2. 程式人生 > >網站安全之幾種常見的網路攻擊方式

網站安全之幾種常見的網路攻擊方式

阿新 發佈:2019-02-19
 * syn flood: 一個使用者向伺服器傳送syn報文後,如果伺服器在發出sys+ack報文後無法收到客戶端ack報文,這種情況下伺服器端一般會重試(再次傳送syn+ack給客戶端),並等待一段時間後丟棄這個未完成的連線,這段時間的長度我們稱為syn timeout,一般來說這個時間是分鐘的數量級(大約為30秒-2分)。 一個使用者出現異常導致伺服器的一個執行緒等待1分鐘並不是什麼很大的問題,但如果有一個惡意的攻擊者大量的模擬這種情況,伺服器端將為了維護一個非常大的半連線列表而消耗非常多的資源。即使是簡單的儲存並遍歷也會消耗非常多的CPU時間和記憶體,何況還要不斷對這個列表中的IP進行syn+ack的重試。
防禦原理:預設情況下,系統會對新客戶的訪問進行syn代理,直到客戶端與抗拒絕裝置建立TCP連線成功,抗拒絕裝置才會再代理客戶端與防護主機進行TCP連線,後續通訊則不再代理。 * ACK flood: 1、端系統對ACK報文的處理 端系統在收到一個ACK報文時,如果目的埠未開放,那麼端系統會直接向源IP傳送RST報文。如果端系統的相關埠是對外開放的,那麼其在收到ACK報文時,首先會檢查這個ACK報文是否屬於TCP連線表中的一個已有連線(這個過程會對端系統主機CPU資源造成一定的消耗),如果是的話,則正常處理,如果不屬於任何一個已有連線,那麼端系統會向源IP傳送RST報文。 2、中間系統對ACK flood報文的處理
路由器:只根據網路層資訊(目的IP、源IP等),因此路由器在處理ACK報文的時候,其並不關係它是不是ACK報文,它主要關心其目的地址。如果ACK flood攻擊的目的主機是固定的,那麼路由器其實只需要在收到第一個ACK flood攻擊報文時,呼叫CPU資源實現路由和轉發,後續的ACK flood國內國際報文由於目的主機是固定的,其甚至不需要呼叫CPU資源,直接使用快速轉發表就可實現對ACK flood報文的轉發。 防火牆:對ACK報文是否屬於連線狀態表中的已有連線,如果是,防火牆轉發該ACK報文,如果未命中任何一個已有連線,防火牆會將該ACK報文丟棄。 防禦原理:跟蹤IP的TCP會話,形成一個連線跟蹤表,TCP連線建立好之後,對後續的ACK報文,查詢連線跟蹤表,匹配相應的TCP會話流,如果沒有匹配,就是異常的或之前沒有連線的ACK報文。這種報文達到出發引數,就會進入ACK flood防禦模式,此時抗拒絕裝置只放行正確的ACK,比如,設定閥值10000報文/秒。
* UDP flood攻擊: 利用大量UDP小包衝擊DNS伺服器或Radius認證伺服器、流媒體視訊伺服器。攻擊者傳送大量的偽造源IP地址的小UDP包,因為是無連線性的協議,所以只要開了一個UDP的埠提供相關服務的話,那麼就可以針對相關的服務進行攻擊。 防禦原理:當防禦主機每秒收到的UDP報文達到設定閥值時,則進入UDP flood防禦狀態,此時抗拒絕裝置會丟棄所有後續對防護主機IP的UDP報文,除非此UDP埠在規則或者UDP埠中設定了放行,設定閥值,比如1000報文/秒。 UDP埠防護中可以針對相應的埠進行防護設定。 a、開放埠:選擇後開放此埠,如果不選擇,則關閉此埠; b、同步連線:選擇此項後,此埠建立UDP連線時,必須已經存在TCP連線,否則拒絕連線; c、延遲提交:主要針對DNS,抗拒絕系統會延時迴應客戶端的查詢; d、驗證TTL:檢測UDP包中的TTL值,如果某個數值的TTL頻率過高,則進行遮蔽。 * DNS Query flood: 向被攻擊的伺服器傳送大量的域名解析請求,攻擊者所請求解析的域名是隨機生成或者是網路世界上根本不存在的域名,被攻擊者的DNS伺服器就需要進行頻繁的字串匹配,由於在本地無法查到對應的結果,伺服器必須使用遞迴查詢向上層域名伺服器提交解析請求,引起連鎖反應,從而給DNS伺服器帶來更大的負載。 防禦原理: 1、強制開啟外掛 2、自動開啟 3、延時提交、驗證TTL * ICMP flood: DDOS攻擊的一種,通過向目標傳送大量的大包,windows可以傳送包最大是65500,Linux是65007。 防禦原理:設定閥值,比如100報文/秒 * frag flood: 鏈路層MTU限制了資料幀的最大長度,不同網路型別都有一個上限值。乙太網MTU是1500,可以用netstat -i命令檢視。如果IP層有資料包要傳,而且資料包的長度超過了MTU,那麼IP層就會對資料包進行分片,使每一片長度小於或等於MTU。 IP首部有兩個位元組表示資料包的大小,所以IP資料包最長只能為0xFFFF,就是65535位元組。如果傳送總長度超過65535位元組的IP碎片,一些老的系統核心在處理的時候就會出現問題,導致崩潰或拒絕服務。如果分片之間偏移量經過精心構造,一些系統就無法處理。 防禦原理:設定閥值,比如100報文/秒 * 連線型攻擊: 使用大量的傀儡機,頻繁的連線伺服器,形成虛假的客戶請求,耗盡伺服器資源,使其拒絕服務。常見攻擊:CC攻擊、HTTP攻擊、Get flood攻擊、遊戲假人攻擊等。 HTTP攻擊:http get flood、http post flood,get和post只是伺服器接受查詢的方式不同而已,單客戶機攻擊危害不大,但是利用大量代理或者肉雞來攻擊,就會造成伺服器資源耗盡,就是CC攻擊。 防禦原理:web plugin

