第4章 网络入侵工具分类
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第4 章 网络入侵工具分类
第4 章
网络入侵工具分类
项目一黑客基本入侵概述
一、 网络监听 二、拒绝服务攻击 三、协议欺骗攻击 四、木马攻击 五、缓冲区溢出
项目二
七、IPC$入侵 八、Telnet入侵 九、3389入侵 十、木马入侵
远程入侵
一、网 络 监 听
网络监听工具是提供给管理员的一类管理工具。 使用这种工具,可以监视网络的状态、数据流动 情况以及网络上传输的信息。 但是网络监听工具也是黑客们常用的工具。当信 息以明文的形式在网络上传输时,便可以使用网 络监听的方式来进行攻击。将网络接口设置在监 听模式,便可以源源不断地将网上传输的信息截 获。
当成功地登录进一台网络上的主机,并取得了这 台主机的超级用户的权限之后,往往要扩大战果, 尝试登录或者夺取网络中其他主机的控制。而网 络监听则是一种最简单而且最有效的方法,它常 常能轻易地获得用其他方法很难获得的信息。
在网络上,监听效果最好的地方是在网关、路由 器、防火墙一类的设备处,通常由网络管理员来 操作。使用最方便的是在一个以太网中的任何一 台上网的主机上,只须安装一个监听软件,然后 就可以坐在机器旁浏览监听到的信息了,这是大 多数黑客的做法。
什么是网关?
网关(Gateway)又称网间连接器、协议转换器。 网关在传输层上以实现网络互连,是最复杂的网 络互连设备,仅用于两个高层协议不同的网络互 连。网关既可以用于广域网互连,也可以用于局 域网互连。 网关是一种充当转换重任的计算机系 统或设备。在使用不同的通信协议、数据格式或 语言,甚至体系结构完全不同的两种系统之间, 网关是一个翻译器。(举例:公寓门卫)
ARP攻击原理Baidu Nhomakorabea
A:监听主机,B、C相互信任主机 A(B) ---- SYN ----> C A(B) <---- SYN+ACK ---- C A(B) ---- ACK ----> C
ARP防范
防范ARP欺骗攻击可以采取如下措施:
(1) 在客户端使用ARP命令绑 定网关的真实MAC地址命令。
(2) 在交换机上做端口与MAC 地址的静态绑定。
网络攻击者通常通过以下几种方法进行DNS欺骗: (1)缓存感染: 黑客会熟练的使用DNS请求,将数据放入一个没 有设防的DNS服务器的缓存当中。这些缓存信息 会在客户进行DNS访问时返回给客户,从而将客 户引导到入侵者所设置的运行木马的Web服务器 或邮件服务器上,然后黑客从这些服务器上获取用 户信息。
网络监视器的安装
①打开“控制面板”的“添加/删除程序”,选 中其中的“添加/删除Windows组件”命令, 出现“Windows组件向导”对话框。
②单击“下一步”按钮,系统将自动的安装上 “网络监视工具”
网络监视器安装后,启动之,打开“Microsoft 网络监视器”对话框。网络监视器主要由四个不 同的部分组成:
(2)DNS信息劫持: 入侵者通过监听客户端和DNS服务器的对话,通过猜 测服务器响应给客户端的DNS查询ID。每个DNS报文包 括一个相关联的16位ID号,DNS服务器根据这个ID号 获取请求源位置。黑客在DNS服务器之前将虚假的响应 交给用户,从而欺骗客户端去访问恶意的网站。 (3)DNS重定向 攻击者能够将DNS名称查询重定向到恶意DNS服务器。 这样攻击者可以获得DNS服务器的写权限。
在网络监听时,常常要保存大量的信息(也包含 很多的垃圾信息),并将对收集的信息进行大量的 整理,这样就会使正在监听的机器对其他用户的 请求响应变的很慢。同时监听程序在运行的时候 需要消耗大量的处理器时间,如果在这个时候就 详细的分析包中的内容,许多包就会来不及接收 而被漏走。所以监听程序很多时候就会将监听得 到的包存放在文件中等待以后分析。
黑客或入侵者利用伪造的IP发送地址产生虚假的 数据分组,乔装成来自内部站的分组过滤器,把 外部的分组包装得看起来象内部的分组,这种类 型的攻击是非常危险的。只要系统发现发送地址 在其自己的范围之内,则它就把该分组按内部通 信对待并让其通过。
防御这种攻击的最理想的方法是: 每一个连接局域网的网关或路由器在决定是否允许外部的 IP数据包进入局域网之前,先对来自外部的IP数据包进 行检验。如果该IP包的IP源地址是其要进入的局域网内 的IP地址,该IP包就被网关或路由器拒绝,不允许进入 该局域网。 每一个连接局域网的网关或路由器在决定是否允许本局域 网内部的IP数据包发出局域网之前,先对来自该IP数据 包的IP源地址进行检验。如果该IP包的IP源地址不是其 所在局域网内部的IP地址,该IP包就被网关或路由器拒 绝,不允许该包离开局域网。
TCP连接的三次握手
K
图二 TCP三次握手
DDoS攻击实例 - SYN Flood攻击
