爱子日志

DDOS攻击

一、SYN Flood

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DdoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

TCP与UDP不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的:

①请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号;

②服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgment)。

③客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。

以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。

问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);
一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。
实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。

防范措施:

①缩短SYN Timeout时间,由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度 x SYN Timeout,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间,例如设置为20秒以下(过低的SYN Timeout设置可能会影响客户的正常访问),可以成倍的降低服务器的负荷。

②设置SYN Cookie,就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被丢弃。 可是上述的两种方法只能对付比较原始的SYN Flood攻击,缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效,SYN Cookie更依赖于对方使用真实的IP地址,如果攻击者以数万/秒的速度发送SYN报文,同时利用SOCK_RAW随机改写IP报文中的源地址,以上的方法将毫无用武之地。

ARP攻击方式总结及其防御

①ARP DDOS攻击
其实就是连续大量发送正常ARP请求包,耗费主机带宽,这种攻击在局域网里面意义不算太大,例如ADSL猫,发送ARP 请求,几分终就会让它死掉,这种数据包是属于正常包,不会被ARP防火墙和交换机过滤掉。
此解决方法,在一些交换机中做流量限制,我也不会做,不知道可行性,个人认为防护难度A++++

②ARP 返回数据包欺骗
这种欺骗是最常见的一种欺骗,就是向主机发送ARP返回数据包,这种包把IP做成网关地址,发送端的物理地址是自己的或伪造的,让对方电脑的IP-MAC地址表出现错误,当IP报文把这个硬件地址添到数据中发送就会出现找不到正确的物理出口地址。
这种的防护比较简单,用ARP -S 绑定网关,还有就是用ARP 防火墙,不过这种欺骗可能会被路由器发送的正确的地址给覆盖掉。

③ARP 请求欺骗
ARP 请求欺骗也是比较常见的,他是ARP的请求协议。在目的IP和MAC地址上都没错误,错误是请求者的MAC地址有问题,并不真的,这种欺骗和返回欺骗仅OP值不同。
防护办法和上面那种一样。

④ARP全网请求欺骗
这种欺骗是请求欺骗和返回欺骗的更进一步延伸,原理就是把以太帧头的目标地址改成FF-FF-FF-FF-FF-FF就是广播到所有主机,源地址IP地址或是网关IP地址,物理地址是假的MAC地址,切记在目的IP中,是192.168.1.255组播地址。
这种防护方法和上面相同,网络执法管一类软件的全网阻断功能就是用这种方法实现。

⑤ARP中间人欺骗
这种欺骗是在交换机下面进行的,有人说交换环境下面数据流是安全的,下面这种攻击方式就是针对交换机。
大概的流程是这样的,A B C三台电脑,A 和 C进行正常通讯,B发起中间攻击,B首先发送ARP欺骗告诉A我B就是C,然后告诉C我B就是A,这样A和C之间的数据传输过程就被B完全给查看到了,说起来有点啰唆,这种欺骗也要做一个数据转发机制,不然A和C之间的通讯就会断掉,如P2P终结者就是这类欺骗。

⑥ARP IP地址冲突
IP地址冲突也是ARP 数据包造成的,他就是把以太网帧头地址广播,包里面的源IP地址和目的IP地址是一样,这种包是很常见的,有可能大家都不知道,每次你PC开机的时候他都会把自己IP地址广播一下,看下有没有计算机使用相同IP地址,这种广播给它定义成”免费ARP”。
这种广播直接用ARP防火墙就可以过滤掉,其实这种包也不会造成断网,只是老弹出烦人的对话框,象长角牛网络监控就有一种是发送这样的一种包。

⑦ARP网关欺骗
这种欺骗是从另一种欺骗方法的延伸,假如客户端做了网关静态绑定,安装了ARP防火墙你不能对它做欺骗,无法对它断开互联网,那我们就对网关进行ARP欺骗。例如A是客户端,B是服务器。A做了防护,并你想阻断他上互联网,那么我们对B做A的欺骗,就是把B认为是台电脑,一直给他发送A的虚假地址,这种包要连续不断的,数据量要大些。

⑧ARP 交换机端口转发欺骗(最厉害,就是幻境网盾skiller的攻击方法)
这种攻击方法是近两年来才有的,现在给你们讲出来就比较简单,以前从没见过这种攻击方法,原理讲起来可能比较难懂,防护起来很麻烦,你要是攻击我,现在我至少是没办法。
原理就是改变了交换机的转发列表。

