服務攻擊部 – 技術技能,拒絕服務攻擊 – 定義和解釋

服務攻擊

-> 廣告鏈接 :海盜使用廣告鏈接下載靴子.

服務攻擊

拒絕服務(Back)是對計算機或網絡的攻擊,可降低,限製或阻止系統資源對合法用戶的訪問性.

在反攻擊期間,攻擊者通過服務請求或非審計流量淹沒了受害者係統,以使其資源超負荷. 因此,背部攻擊恰恰導致服務的不可用.

2. 什麼是分佈式拒絕攻擊(DDOS) ?

分佈式服務拒絕攻擊(DDOS)意味著眾多構成攻擊單個目標的系統,導致目標系統用戶拒絕服務.

為了發射DDOS攻擊,攻擊者使用靴子攻擊單個系統.

3. 背部攻擊的影響

部門攻擊對受害者組織有害後果. 背部攻擊的影響可能導致有關的結構:

  • 損失業務價值:提供的服務用戶不再有信心,
  • 網絡不活動:服務無法訪問,
  • 經濟損失:流失可能會下降,
  • 組織的組織.

4. Back / DDOS攻擊向量的基本類別

背部或DDOS攻擊向量的基本類別如下:

  • 體積攻擊:他們消耗網絡或目標服務的帶寬. 它是通過洪水攻擊,放大攻擊(UDP,ICMP,死亡,藍精靈)等等以每秒(bps)進行測量的。.
  • 協議攻擊:他們消耗網絡基礎架構組件中存在的連接狀態表. 攻擊以每秒數據包(PPS)測量.

示例:SYN,ACK,TCP,碎片攻擊等。.

  • 應用層攻擊 :他們消耗資源或應用程序服務,因此使其無法為其他合法用戶提供. 它以每秒請求(RP)的要求進行測量.

示例:http獲取 /攻擊後

ii. 攻擊技術

1. UDP洪水攻擊

->使用廣泛的IP地址範圍.

-> UDP數據包的洪水將迫使服務器在端口的端口幾次驗證不存在的應用程序.

->系統無法訪問合法的應用程序,並將錯誤響應軟件包作為“無法訪問的目的地”消息返回.

->此攻擊將消耗網絡的資源和可用的帶寬,耗盡網絡直到斷開連接.

2. ICMP洪水攻擊

->這是一種攻擊,攻擊者向受害者發送大量Echo ICMP應用程序包.

->網絡管理員的確將ICMP用於IP配置,不刪除軟件包的故障排除和錯誤消息傳遞.

->這些軟件包將指出目標系統的響應,流量的組合將使目標網絡的帶寬飽和. 後者將被超載,並將停止響應合法的TCP / IP請求.

->為了保護自己免受ICMP洪水攻擊的侵害,可以定義一個閾值限制,該閾值限制在超過ICMP洪水攻擊時將保護功能調用.

3. 死亡ping

->攻擊者試圖通過使用簡單的Ping命令發送大包裝來種植,破壞或凍結目標系統或服務.

->如果數據包的尺寸超過RFC791 IP(65535)規定的尺寸限制,則加固過程可以種植系統.

4. 藍精靈攻擊

->在這次攻擊中,前鋒篡奪了目標的IP地址,並將ICMP迴聲數據包(PING)的最大流程發送到廣播的地址,也就是說. 每個ping將包括目標計算機篡奪地址.

->廣播網絡的主機將以Echo ICMP請求響應受害者機器,這最終將導致機器故障.

5. SYN查詢洪水攻擊

->攻擊者通過錯誤的IP地址向受害者發送了大量的SYN請求.

->“ SYN Flooding”利用了大多數主機實施TCP談判的方式的缺陷.

->當受害人收到SYN請求時,她必須在“排隊隊列”中部分打開連接的痕跡至少75秒.

->惡意主機可以通過向主機發送多個SYN請求來使用聆聽隊列的小尺寸,但從未響應SYN / ACK.

->受害人的聽力隊列很快填滿.

->將每個不完整連接持續75秒可以用作拒絕服務攻擊.

6. 分裂攻擊

->這些攻擊意味著欺詐性UDP或TCP數據包的傳輸大於網絡的MTU(最大傳輸單元)(通常〜1500字節). 這次攻擊將破壞受害者享受零散包的能力.