图三 Syn Flood恶意地不完成三次握手
假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服 务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的 (第三次握手无法完成),这种情况下服务器端一般会重试(再次发 送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接, 这段时间的长度我们称为SYN Timeout,一般来说这个时间是分 钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器 的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的 攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接 列表而消耗非常多的资源----CPU时间和内存,何况还要不断对这 个列表中的IP进行SYN+ACK的重试。实际上如果服务器的 TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务 器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接 请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之 小),此时从正常客户的角度看来,服务器失去响应,这种情况我们 称做:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
什么是DNS?
DNS:Domain Name System 域名管理系统。 域名是由圆点分开一串单词或缩写组成的,每一个域 名都对应一个惟一的IP地址,这一命名的方法或这样 管理域名的系统叫做域名管理系统。 DNS:Domain Name Server 域名服务器。 域 名虽然便于人们记忆,但网络中的计算机之间只能互 相认识IP地址,它们之间的转换工作称为域名解析 (如www.sina.com.cn 与 218.30.66.101 之 间的转换),域名解析需要由专门的域名解析服务器 来完成,DNS就是进行域名解析的服务器。
攻击运行原理
在平时,这些傀儡机器并没有什么 异常,只是一旦黑客连接到它们进 行控制,并发出指令的时候,攻击 傀儡机就成为害人者去发起攻击了 只做控制和发 命令用,不参 加攻击
为什么黑客不直接进行 攻击?
黑客是如何组织一次DDoS攻击的?
1. 搜集了解目标的情况 被攻击目标主机数目、地址情况 目标主机的配置、性能 目标的带宽
图表区:网络利用: 指网络带宽的利用率; 每秒帖数:指网络上每秒 钟发送和接收的字节数; 每秒广播:指网络上每 秒钟广播的数据包数; 每秒的多播:指网络上每 秒钟多个地址发送数据包数。 会话统计区: 显示了服务器 跟网络中其他 计算机之间进 行通讯的详细 情况,以帖来 表示。网络地址 对应的是服务 器计算机名或 者客户端的网 卡地址。 数据区:显示出相关的数据
机器统计区:显示的是 网络中每台计算机实 际发送和接收的帖数和 字节数以及在服务器 端所启动的广播帖和 多播帖情况。
二、分布式拒绝服务攻击(DDoS)原理及防范
单一的DoS攻击一般是采用一对一方式的,当攻 击目标CPU速度低、内存小或者网络带宽小等等 各项性能指标不高时它的效果是明显的。随着计 算机与网络技术的发展,计算机的处理能力迅速 增长,内存大大增加,同时也出现了千兆级别的 网络,这使得DoS攻击的困难程度加大了,目标 对恶意攻击包的"消化能力"加强了不少,例如你 的攻击软件每秒钟可以发送3,000个攻击包,但 我的主机与网络带宽每秒钟可以处理10,000个 攻击包,这样一来攻击就不会产生什么效果。
DDoS的防范
主机上的设置: 关闭不必要的服务 限制同时打开的Syn半连接数目 缩短Syn半连接的time out 时间 及时更新系统补丁
网络设备上的设置 : 1、防火墙 (1)禁止对主机的非开放服务的访问 (2)限制同时打开的SYN最大连接数 (3)限制特定IP地址的访问 (4)启用防火墙的防DDoS的属性 (5)严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害 人。
2.路由器 (1)访问控制列表(ACL)过滤 (2)设置SYN数据包流量速率 (3)版本及时更新 (4)为路由器建立log server 总之,把自己的网络与主机维护好,首先让自己 的主机不成为别人利用的对象去攻击别人;其次, 在受到攻击的时候,要尽量地保存证据,以便事 后追查,一个良好的网络和日志系统是必要的。
为什么要了解目标的情况?
