846人加入学习
(36人评价)
Kali Linux安全测试

爆款好课 NO.1

价格 ¥ 599.00
该课程属于 武官课程 请加入后再学习

Smurf攻击

十分古老的DDoS攻击技术

    对现代操作系统几乎无效(大部分不响应目标为广播的ping)

    只在局域网里

    向广播地址发送ICMP echo Request(ping)包,伪造源地址,由于响应太多所以,造成伪造的地址拒绝服务

Scapy

     i=IP()

     i.src="1.1.1.2"

     i.dst="1.1.1.255"

     p=ICMP()

     r=send(i/p)

一行Scapy

send(IP(dst="1.1.1.255",src="1.1.1.2")/ICMP(),count=100,verbose=1)

 

Sockstress攻击

2008年由jack C.Louis发现

针对TCP服务的拒绝服务攻击

     消耗目标操作系统资源

     与目标建立大量socket链接

     攻击者消耗资源小(CPU,内存,带宽)

     异步攻击,单机可拒绝服务高配资源服务器,建立的链接都需要用资源的处理

     完成三次握手,最后的ACK包window大小为0(客户端不接收数据)

     Window窗口实现的TCP流控与可靠传输

添加防火墙规则

iptables -A OUTPUT -p TCP --tcp-flags rst rst -d 1.1.1.1 -j DROP

防御措施

直到今天sockstress攻击仍然是一种很有效的DoS攻击方式

由于建立完整的TCP三步握手,因此使用syn cookie防御无效

根本的防御方式是采取白名单(不实际)

折中对策:限制单位时间内每IP建TCP连接数

封杀每30秒与80端口建立的链接超过10的地址

   iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
   iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --
seconds 30 --hitcount 10 -j DROP

只对单个ip有效,但是对DDoS无效

[展开全文]