->由於這些軟件包是錯誤的,無法達到,因此目標服務器的資源很快消耗了,這導致服務器無法獲得.

7. 使用HTTP攻擊或發布請求

-> HTTP洪水攻擊使用似乎是http獲取或發布合法請求以攻擊Web服務器或應用程序.

-> HTTP GET攻擊將通過延遲發送HTTP標頭以維護HTTP連接並用盡Web服務器資源來執行HTTP GET攻擊.

->可以通過發送完整的標頭和一個不完整的主體來執行HTTP後攻擊,這迫使Web服務器等待其餘的身體,直到資源用盡.

8. 慢速攻擊

-> slowloris是DDOS應用程序DDOS攻擊,它使用部分HTTP請求在單個計算機和目標的Web服務器之間打開連接,然後儘可能長時間保持這些連接的打開狀態,淹沒並放慢目標.

->因此,將完成目標服務器的最大同時連接池,並將拒絕其他連接嘗試.

9. 多長期攻擊

->在多標籤攻擊中,攻擊者結合了一組威脅,例如在多個入口點(攻擊向量)上部署到許多階段的體積攻擊,協議和應用程序以感染計算機和網絡,從而達到目標,從而達到目標.

->攻擊者將迅速從分佈式的拒絕服務形式.

->這些攻擊通常用於混淆公司的IT服務,以使其花費所有資源並將注意力轉移到錯誤的一面.

10. 同行之間的攻擊

->使用點對點客戶,攻擊者要求客戶從其點對點網絡中斷開連接,並連接到受害者的假網站.

->攻擊者使用DC ++協議(Direct Connect)在網絡上發現的故障,該錯誤用於在即時消息傳遞客戶之間共享所有類型的文件.

->感謝此,攻擊者發起了大規模的服務否認攻擊和妥協網站.

11. 永久性反擊

在永久性的背部攻擊中,我們有:

-> 施法 :永久性背部,也稱為Phlalashing,是指對系統系統造成不可逆轉損害的攻擊.

-> 破壞 :與其他背部攻擊不同,他破壞了系統的系統,迫使受害者更換或重新安裝設備.

-> “磚”系統 :這種攻擊是使用稱為“磚系統”的方法進行的. 通過使用此方法,攻擊者向受害者發送欺詐性硬件更新.

12. 通過反射分佈式(DRDOS)進行有爭議的服務

->分佈式反射的服務拒絕攻擊(DRDOS)也稱為篡改攻擊,意味著使用了幾台中間機和二級機器,這些機器有助於對機器或目標應用程序的實際DDOS攻擊.

->攻擊者通過向中間主機發送請求來啟動此攻擊,然後將這些請求重定向到輔助機器,進而反映出目標的流量.

-> 優勢 : 主要目標似乎直接受到次要受害者的攻擊,而不是由真正的攻擊者攻擊。使用了幾個中級受害服務器,這導致帶寬攻擊增加.

iii. 靴子

1. 定義

->靴子是在Internet上執行自動任務並執行簡單重複任務的軟件應用程序,例如Web探索和搜索引擎索引.

->殭屍網絡是一個妥協系統的大型網絡,攻擊者可以通過拒絕服務來發射攻擊.

2. 查找脆弱機器的分析方法

-> 隨機分析 :感染的機器從目標網絡的IP地址海灘隨機檢查IP地址,並檢查漏洞.

-> 結果列表的分析 :攻擊者首先收集潛在脆弱的機器列表,然後執行分析以找到脆弱的機器.

-> 拓撲分析 :他使用在感染機器上獲得的信息來查找新的脆弱機器.

-> 局部子網分析 :受感染的機器正在自己的本地網絡中尋找新的脆弱機器.

-> 分析排列 :他使用IP地址的偽隨機置換列表來查找新的弱勢機器.

3. 惡意代碼如何傳播 ?

攻擊者使用三種技術將惡意軟件傳播到新發現的脆弱系統:

-> 中央來源的傳播: 攻擊者將攻擊工具箱放在中央源,其副本將被轉移到新發現的脆弱系統.

-> 後鏈繁殖: 攻擊者本人將攻擊工具箱放在他的系統上,並將盒子的副本轉移到新發現的脆弱系統中.