相關推薦

網站安全常見網路攻擊方式

 * syn flood: 一個使用者向伺服器傳送syn報文後,如果伺服器在發出sys+ack報文後無法收到客戶端ack報文,這種情況下伺服器端一般會重試(再次傳送syn+ack給客戶端),並等待

第四節課:常見攻擊方式

pxc wql ptc hvm oid hsv ffd stl -1 1.中間人攻擊 局域網ARP攻擊 受害者經過攻擊者向網關發送數據。當主機A、和主機B通信時,都由主機C來為其“轉發”,如圖一,而A、B之間並沒有真正意思上的直接通信,他們之間的信息傳遞同C作為中介來完成

java基礎常見的排序算法

java基礎 csdn n) min center 最小 fill 順序 system 一,冒泡排序 1、原理:   從數組的第一個位置開始兩兩比較array[index]和array[index+1],如果array[index]大於array[index+1]則交換a

SpringCloudRestTemplate,常見的請求方式

https://github.com/lenve/SimpleSpringCloud/tree/master/RestTemplate在Spring Cloud中服務的發現與消費一文中,當我們從服務消費端去呼叫服務提供者的服務的時候,使用了一個很好用的物件,叫做RestTemplate,當時我們只使

總結常見web攻擊手段及其防禦方式

XSS(跨站指令碼攻擊) CSRF(跨站請求偽造) SQL注入 DDOS XSS 概念 全稱是跨站指令碼攻擊(Cross Site Scripting),指攻擊者在網頁中嵌入惡意指令碼程式。 案列 比如說我寫了一個部落格網站,然後攻擊者在上面釋出了一個文

Java常見的編碼方式

計算 是把 oca java 編碼 不同 sta 換上 基礎上 examples 幾種常見的編碼格式 為什麽要編碼 不知道大家有沒有想過一個問題,那就是為什麽要編碼?我們能不能不編碼?要回答這個問題必須要回到計算機是如何表示我們人類能夠理解的符號的,這些符號也就是我們人類

RestTemplate中常見的請求方式

see 信息 book ren new 三個參數 body turn 表示 GET請求 第一種:getForEntity getForEntity方法的返回值是一個ResponseEntity<T>,ResponseEntity<T>是Spring對

