本文为joshua317原创文章,转载请注明。 转载自joshua317博客3359 www.Joshua 317.com/article/50
简单的Dos攻击-死萍
最简单的基于IP的攻击可能需要计算有名的死亡ping,因为主要是单个数据包的长度超过了IP协议规范中规定的数据包长度。 做这样的包很容易。 事实上,许多操作系统提供了一种称为ping的网络工具。 打开Windows操作系统的DOS窗口,输入-l65500目标IP-t(65500表示数据长度上限,-t不断ping目标地址),即可实现此目的。 UNIX系统也有类似的情况。
通俗地说,具有对方IP存储器溢出,使对方系统崩溃的效果
一、怎么工作? 死萍是怎么工作的? 首先,由于以太网长度有限,IP数据包被切片。 如果IP包的长度超过以太网帧的最大大小(以太网标头和尾部除外),则包将被分片并作为多个帧发送。 接收方的机器提取每个分片,并将其重新组织成完整的IP分组。 IP报头通常包含整个IP包的长度。 当IP包存储在分片中时,标头只包含每个分片的长度。 由于分片不包含整个IP分组长度的信息,因此当IP分组分片后,只有在该分片被接受之后才能确定整个重组的IP分组的长度。
IP协议规范规定了IP数据包的最大大小,但大多数数据包处理程序假设数据包的长度不会超过此最大大小。 因此,分配给包重建代码的内存空间最大也不超过该最大大小。 这样,当出现巨大的数据包时,数据包中的其他数据将写入其他正常区域。 这容易导致系统处于不稳定状态,是典型的缓冲区溢出攻击。 在防火墙级别检测到这样的攻击相当困难。 因为每个瓷砖包装看起来都很正常。
由于使用ping工具可以轻松进行此攻击,因此成为此攻击的首选武器也是此攻击的名字由来。 当然,因为还有很多程序可以做到这一点,所以仅仅阻止使用ping是不能完全解决这个漏洞的。 预防死亡ping的最佳方法是为操作系统打补丁,以防止内核重组超过规定长度的数据包。
二、现象问题出现在初期的Windows内,但接近Windows Me时已经看不见了。 不仅已经没有ping到65500以上,各大网站还限制了数据包的输入大小,避免在多台电脑上同时ping到一个ip导致瘫痪,一般大网站将数据包控制在3000以下; 另一方面,服务器和dns通过将数据包控制在10000以下来防止此问题,如果超过数值,则会提示连接超时。
请不要大数据自己的ip地址。
请不要随便ping网站的网址
请不要ping自己的IP地址
三.操作DOS攻击死亡的ping,俗称拒绝服务攻击,通过向服务器发送大量无用的请求数据包,耗尽服务器资源,无法正常访问,导致服务器崩溃。
如果没有防御措施,则无论服务器内存大小、宽带宽度还是CPU速度如何,多个ip都无法通过启动对单个服务器的攻击来阻止这种攻击。
死亡ping代码:
打开系统命令窗口,在windows电脑上按win R,输入cmd命令进入命令画面。
输入:
ping -l 65500目标IP-t(65500表示数据长度上限,-t表示不断ping目标地址。 (这是一个简单的拒绝服务攻击。
四.常见攻击和SYN Flood防攻击:
问题是,在TCP连接的第三次握手中,如果一个用户在向服务器发送SYN消息后突然冻结或脱机,则服务器在发送SYN ACK应答消息后接收来自客户端的ACK消息在这种情况下,服务器端通常()向客户端重新发送SYN ACK ) ),并等待一段时间后丢弃此未完成的连接。 synti 1一个用户出现异常,服务器的一个线程等待一分钟并不是什么大问题,但是如果大量恶意攻击者模拟这一点,服务器端将消耗非常多的资源来维护非常大的半连接列表上万个半连接,轻松存储和遍历占用了非常多的CPU时间和内存。 更何况,针对该列表的IP反复进行SYN ACK的重试。 实际上,如果服务器的TCP/IP堆栈不充分,最终结果往往会因堆栈溢出而崩溃—即使服务器端系统充足,服务器端也会忙于处理攻击者伪造的TCP连接请求,无暇理会客户的常规请求本来,客户端的通常要求比率就非常小。 此时,从通常的顾客来看,服务器失去了响应。 这种情况,我们可以看到服务器方面对SYN Flood攻击(
防盗:
第一,缩短SYN Timeout时间的第二种方法是设置SYN Cookie。 它为每个请求连接的IP地址分配一个Cookie,如果收到一个IP的短时间、连续、重复的SYN消息,则认定受到了攻击,以后来自该IP地址的所有数据包都将被丢弃。 netstat -n -p tcp result.txt
Smurf攻击:发送伪装的ICMP包并将目标地址设置为某个网络
的广播地址,源地址设为要攻击的目的主机,使所有收到此ICMP数据包的主机都将对目的主机发出一个回应,使被攻击主机在某一段时间内收到 成千上万的数据包 防范: 在cisco路由器上配置如下可以防止将包传递到广播地址上: Router(config-if)# no ip directed-broadcast
Ping of Death:
”ping ofdeath”攻击就是我们常说的”死亡Ping” 这种攻击通过发送大于65536字节的ICMP包使操作系统崩溃;通常不可能发送大于65536个字节的ICMP包,但可以把报文分割成片段,然后在目标主机上重组;最终会导致被攻击目标缓冲区溢出,引起拒绝服务攻击。有些时候导致telne和http服务停止,有些时候路由器重启。
teardown攻击:
对于一些大的IP数据包,往往需要对其进行拆分传送,这是为了迎合链路层的MTU(最大传输单元)的要求。比如,一个6 000字节的IP包,在MTU为2 000的链路上传输的时候,就需要分成3个IP 包。在IP报头中有一个偏移字段和一个拆分标志(MF)。如果MF标志设置为1,则表示这个IP包是一个大IP包的片段,其中偏移字段指出了这个片段在整个IP包中的位置。例如,对一个6 000字 节的IP包进行拆分(MTU为2 000),则3个片段中偏移字段的值依次为0,2000,4 000。这样接收端在全部接收完IP数据包后,就可以根据这些信息重新组装这几个分次接收的拆分IP包。在这 里就有一个安全漏洞可以利用了,就是如果黑客们在截取IP数据包后,把偏移字段设置成不正确的值,这样接收端在收到这些分拆的数据包后,就不能按数据包中的偏移字段值正确组合这些拆分的数据包,但接收端会不断尝试,这样就可能致使目标计算机操作系统因资源耗尽而崩溃。
Land(LandAttack)攻击:
在Land攻击中,黑客利用一个特别打造的SYN包–它的原地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时,在Land攻击下,许多UNIX将崩溃,NT变得极其缓慢(大约持续五分钟)。
IP欺骗: 这种攻击利用TCP协议栈的RST位来实现,使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。假设有一个合法用户(100.100.100.100)已经同服务器建了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为100.100.100.100,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从100.100.100.100发送的连接有错误,就会清空缓冲区中已建立好的连接。这时,合法用户100.100.100.100再发送合法数据,服务器就已经没有这样的连接了,该用户就被拒绝服务而只能重新开始建立新的连接。
本文为joshua317原创文章,转载请注明:转载自joshua317博客 https://www.joshua317.com/article/50