-> 自主繁殖: 當發現其漏洞時,主機本身將攻擊工具框轉移到目標系統.

-> 廣告鏈接 :海盜使用廣告鏈接下載靴子.

4. 將移動設備用作殭屍網絡來啟動DDOS攻擊

-> Android被動地容易受到各種惡意軟件的攻擊,例如特洛伊木馬,機器人(機器人),遠程訪問工具(老鼠)等。. 從第三方商店.

->這些不抵制的Android設備是攻擊者擴大殭屍網絡的主要目標.

->攻擊者將您捕獲您的應用程序,他可以將您的設備用作殭屍網絡來啟動DDOS攻擊.

iv. Back / DDOS攻擊工具

1. 一些背部和DDOS攻擊工具

高軌道離子大砲(HOIC) :HOIC對任何IP地址進行DDOS攻擊,用戶選擇的端口和用戶選擇的協議.

HTTP無法忍受的負載國王(綠巨人) :綠巨人是Web服務器的DDOS工具. 它專門用於在Web服務器上生成流量.

達沃塞特 :是通過功能濫用的漏洞和其他站點上的XML外部實體對網站進行DDOS攻擊的命令行.

其他工具:海嘯,Blackhat Hacking工具等。.

2. 手機的返回和DDOS攻擊工具

低軌道離子大砲(LOIC) :低軌道離子大砲(LOIC)軟件的Android版本用於淹沒允許攻擊者對目標組織進行DDOS攻擊的包裝.

andosid :Andosid允許攻擊者模擬反向攻擊(確切地說是液光的HTTP攻擊)和從移動電話上對Web服務器上的DDOS攻擊.

其他工具:數據包生成器,Pingtools Pro,等。.

v. 檢測技術

檢測技術基於確定非法流量的增加. 所有檢測技術都將攻擊定義為與正常網絡流量統計閾值有關的異常和明顯的差異.

1. 活動分析

攻擊由以下方式指示:

  • 網絡流簇之間的活動水平增加.
  • 單獨簇的總數增加(DDOS攻擊)

活動概況基於網絡流的平均包裝流,該包由具有相似數據包的連續包裝組成. 實際上,活動的分析是監視網絡包的標題信息,併計算網絡流量的數據包的平均流量,以檢測活動水平的增加.

2. 順序檢測變更點

該檢測技術遵循以下步驟:

  • 孤立販運 :變更點的檢測算法孤立的網絡流量統計量變化由攻擊引起.
  • 過濾流量 :算法通過地址,端口或協議過濾目標流量數據,並以時間順序排列的形式存儲所得流量.
  • 確定攻擊 :變化點的順序檢測技術使用累積總和(cusum)的算法來識別和定位背部攻擊;該算法計算了按時間順序排列的實際局部平均和預期之間的差異.
  • 識別分析活動 :該技術還可以用來識別網絡蠕蟲的典型分析活動.

3. 基於小波的信號分析

小波分析描述了光譜成分的輸入信號. 小波提供了時間和頻率的同時描述. 每個光譜窗口的能量分析確定存在異常. 信號分析確定存在某些頻率組件的時間,並過濾異常流量(如背景噪聲)的輸入信號.

vi. 對策

1. DOS / DDOS反應策略

吸收 :使用額外的能力吸收攻擊;這需要事先計劃和其他資源.

確定退化服務 :確定關鍵服務並停止非臨界服務.

服務停止 :停止所有服務,直到攻擊平靜下來.

2. 返回 / DDOS攻擊對策

  • 保護次要受害者

->定期監視安全性,以免受到DDOS代理軟件的保護.

->安裝木馬防病毒軟件和反馬軟件,並保持最新狀態.

->了解所有互聯網用戶有關預防問題和技術的意識.

->停用不必要的服務,卸載未使用的應用程序,分析從外部來源收到的所有文件.

->正確並定期更新集成到系統的系統和基本軟件中的防禦機制.

  • 檢測和中和經理

網絡流量分析 :分析經理與客戶或經理和代理商之間的通信協議和流量模型,以識別可能與經理感染的網絡節點.

中和殭屍網絡經理 :通常,與代理數量有關的DDOS經理很少. 某些經理的中和可能使多個代理商無用,從而挫敗了DDOS攻擊.

