1 定义
客户端仅仅“连接”到服务器,然后再也不发送任何数据,直到服务器超时处理或者耗尽服务器的处理进程。
为何不发送任何数据呢? 因为一旦发送了数据,服务器检测到数据不合法后就可能断开此次连接;如果不发送数据的话,很多服务器只能阻塞在recv或者read调用上。
半连接攻击是耗尽全局的内存;全连接攻击耗尽的是主机的处理进程和连接数量。
2.2 参考资料
TCP的半连接攻击和全连接攻击:http://blog.csdn.net/zhangxinrun/article/details/7619234
三、RST攻击
3.1 定义
假设一个合法用户(1.1.1.1)已经同服务器建立的正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据包。
TCP收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓冲区中建立好的连接。
这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户必须重新开始建立连接。
四、IP欺骗
4.1 定义
行动产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。
五、DNS欺骗
5.1 定义
攻击者冒充域名服务器的一种欺骗行为。
5.2 原理
如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。
DNS欺骗其实并不是“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
六、DOS攻击、DDOS攻击
6.1 定义
DOS攻击:拒绝服务。 制造大量数据,使受害主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求。
DDOS攻击:分布式拒绝服务。 多台傀儡机(肉鸡)同时知道大量数据。
相关文章推荐
- SYN Foold ,IP欺骗DOS ,UDP洪水,Ping洪流 ,teardrop ,Land ,Smurf ,Fraggle 攻击 原理
- SYN Foold ,IP欺骗DOS ,UDP洪水,Ping洪流 ,teardrop ,Land ,Smurf ,Fraggle 攻击 原理
- 黑客通过IP欺骗进行攻击的原理及预防
- ping +IP如何判断网络是否连接
- 网络连接返回getsockopt: connection refused错误原因 及 listen ip:port
- VMWare的NAT网络连接方式下,给ubuntu设置固定IP
- 检查IP配置来修复Windows网络连接
- Ubuntu设置静态IP后无网络连接的解决方法
- 网络DoS攻击的排错介绍(CISCO)
- ubuntu 12.04 以固定 IP 地址连接网络并配置DNS
- 网络与安全2 在思科交换机上防范典型的欺骗和二层攻击
- 【虚拟机-网络IP】虚拟机配置静态 IP 以后无法连接的解决办法
- Windows (诊断后)提示:wlan没有有效的IP配置及无法连接该网络的原因
- NET平台下的IP欺骗和SYN Flood攻击-彭宁-贵州大学
- IP欺骗攻击的防御
- VMware Workstation虚拟机网络连接杂记、给Windows虚拟机配置固定IP
- Centos在Vmware中,做Net网络后的联网问题(自动获取可以联网,配置静态IP不可以连接)
- windows网络连接表 根据连接远程的ip端口判断本地程序
- 显示协议统计信息和当前 TCP/IP 网络连接
- 显示协议统计信息和当前 TCP/IP 网络连接。