常见的攻击方式详解
常见的攻击方式详解
DOS/DDOS攻击
Dos攻击是拒绝服务攻击,是指故意攻击网络协议的缺陷或者直接通过野蛮的手段残忍地手段耗尽被攻击对象的资源,目的就是让目标计算机或者网络无法提供正常的服务或者资源访问,使目标计算机停止甚至崩溃。这并不包括入侵目标计算机服务器或目标计算机。
DDos是分布式拒绝服务,借助客户机/服务器技术,将多个计算机联合在一起来攻击目标计算机,从而成倍的提高拒绝服务的攻击威力。
死亡之Ping
概念
死亡之Ping是一种拒绝服务攻击,方法是由攻击者故意发送大于65535个字节的IP数据包给对方,发送的IP数据包由于受链路层的MTU控制,所以在传输的过程中会分片,但是在重组报文的总长度会超过65535个字节,这时就会出现服务器不能正常运行或者崩溃情况。
受到arp攻击
基本原理
攻击者向目标计算机发送一个ICMP报文(ICMP报文是和IP数据包封装在一起的,ICMP报头占8个字节【类型、代码、检验和、标识符、序列号】,ip报文头占20字节),发送ICMP echo request 报文的命令是ping,由于ip数据包最大长度是65535字节。而ICMP报头位于数据包之后,并与IP数据包封装在一起,因此ICMP数据包最大尺寸不超过65515字节,可以向主机发送回送请求,这样在最后分段中,改变其正确的偏移量和段长度组合,使系统在接受到全部的分段并重组的报文时总长度超过65535字节,这时主句就会出现内存分配错误而导致TCP/IP堆栈崩溃,导致死机。
Teardrop攻击
攻击者A向受害者B发送一些分片的IP报文,并且故意将13位偏移量设置为错误值,致使B在重组这些IP分片报文的时候,会使B系统发生崩溃。
  1. 获取被攻击主机的IP地址或者主机号
  2. 发送自己封装的IP报文。
  3. 设置偏移量和检验和。
SYN flood攻击
概念
SYN flood是利用TCP缺陷,发送大量的伪造的TCP连接请求,致使被攻击的主机瘫痪。
基本原理
SYN flood是在客户机/服务器之间用TCP连接时候,在三次握手中完成的。在三次握手中,首先客户端向被攻击的主机发送大量的SYN=1,序列号seq=x的TCP数据包,(序列号seq表示TCP从发端到收端发送数据的字节流,它表示在这个报文段中的第一个字节,而确认序列号seqack表示表示所接受到的下一个序列号即seq+1),被攻击的主机接受到这个客户机请求之后,返回到客户机中一个(SYN=1,ACK=1,seq=y,ack=x+1)的数据包,自己处于SYN_RECV状态,但是在返回时候由于客户机发送的TCP连接请求是伪造的,(即源地址不存在)没法返回数据,此时服务器端需要超时重传。因为客户机发送大量的伪造的TCP连接,在超时重传时间内,服务器端为了维护一个非常大的半连接列表从而消耗非常大的资源,
其中简单的保存和遍历就会消耗很大的资源。最终产生堆栈溢出崩溃或者服务器也忙于处理伪造的TCP连接请求而无法处理客户端正常请求。
Smurf攻击
概念
使用IP欺骗和ICMP回复方法使大量的网络传输充斥目标系统,从而引起目标系统为拒绝正常系统进行服务。
基本原理
发送伪造的ICMP数据包(包含IP数据包头),将目的地址设为某个网络广播地址(主机号全为1),源地址设为要攻击的目标主机。
具体实现步骤
  1. 锁定一个被攻击主机,获取其ip地址和端口号。
  2. 寻作为中间代理的站点,通常选择多个。以便更好的隐藏自己,伪装攻击。
  3. 给中间代理站点的广播地址发送大量的ICMP包(源地址是被攻击的目标主机),(发送的ICMP必须是请求回显的报头)。
  4. 中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包。
  5. 中间代理主机对被攻击的网络进行响应。
LAND攻击
概念
LAND攻击是一种使用相同的源的目的主机和端口号发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。
基本原理