常見網路攻擊方式介紹及簡訊防攻擊策略的後端實現

大家好,今天給大家分享一下:幾種常見的網路攻擊方式的介紹以及簡訊防攻擊策略的後端實現。 一、背景介紹 有人的地方就有江湖,有資料互動的地方,就存在入侵風險。 只有知己知彼,才能百戰不殆。我們學習相關知識不是為了去攻擊別人的伺服器,只是為了防範於未然。 攻擊的種類多種多

Java中常見的編碼方式

幾種常見的編碼格式  為什麼要編碼  不知道大家有沒有想過一個問題,那就是為什麼要編碼?我們能不能不編碼?要回答這個問題必須要回到計算機是如何表示我們人類能夠理解的符號的,這些符號也就是我們人類使用的語言。由於人類的語言有太多,因而表示這些語言的符號太多,無法用計算機中一個基本的

常見網路攻擊方式和加密演算法學習手冊

第一章 常見網路攻擊 1.1、XSS攻擊 1.1.1 XSS簡介 XSS攻擊的全稱是跨站指令碼攻擊(Cross Site Scripting),為不跟層疊樣式表 (Cascading Style Sheets,CSS)的縮寫混淆,故將跨站指令碼攻

AlertDiadig對話方塊的常見的使用方式

在說AlertDialog之前先捎帶提一下Log日誌: 1.Log.e(tag,message)//列印error資訊,顏色為紅色。 2.Log.w(tag,message)//列印warn資訊,顏色為橙色。 3.Log.i(tag,message)//列印info通知資訊

跨域的常見的解決方式

今天給大家分享一下,修真院官網JSS-5任務中可能會使用到的知識點:1.背景介紹1.1什麼是跨域?跨域是指一個域下的文件或指令碼試圖去請求另一個域下的資源,這裡跨域是廣義的。廣義的跨域:1.) 資源跳轉: A連結、重定向、表單提交2.) 資源嵌入: link script i

挖洞思路 | 賬號攻擊常見手法

開始 混淆 xxxx 很多 coo obi 現在 破密碼 如果 web 安全事件中,賬號,通常是呈現給攻擊者的第一接觸點,與賬號相關的功能若存在缺陷,攻擊者可以此獲取關鍵信息和重要功能,如,登錄失敗的報錯信息可判斷出是否因賬號不存在所致,可被利用枚舉有效賬號,比如,登錄試錯

計算機網路常見的協議

一 .典型協議:  傳輸層:         常見的協議有  TCP/UDP 協議                  應用層:&nb

常見DRL(深度強化學習)方法總結與對比前提基本概念

版權宣告:本文為博主原創文章,未經博主允許不得轉載。                    https://blog.csdn.net/FrankieHello/article/details/78821488                 從今年的九月份到現在,接觸機器學

常見的神經網路瞭解

神經網路技術起源-感知機 神經網路技術起源於上世紀五、六十年代,當時叫感知機(perceptron),擁有輸入層、輸出層和一個隱含層。輸入的特徵向量通過隱含層變換達到輸出層,在輸出層得到分類結果。早期感知機的推動者是Rosenblatt,當時感知器傳輸函式是用

php中常見安全設定詳解

php中幾種常見安全設定詳解  另外,目前鬧的轟轟烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保證安全,PHP程式碼編寫是一方面,PHP的配置更是非常關鍵。 我們php手手工安裝的,php的預設配置檔案在 /usr/local/apache2/conf/ph

常見的查詢演算法比較

一、順序查詢   條件:無序或有序佇列。   原理:按順序比較每個元素,直到找到關鍵字為止。   時間複雜度:O(n) 二、二分查詢(折半查詢)   條件:有序陣列   原理:查詢過程從陣列的中間元素開始,如果中間元素正好是要查詢的元素,則搜素過程結束;      如果某

《unix網路程式設計》(11)tcp伺服器的常見狀況分析

accept返回前連線終止         《unix網路程式設計》(10)wait/waitpid處理僵死程序(SIGCHLD訊號)該文章中介紹了客戶正常終止時,由於父程序使用wait處理SIGCHLD訊號時,阻塞於accept,核心會使得accept返回一個EINTR錯

C++檔案讀寫獲取檔案大小的常見方式

對檔案操作時有時獲得檔案的大小時必要的.下面是獲得其大小小的較簡單方法. #include<io.h> //C語言標頭檔案 #include<iostream> //for s