2. 占领傀儡机
黑客最感兴趣的是有下列情况的主机: 链路状态好的主机 性能好的主机 安全管理水平差的主机
3. 实际攻击
黑客登录到做为控制台的傀儡机,向所有的攻击机发出命 令:"预备~ ,瞄准~,开火!"。这时候埋伏在攻击机中 的DDoS攻击程序就会响应控制台的命令,一起向受害主 机以高速度发送大量的数据包,导致它死机或是无法响应 正常的请求。黑客一般会以远远超出受害方处理能力的速 度进行攻击,他们不会"怜香惜玉"。 老到的攻击者一边攻击,还会用各种手段来监视攻击的效 果,在需要的时候进行一些调整。简单些就是开个窗口不 断地ping目标主机,在能接到回应的时候就再加大一些 流量或是再命令更多的傀儡机来加入攻击。
2、ARP欺骗攻击
ARP协议简单的说就是通过IP查找对应的MAC地址, IP只是一个逻辑地址,而MAC才是网络设备的物理地址, 只有找到真正的地址(物理地址),才能进行数据传输。 ARP是通过发送ARP广播包通知别的主机自己是谁(通 知别人某个IP对应的是某个MAC),如果发送的信息包 含有意的不正确IP与MAC地址对应关系,则会影响接收 方对网络地址识别的正确性,这就是ARP欺骗,说白了 就是不让IP与正确的MAC地址建立关联,从而使数据发 送到错误的地点,造成的后果有数据被窃听或劫持(劫持 就是不还给你),再通俗的说,就是上不了网或上错网, 再或者和别人“一起”上网。(举例:邮局)
(3) 在路由器上做IP地址与 MAC地址的静态绑定。
(4) 使用ARP SERVER按一定的 时间间隔广播网段内所有主机 的正确IP-MAC映射表。
3、DNS欺骗攻击
当你在浏览器中输入正确的URL地址,但是打开 的并不是你想要去的网站。它可能是114的查询 页面,可能是一个广告页面,更可能是一个刷流 量的页面,甚至是一个挂马的网站。如果你遇到 了上述情况话,那么极有可能你遭遇了DNS欺 骗。
这时侯分布式的拒绝服务攻击手段(DDoS)就 应运而生了。如果说计算机与网络的处理能力加 大了10倍,用一台攻击机来攻击不再能起作用的 话,攻击者使用10台攻击机同时攻击呢?用100 台呢?DDoS就是利用更多的傀儡机来发起进攻, 以比从前更大的规模来进攻受害者。
被DDoS攻击时的现象
被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用的数据包,源地址为假 制造高流量无用数据,造成网络拥塞,使受害主 机无法正常和外界通讯 利用受害主机提供的服务或传输协议上的缺陷, 反复高速的发出特定的服务请求,使受害主机无 法及时处理所有正常请求 严重时会造成系统死机
三、协议欺骗攻击
1、IP欺骗攻击 突破防火墙系统最常用的方法是IP地址欺骗,它同时也 是其他一系列攻击方法的基础。之所以使用这个方法,是 因为IP自身的缺点。IP协议依据IP头中的目的地址项来 发送IP数据包。如果目的地址是本地网络内的地址,该 IP包就被直接发送到目的地。如果目的地址不在本地网 络内,该IP包就会被发送到网关,再由网关决定将其发 送到何处。这是IP路由IP包的方法。IP路由IP包时对 IP头中提供的IP源地址不做任何检查,并且认为IP头中 的IP源地址即为发送该包的机器的IP地址。
第4 章
网络入侵工具分类
项目一黑客基本入侵概述
一、 网络监听 二、拒绝服务攻击 三、协议欺骗攻击 四、木马攻击 五、缓冲区溢出
项目二
七、IPC$入侵 八、Telnet入侵 九、3389入侵 十、木马入侵
远程入侵
一、网 络 监 听
网络监听工具是提供给管理员的一类管理工具。 使用这种工具,可以监视网络的状态、数据流动 情况以及网络上传输的信息。 但是网络监听工具也是黑客们常用的工具。当信 息以明文的形式在网络上传输时,便可以使用网 络监听的方式来进行攻击。将网络接口设置在监 听模式,便可以源源不断地将网上传输的信息截 获。
当成功地登录进一台网络上的主机,并取得了这 台主机的超级用户的权限之后,往往要扩大战果, 尝试登录或者夺取网络中其他主机的控制。而网 络监听则是一种最简单而且最有效的方法,它常 常能轻易地获得用其他方法很难获得的信息。