在LAND攻击中,一个特别打造的SYN包中的源地址和目标地址都被设置成某一个服务器的地址。这时将导致接受服务器对它自己的地址发送SYN-ACK消息。结果导致这个地址又发回ACK消息并创建一个空连接。每一个这样的连接都将保留直到超时掉。
  1. 获取被攻击主机的IP地址和端口号
  2. 打造一个TCP数据包(源地址和目标地址都设置为被攻击主机的地址)
  3. 客户机发送这个数据包给被攻击的主机。
  4. 被攻击的主机收到这个数据包之后,返回的消息发给了自己。
中间人攻击
概念
一种”间接“的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间。一般采用SMB回话劫持和DNS欺骗。
会话劫持
是一种结合了嗅探以及欺骗技术在内的攻击手段。简单的说就是攻击者把自己插入受害者和目标机器之间。并设法让受害者和目标机器之间的数据通道变成受害者和目标机器之间存在的一个代理机器的数据通道。
嗅探技术:网络嗅探需要用到网络嗅探器,查网络漏洞和检查网络性能。
DNS欺骗
概念
攻击者通过入侵DNS服务器、控制路由器等方法把受害者要访问的目标机器域名对应的IP解析为攻击者所控制的机器,这样受害者原本要发送给目标机器的数据就发到了攻击者的机器上,这时攻击者就可以监听甚至修改数据。
原理
  Client的DNS查询请求和DNS Server的应答数据包是依靠DNS报文的ID标识来相对应的。在进行域名解析时,Client首先用特定的ID号向DNS Server发送域名解析数据包。这个ID是随机产生的,DNS Server到结果后使用此ID向Client发送应答数据包。Client接受到此包后,将接受到ID与请求包的ID对比,如果相同则说明接受到数据包是自己需要的,如果不同就丢弃此包。
具体实现
1. 因为DNS Message 仅使用一个简单的认证码来实施真实性验证,认证码是由Client程序产生,并由DNS server返回结果的,客户机只是使用这个认证码来辨别应答与申请查询是否匹配,这就使得针对ID认证码的攻击收到威胁。
2. 在DNS Request Message中可以增加信息,这些信息可以与客户机所申请查询的内容没有必然联系,因此攻击者就能在Request Message中根据自己的目的增加虚假的信息,比如增加其他Domain Server的Domain Name及其IP Address。此时Client在收到攻击的Domain Server上查询申请均被转向此前攻击者在Request Message中增加的虚假Domain Server,由此DNS 欺骗得以产生并对网络构成威胁。
3. 当DNS Server接受到Domain Name和IP Address相互映射的数据时,就将其保存在本地的Cache中,若再有Client请求查询此Domian Name对应的IP Address,Domain Server就会从Cache中将映射信息回复给Client,无需在Database中再次查询。如果黑客将DNS Request Message 的存在周期设定较长时间,就可以进行长期欺骗。
DNS欺骗攻击的方式   
DNS欺骗技术常见的有内应攻击和序列号攻击两种。
内应攻击
内应攻击即黑客在掌控一台DNS Server后,对其Domain Database内容进行更改,将虚假IP Address指定给特定的Domain Name,当Client请求查询这个特定域名的IP时,将得到伪造的IP.
序列号攻击
概念
序列号攻击是指伪装的DNS Server在真实的DNS Server之前向客户端发送应答数据报文,该报文中含有的序列号ID与客户端向真实的DNS Server发出请求数据包中含有的ID相同,因此客户端会接收该虚假报文,而丢弃晚到的真实报文,这样DNS ID序列号欺骗成功。客户机得到的虚假报文中提供的域名的IP是攻击者设定的IP,这个IP将把客户带到攻击者指定的站点。 
DNS 序列号欺骗攻击原理   

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。