思路:交换机是根据以太网ARP协议的源地址目地址帧头来进行转发的,例如A在交换机的1号口,网关在3号口,交换机就按A发送的目的地址从3号口出去,为什么会这样,是因为交换机内部维护着一个动态的地址列表,里面有MAC地址和物理端口的对照表,如果这个表是静态不知道这种攻击是否会生效。

首先我实施的方法是这样的,A,B,C三台PC,攻击者是C。假如我想阻断B主机,在C者电脑上发送B到A的ARP 地址请求包,这个包是连续不断的,然后B被阻断,为什么会这样那,B的请求数据是能发送出去的,他回的数据包就会被交换机转到C电脑上,三次握手链接建立不成功,网络就会被阻断,我们可以按着这个思路做很多事情,这里就不一一举例了。

SYN

SYN 包(synchronize)

TCP连接的第一个包,非常小的一种数据包。SYN 攻击包括大量此类的包,由于这些包看上去来自实际不存在的站点,因此无法有效进行处理。每个机器的欺骗包都要花几秒钟进行尝试方可放弃提供正常响应。

在黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法。

SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。
SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。

关于SYN攻击防范技术,人们研究得比较早。归纳起来,主要有两大类,一类是通过防火墙、路由器等过滤网关防护,另一类是通过加固TCP/IP协议栈防范.但必须清楚的是,SYN攻击不能完全被阻止,我们所做的是尽可能的减轻SYN攻击的危害,除非将TCP协议重新设计。

ARP攻击的原理,现象,和解决方法

ARP(Address Resolution Protocol)即地址解析协议,是一种将IP地址转化成物理地址的协议。

具体说来就是将网络层(IP地址,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。


ARP欺骗有两种攻击可能

1.对路由器ARP表的欺骗
2.对内网电脑ARP表的欺骗

当然也可能两种攻击同时进行。不管怎么样,欺骗发送后,电脑和路由器之间发送的数据可能就被送到错误的MAC地址上,从表面上来看,就是“上不了网”,“访问不了路由器”,“路由器死机了”,因为一重启路由器,ARP表会重建,如果ARP攻击不是一直存在,就会表现为网络正常,所以用户更加确定是路由器“死机”了,而不会想到其他原因。




欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种,我们的防护当然也是两个方面的(即双向绑定)

首先在路由器上进行设置,来防止路由器的ARP表被恶意的ARP数据包更改;

其次,我们也会在电脑上进行一下设置,来防止电脑的ARP表受恶意更改。

两个方面的设置都是必须的,不然,如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑,电脑被欺骗后就不会把数据包发送到路由器上,而是发送到一个错误的地方,当然无法上网和访问路由器了。





一、设置前准备

1、给电脑手动设定静态IP地址,关掉DHCP功能

2、给电脑手工指定IP地址、网关、DNS服务器地址,获得IP和MAC对应信息。

二、设置路由器防止ARP欺骗

填入电脑的MAC地址与对应的IP地址,就实现了IP与MAC地址绑定。

三、设置电脑防止ARP欺骗

路由器端已经设置了ARP绑定功能,接下来我们就来设置电脑端的ARP绑定了。

Windows中在命令行提示符下,


arp –s 路由器IP+路由器MAC



这一条命令来实现对路由器的ARP条目的静态绑定,例如输入:arp –s 192.168.1.1 00-0a-eb-d5-60-80

arp -a 命令可以看到我们刚才添加的条目,Type类型为static表示是静态添加的。

至此,我们也已经设置了电脑的静态ARP条目,这样电脑发送到路由器的数据包就不会发送到错误的地方去了。

如果使用上面的方法,电脑每次在重启后都需要输入上面的命令来实现防止ARP欺骗,有没有更简单的方法自动来完成,不用手工输入呢?有!

我们可以新建一个批处理文件如static_arp.bat,注意后缀名为bat。编辑它,在里面加入我们刚才的命令,保存,把它放置到系统的启动目录下来实现启动时自己执行。“开始”→“程序”,双击“启动”打开启动的文件夹目录,把刚才建立的static_arp.bat复制到里面去。