17 - 02 - 24 计算机网络(45)(DoS攻击、IP地址欺骗 概述)
来源:互联网 发布:sql语句update用法 编辑:程序博客网 时间:2024/04/28 09:35
网络攻击:
列举两个菜鸡的攻击方式:
===IP欺骗:IP地址欺骗是指行动产生的IP数据报 为伪造的源IP地址,以便冒充其他人的身份,
ex:黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。
===SYN Flood是一种广为人知的DoS(拒绝服务攻击)是DDoS(分布式拒绝服务攻击)的方式之一,
这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。中文名拒绝服务攻击DoS。
问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,
那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),
这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后(约75s)丢弃这个未完成的连接,
这段时间的长度我们称为SYN Timeout;一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,
但如果有一个恶意的攻击者大量模拟这种情况,服务器端将消耗非常多的资源----数以万计的半连接,
即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。
实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,
服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),
此时从正常客户的角度看来,服务器失去响应.
这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
针对前面的攻击手段,可以在内部网络与因特网的连接处设置一台防火墙,
防火墙过滤排查所有数据,检查外来IP数据报中的源IP地址。
如果发现是内部网络的IP地址,则禁止通过(因为内部网络直接送达,不会经过这台防火墙)。
就能有效的阻止IP地址欺骗。此外,防火墙也能阻止外来的SYN洪水攻击(DoS攻击)。
BTW,防止IP地址欺骗最简单的办法是不使用源IP地址进行进行身份认证。
______________________________________________________________整理自《计算机网络》
- 17 - 02 - 24 计算机网络(45)(DoS攻击、IP地址欺骗 概述)
- 网络攻击:半连接攻击(SYN攻击)、全连接攻击、RST攻击、IP欺骗、DNS欺骗、DOS/DDOS攻击
- 伪造源IP地址的DoS攻击
- 伪造源IP地址的DoS攻击
- 利用思科IOS防止遭受IP地址欺骗攻击
- 计算机网络----dos攻击基础
- IP欺骗攻击
- 17 - 01 - 20 计算机网络(10)(IP地址分配)
- 计算机网络基础(二)IP地址分类
- 计算机网络学习笔记(ip地址,子网掩码)
- 计算机网络之网络层(IP地址)
- 17 - 02 - 03 计算机网络(24)(应用层概述)
- IP-Spoofing(IP欺骗)
- 拒绝服务介绍、DoS分类、个人DoS分类方法, Syn-Flood、IP地址欺骗
- IP地址欺骗
- SYN Foold ,IP欺骗DOS ,UDP洪水,Ping洪流 ,teardrop ,Land ,Smurf ,Fraggle 攻击 原理
- SYN Foold ,IP欺骗DOS ,UDP洪水,Ping洪流 ,teardrop ,Land ,Smurf ,Fraggle 攻击 原理
- DDoS攻击和IP欺骗
- java 遍历String数组的值比较
- SVM手写数字的识别---python
- 我们不需要纸了么?
- 优化,测试自己的代码
- 体渲染(一)渲染一个球体
- 17 - 02 - 24 计算机网络(45)(DoS攻击、IP地址欺骗 概述)
- 这家法国收视率最高的电视台,做了一个大胆的举动!
- 紫书 例题7-8 Uva 10603 BFS
- json-lib之jsonConfig详细使用
- 在二叉树中打印出从某个节点(r)开始和为定值(sum)的所有路径
- spring的aspectj简介
- FineReport(帆软)部署到Linux的tomcat7上报错
- JS 手机浏览器唤醒手机QQ
- NumPy的详细教程