用戶源地址 :篡奪DDOS攻擊數據包的源地址不像已定義的子網的有效源地址.

  • 防止潛在的攻擊

輸出過濾器 :這是掃描IP軟件包的標題離開網絡的問題,以確保未經授權或惡意流量永遠不會離開內部網絡並檢查必要的規格以達到目標.

進入過濾器 :它可以防止來源解決,防止洪水防止攻擊. 它允許發件人追踪到其真實來源.

TCP截距 :TCP Intercept的配置將保護服務器免受TCP SYN洪水攻擊的侵害,並通過攔截和驗證TCP連接請求來防止攻擊.

約束率:: 這是限制傳入或傳出流量的速率,它減少了可能導致DDOS攻擊的大量流量.

->以有限的安全性實施的系統(也稱為蜂蜜鍋(Honeypots))充當攻擊者的動力.

->蜂蜜罐用於通過存儲系統活動記錄來獲取攻擊者,攻擊技術和工具的信息.

->在網絡的不同點使用IPS中的IPS中的深度防禦方法,將可疑的背部交通轉移到幾罐蜂蜜.

->增加關鍵連接的帶寬以吸收攻擊產生的其他流量.

->複製服務器提供額外的安全保護.

->平衡多個服務器體系結構中每個服務器上的負載以減輕DDOS攻擊.

->配置路由器,以便他們訪問具有邏輯的服務器以限制對服務器安全的輸入流量級別.

->限制通過控制流量來避免損壞服務器.

->可以擴展以限制DDOS攻擊流量並授權合法的用戶流量以獲得更好的結果.

刪除查詢:

->服務器將在負載增加時刪除包裝,這將引起一個難題以開始請求.

法醫分析是專門進行的。. 提及安全審計,法醫分析允許整體重建攻擊,這要歸功於數字證據,以搜索海盜留下的痕跡.

-> 分析 攻擊流量模型: 攻擊後對數據進行分析,以搜索攻擊流量中的特定特徵. 這可以幫助網絡管理員開發新的過濾技術,以防止流量進入或退出網絡.

-> 數據包的重新背包: 與反向工程類似,有助於找到攻擊源,採取必要的措施阻止其他攻擊.

-> 事件雜誌的分析: 事件雜誌有助於確定背部流量的來源,以識別DDOS攻擊的類型.

3. 防禦殭屍網絡

-> RFC 3704過濾 :它通過FAI中的過濾器拒絕帶有偽造地址的流量來限制DDO的影響.

-> 聲譽過濾IP源Cisco IPS :聲譽服務有助於確定IP地址或服務是否是威脅來源,Cisco IPS定期更新其數據庫,並具有已知威脅,例如殭屍網絡,殭屍網絡收集器,惡意軟件等. 並幫助倒退.

-> 黑洞過濾 :黑洞是指拒絕或放棄傳入流量的網絡節點,而無需通知消息來源數據未達到預期的收件人. 黑洞的過濾是指在路由中消除數據包.

-> DDOS預防提供或DDOS服務 :激活其他路由器中的IP源護罩(在思科中)或類似功能,以根據DHCP監視數據庫或IP源債券過濾流量.

4. 其他DDOS / DOS對策

為避免DDOS / DOS攻擊,可以遵循以下說明:

1)使用強大的加密機制,例如WPA2,AES 256,等。.

2)禁用未使用和無抵押服務.

3)用最新版本更新核

4)執行條目的深度驗證

5)防止使用不必要的功能,例如get,strcpy,等。.

6)防止退貨地址被壓碎

7)配置防火牆以拒絕訪問外部ICMP流量

8)在物理層中實現認知無線電以管理干擾攻擊.

9)確保軟件和協議是最新的.

10)防止根據FAI的欺詐性發送數據包.

11)將所有傳入軟件包從服務端口阻止反射服務器的流量.

12)安全遠程管理和連接測試.

5. DOS / DDOS保護在FAI方面

這些機制允許Internet服務提供商(ISP)保護自己免受背部/DDOS攻擊:

1)大多數FAI只是在DDOS攻擊中阻止所有請求,甚至阻止合法流量訪問服務.

2)FAI在雲中提供互聯網鏈接的DDOS保護,以使它們不被攻擊飽和.