在网络上,监听效果最好的地方是在网关、路由 器、防火墙一类的设备处,通常由网络管理员来 操作。使用最方便的是在一个以太网中的任何一 台上网的主机上,只须安装一个监听软件,然后 就可以坐在机器旁浏览监听到的信息了,这是大 多数黑客的做法。
什么是网关?
网关(Gateway)又称网间连接器、协议转换器。 网关在传输层上以实现网络互连,是最复杂的网 络互连设备,仅用于两个高层协议不同的网络互 连。网关既可以用于广域网互连,也可以用于局 域网互连。 网关是一种充当转换重任的计算机系 统或设备。在使用不同的通信协议、数据格式或 语言,甚至体系结构完全不同的两种系统之间, 网关是一个翻译器。(举例:公寓门卫)
ARP攻击原理Baidu Nhomakorabea
A:监听主机,B、C相互信任主机 A(B) ---- SYN ----> C A(B) <---- SYN+ACK ---- C A(B) ---- ACK ----> C
ARP防范
防范ARP欺骗攻击可以采取如下措施:
(1) 在客户端使用ARP命令绑 定网关的真实MAC地址命令。
(2) 在交换机上做端口与MAC 地址的静态绑定。
网络攻击者通常通过以下几种方法进行DNS欺骗: (1)缓存感染: 黑客会熟练的使用DNS请求,将数据放入一个没 有设防的DNS服务器的缓存当中。这些缓存信息 会在客户进行DNS访问时返回给客户,从而将客 户引导到入侵者所设置的运行木马的Web服务器 或邮件服务器上,然后黑客从这些服务器上获取用 户信息。
网络监视器的安装
①打开“控制面板”的“添加/删除程序”,选 中其中的“添加/删除Windows组件”命令, 出现“Windows组件向导”对话框。
②单击“下一步”按钮,系统将自动的安装上 “网络监视工具”
网络监视器安装后,启动之,打开“Microsoft 网络监视器”对话框。网络监视器主要由四个不 同的部分组成:
(2)DNS信息劫持: 入侵者通过监听客户端和DNS服务器的对话,通过猜 测服务器响应给客户端的DNS查询ID。每个DNS报文包 括一个相关联的16位ID号,DNS服务器根据这个ID号 获取请求源位置。黑客在DNS服务器之前将虚假的响应 交给用户,从而欺骗客户端去访问恶意的网站。 (3)DNS重定向 攻击者能够将DNS名称查询重定向到恶意DNS服务器。 这样攻击者可以获得DNS服务器的写权限。
在网络监听时,常常要保存大量的信息(也包含 很多的垃圾信息),并将对收集的信息进行大量的 整理,这样就会使正在监听的机器对其他用户的 请求响应变的很慢。同时监听程序在运行的时候 需要消耗大量的处理器时间,如果在这个时候就 详细的分析包中的内容,许多包就会来不及接收 而被漏走。所以监听程序很多时候就会将监听得 到的包存放在文件中等待以后分析。
黑客或入侵者利用伪造的IP发送地址产生虚假的 数据分组,乔装成来自内部站的分组过滤器,把 外部的分组包装得看起来象内部的分组,这种类 型的攻击是非常危险的。只要系统发现发送地址 在其自己的范围之内,则它就把该分组按内部通 信对待并让其通过。
防御这种攻击的最理想的方法是: 每一个连接局域网的网关或路由器在决定是否允许外部的 IP数据包进入局域网之前,先对来自外部的IP数据包进 行检验。如果该IP包的IP源地址是其要进入的局域网内 的IP地址,该IP包就被网关或路由器拒绝,不允许进入 该局域网。 每一个连接局域网的网关或路由器在决定是否允许本局域 网内部的IP数据包发出局域网之前,先对来自该IP数据 包的IP源地址进行检验。如果该IP包的IP源地址不是其 所在局域网内部的IP地址,该IP包就被网关或路由器拒 绝,不允许该包离开局域网。
TCP连接的三次握手
K
图二 TCP三次握手
DDoS攻击实例 - SYN Flood攻击
图三 Syn Flood恶意地不完成三次握手