3)雲中的DDOS保護在攻擊過程中攻擊FAI的攻擊流量並將其返回.

4)管理員可以要求ISP阻止其受影響的IP並在傳播DNS後將其站點移至另一個IP.

DDOS保護設備: Fortiddos-1200b,思科後衛XT 5650,A10 Thunder TPS

工具: Incapsula DDOS保護,反DDOS Guardian,Cloudflare,Defensepro

vii. 背部 / DDOS滲透測試

步驟1:定義目標

->這將是建立滲透測試計劃的問題

步驟2:測試服務器上的重載

->必須確定背部攻擊的最小閾值

步驟3:檢查脆弱的背部系統

->這包括驗證系統處理後攻擊的能力

步驟4:在服務器上運行SYN攻擊

->滲透測試的結果將幫助管理員確定和採用適當網絡周邊的安全控制,例如負載平衡器,IDS,IPS,Firewalls等。.

步驟5:在服務器上運行移植攻擊

->這是淹沒目標流量網絡以驗證系統穩定性的問題.

步驟6:在電子郵件服務器上啟動電子郵件轟炸機

->使用工具 轟炸機電子郵件 將向目標消息服務器發送大量電子郵件.

步驟7:淹沒網站的形式和留言簿,帶有虛假入口

->這通過維護封鎖下的端口上的所有連接請求來增加處理器的使用.

步驟8:記錄所有結果.

->所有結果必須記錄在案.

部門攻擊 – 定義

A 服務攻擊 (( 拒絕服務攻擊 , 因此縮寫 後退)是針對不可用的服務的攻擊,以防止合法用戶使用服務. 有可能:

  • 網絡的洪水(計算機網絡是一組鏈接在一起以交換的設備. )防止其操作
  • 兩台機器之間連接的干擾,阻止了訪問特定服務
  • 妨礙特定人獲得服務的機會

因此,拒絕服務攻擊可以阻止文件服務器,使得無法訪問Web服務器,防止在公司中分發電子郵件或使網站不可用(Internet是使公共服務可訪問的全球計算機網絡. )) .

海盜不一定需要(需求是關於個人與環境之間的相互作用. 他是. )精緻的設備. 因此,某些背部攻擊(在解剖學中,在包括人在內的脊椎動物中,背部是部分. )可以用有限的資源來執行更大的現代網絡. 這種攻擊“不對稱攻擊”有時被稱為(由於主角之間的資源差異). 帶有計算機的黑客(計算機是帶有處理單元的計算機,允許它. )過時和調製解調器(調製解調器(手提箱,用於調製器調節器)是服務設備. )因此,緩慢可以中和更大的機器或網絡.

部門的拒絕攻擊隨著時間的流逝而發生了變化(時間是人類開發的一個概念. ) (看 ).

一切(全部包含在存在的一組中,通常都被解釋為世界或. )首先,前者僅由一個“攻擊者”犯下;很快,出現了更高級的攻擊,涉及許多“士兵”,也稱為“殭屍”. 然後,我們談論ddos( 分佈式拒絕服務攻擊 )). 然後,僅被壯舉和名望吸引的海盜犯下了背部和DDOS攻擊. 如今,這些主要是犯罪組織,基本上是由金錢動機(銀或金屬銀是Ag符號的化學元素 – . )) . 因此,一些黑客專門從事“殭屍”軍隊的“舉重”,然後他們可以將其租給其他海盜以攻擊特定目標. 隨著數量的急劇增加(語言學中的數字概念在文章中涉及“數字”. )在互聯網上進行交流,拒絕服務的單打數量非常強烈(海盜發起了對公司的背部或DDOS攻擊,並要求他贖金以阻止這次襲擊 !)).

歷史

出現了否認服務的攻擊(那一天是分隔日出的間隔;這是. )80年代. DDOS(或分發後攻擊)將是更近期的:第一次官方DDOS攻擊發生在1999年8月:一種工具(工具是生物使用的最終確定對象,以增加其. )稱為“ Trinoo DDO”(如下所述),至少在227個系統中,其中114個在互聯網上,向洪水大學服務器(一所大學是一家高等教育機構,其目標就在那裡. )明尼蘇達州. 這次攻擊後,大學互聯網訪問被阻止了兩天以上.