假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服 务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的 (第三次握手无法完成),这种情况下服务器端一般会重试(再次发 送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接, 这段时间的长度我们称为SYN Timeout,一般来说这个时间是分 钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器 的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的 攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接 列表而消耗非常多的资源----CPU时间和内存,何况还要不断对这 个列表中的IP进行SYN+ACK的重试。实际上如果服务器的 TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务 器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接 请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之 小),此时从正常客户的角度看来,服务器失去响应,这种情况我们 称做:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
什么是DNS?
DNS:Domain Name System 域名管理系统。 域名是由圆点分开一串单词或缩写组成的,每一个域 名都对应一个惟一的IP地址,这一命名的方法或这样 管理域名的系统叫做域名管理系统。 DNS:Domain Name Server 域名服务器。 域 名虽然便于人们记忆,但网络中的计算机之间只能互 相认识IP地址,它们之间的转换工作称为域名解析 (如www.sina.com.cn 与 218.30.66.101 之 间的转换),域名解析需要由专门的域名解析服务器 来完成,DNS就是进行域名解析的服务器。
攻击运行原理
在平时,这些傀儡机器并没有什么 异常,只是一旦黑客连接到它们进 行控制,并发出指令的时候,攻击 傀儡机就成为害人者去发起攻击了 只做控制和发 命令用,不参 加攻击
为什么黑客不直接进行 攻击?
黑客是如何组织一次DDoS攻击的?
1. 搜集了解目标的情况 被攻击目标主机数目、地址情况 目标主机的配置、性能 目标的带宽
图表区:网络利用: 指网络带宽的利用率; 每秒帖数:指网络上每秒 钟发送和接收的字节数; 每秒广播:指网络上每 秒钟广播的数据包数; 每秒的多播:指网络上每 秒钟多个地址发送数据包数。 会话统计区: 显示了服务器 跟网络中其他 计算机之间进 行通讯的详细 情况,以帖来 表示。网络地址 对应的是服务 器计算机名或 者客户端的网 卡地址。 数据区:显示出相关的数据
机器统计区:显示的是 网络中每台计算机实 际发送和接收的帖数和 字节数以及在服务器 端所启动的广播帖和 多播帖情况。
二、分布式拒绝服务攻击(DDoS)原理及防范
单一的DoS攻击一般是采用一对一方式的,当攻 击目标CPU速度低、内存小或者网络带宽小等等 各项性能指标不高时它的效果是明显的。随着计 算机与网络技术的发展,计算机的处理能力迅速 增长,内存大大增加,同时也出现了千兆级别的 网络,这使得DoS攻击的困难程度加大了,目标 对恶意攻击包的"消化能力"加强了不少,例如你 的攻击软件每秒钟可以发送3,000个攻击包,但 我的主机与网络带宽每秒钟可以处理10,000个 攻击包,这样一来攻击就不会产生什么效果。
DDoS的防范
主机上的设置: 关闭不必要的服务 限制同时打开的Syn半连接数目 缩短Syn半连接的time out 时间 及时更新系统补丁
网络设备上的设置 : 1、防火墙 (1)禁止对主机的非开放服务的访问 (2)限制同时打开的SYN最大连接数 (3)限制特定IP地址的访问 (4)启用防火墙的防DDoS的属性 (5)严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害 人。
2.路由器 (1)访问控制列表(ACL)过滤 (2)设置SYN数据包流量速率 (3)版本及时更新 (4)为路由器建立log server 总之,把自己的网络与主机维护好,首先让自己 的主机不成为别人利用的对象去攻击别人;其次, 在受到攻击的时候,要尽量地保存证据,以便事 后追查,一个良好的网络和日志系统是必要的。
为什么要了解目标的情况?
2. 占领傀儡机
黑客最感兴趣的是有下列情况的主机: 链路状态好的主机 性能好的主机 安全管理水平差的主机
3. 实际攻击
黑客登录到做为控制台的傀儡机,向所有的攻击机发出命 令:"预备~ ,瞄准~,开火!"。这时候埋伏在攻击机中 的DDoS攻击程序就会响应控制台的命令,一起向受害主 机以高速度发送大量的数据包,导致它死机或是无法响应 正常的请求。黑客一般会以远远超出受害方处理能力的速 度进行攻击,他们不会"怜香惜玉"。 老到的攻击者一边攻击,还会用各种手段来监视攻击的效 果,在需要的时候进行一些调整。简单些就是开个窗口不 断地ping目标主机,在能接到回应的时候就再加大一些 流量或是再命令更多的傀儡机来加入攻击。
2、ARP欺骗攻击
ARP协议简单的说就是通过IP查找对应的MAC地址, IP只是一个逻辑地址,而MAC才是网络设备的物理地址, 只有找到真正的地址(物理地址),才能进行数据传输。 ARP是通过发送ARP广播包通知别的主机自己是谁(通 知别人某个IP对应的是某个MAC),如果发送的信息包 含有意的不正确IP与MAC地址对应关系,则会影响接收 方对网络地址识别的正确性,这就是ARP欺骗,说白了 就是不让IP与正确的MAC地址建立关联,从而使数据发 送到错误的地点,造成的后果有数据被窃听或劫持(劫持 就是不还给你),再通俗的说,就是上不了网或上错网, 再或者和别人“一起”上网。(举例:邮局)
(3) 在路由器上做IP地址与 MAC地址的静态绑定。
(4) 使用ARP SERVER按一定的 时间间隔广播网段内所有主机 的正确IP-MAC映射表。
3、DNS欺骗攻击
当你在浏览器中输入正确的URL地址,但是打开 的并不是你想要去的网站。它可能是114的查询 页面,可能是一个广告页面,更可能是一个刷流 量的页面,甚至是一个挂马的网站。如果你遇到 了上述情况话,那么极有可能你遭遇了DNS欺 骗。
这时侯分布式的拒绝服务攻击手段(DDoS)就 应运而生了。如果说计算机与网络的处理能力加 大了10倍,用一台攻击机来攻击不再能起作用的 话,攻击者使用10台攻击机同时攻击呢?用100 台呢?DDoS就是利用更多的傀儡机来发起进攻, 以比从前更大的规模来进攻受害者。
被DDoS攻击时的现象
被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用的数据包,源地址为假 制造高流量无用数据,造成网络拥塞,使受害主 机无法正常和外界通讯 利用受害主机提供的服务或传输协议上的缺陷, 反复高速的发出特定的服务请求,使受害主机无 法及时处理所有正常请求 严重时会造成系统死机
三、协议欺骗攻击
1、IP欺骗攻击 突破防火墙系统最常用的方法是IP地址欺骗,它同时也 是其他一系列攻击方法的基础。之所以使用这个方法,是 因为IP自身的缺点。IP协议依据IP头中的目的地址项来 发送IP数据包。如果目的地址是本地网络内的地址,该 IP包就被直接发送到目的地。如果目的地址不在本地网 络内,该IP包就会被发送到网关,再由网关决定将其发 送到何处。这是IP路由IP包的方法。IP路由IP包时对 IP头中提供的IP源地址不做任何检查,并且认为IP头中 的IP源地址即为发送该包的机器的IP地址。