在消費者出版社中介導的第一次DDOS攻擊發生在2000年2月,由邁克爾·卡爾斯(Michael Calce)造成,稱為黑手黨. 2月7日,雅虎! (雅虎!,Inc. 是一家美國互聯網服務公司. )是DDOS攻擊的受害者(渲染是計算計算2D圖像的計算機過程(相當於照片). )它的互聯網門戶無法訪問三個小時. 2月8日,亞馬遜.com,購買.COM,CNN和eBay受到DDOS攻擊的影響,導致停止或強烈的放緩(SNCF類型)宣佈在轉移位置的針(或更多). 他們的操作. 2月9日,E貿易和ZDNET又是DDOS攻擊的受害者.

分析師認為,在三個小時的無法訪問中,雅虎! 已經歷了電子商務和廣告收入的損失,總計約50萬美元 . 根據亞馬遜的說法.com,他的攻擊導致10個小時內損失了60萬美元. 在攻擊期間,eBay.com已經過去(過去是與時間相關的概念:它是由整個概念組成的. )100%可用性(設備或系統的可用性是一種性能措施. )9.4%; CNN.COM低於體積的5%(體積,物理或數學科學,是一個測量擴展的數量. ) 普通的 ; ZDNET.com和etrade.com幾乎是無法訪問的. Schwab.查爾斯·施瓦布(Charles Schwab)經紀人的在線網站com也受到了影響. 我們只能假設,在一家在線交易中每週20億美元的公司中,虧損並不能忽略不計. 邁克爾·卡爾斯(Michael Calce),黑客亞馬遜的人.com,雅虎!, CNN和eBay被判處8個月(來自LAT. Mensis“月”,以前在Plur. “月經”)是一段時間. )在一個年輕的拘留中心(事實時他只有15歲).

2001年9月,某種病毒(病毒是需要宿主細胞的生物實體,他使用的. )紅色代碼感染了幾千個系統,第二個系統(第二個是第二種形容詞的女性,後者立即出現在第一個或誰之後. )標題為“ Code Red II”的版本安裝DDOS代理. 謠言聲稱他必須對白宮發動襲擊(白宮(英語白宮)是官方住所和辦公室. )) . 在某種情況下(事件的上下文包括周圍的情況和條件;. )危機政策,美國政府宣布將採取安全措施. 但是在2002年夏天,互聯網轉向對其13個根服務器進行DDOS攻擊. 這些服務器是轉介系統的關鍵點(在鐵路界,要將火車從一個軌道傳遞到另一個軌道,我們使用. )互聯網,稱為域名系統(域名系統(或DNS,域名系統)是允許的服務. )(DNS). 這次攻擊只會持續一個小時(小時是一個測量單位:),但可能會使整體癱瘓(理論上,一組憑直覺指定了一個集合. )互聯網網絡. 該事件是由聲稱將來加強機器安全性的專家認真對待的.

Slapper的第一個版本出現在2002年9月中旬,污染了13,000多個Linux服務器(從嚴格的意義上講,Linux是免費操作系統內核的名稱,多任務處理. ) 在兩週內. Slapper使用OpenSL1模塊中存在的安全孔,車輛(車輛是移動機器,它使您可以移動人員或收費. )DDOS代理. 這是及時檢測並停止的.

儘管有一切,但在2002年10月21日星期一,一場新的反擊封鎖了13個主要服務器中的9台,使他們的資源無法訪問三個小時. 管理這些主要服務器的公司和組織的一部分會做出反應,並決定審查其安全設備. 聯邦調查局已經開展了調查,但是定位襲擊的作者有望很困難.

數據庫服務器(在信息技術(TI)中,數據是一個基本描述,通常. )Microsoft(Microsoft Corporation(NASDAQ:MSFT)是跨國公司的解決方案. )配置較差的SQL Server感染了蠕蟲(蠕蟲構成非常異構的無脊椎動物動物. )SQL Slammer. 後者帶有DDOS代理,他於2003年1月25日對互聯網發起攻擊. 這次,只有13個根服務器中只有4台負責路由的根服務器(在計算機科學中,路由指定了設備數據的機制. )互聯網受到影響. 儘管有毒力(毒力指定了微​​生物的致病性,有害和暴力特徵. 攻擊,網絡的整體性能幾乎沒有降低15% .