风暴型DoS攻击23页.docx
- 文档编号:713755
- 上传时间:2022-10-12
- 格式:DOCX
- 页数:16
- 大小:61.24KB
风暴型DoS攻击23页.docx
《风暴型DoS攻击23页.docx》由会员分享,可在线阅读,更多相关《风暴型DoS攻击23页.docx(16页珍藏版)》请在冰豆网上搜索。
风暴型DoS攻击23页
风暴型DoS攻击
观察内容的选择,我本着先静后动,由近及远的原则,有目的、有计划的先安排与幼儿生活接近的,能理解的观察内容。
随机观察也是不可少的,是相当有趣的,如蜻蜓、蚯蚓、毛毛虫等,孩子一边观察,一边提问,兴趣很浓。
我提供的观察对象,注意形象逼真,色彩鲜明,大小适中,引导幼儿多角度多层面地进行观察,保证每个幼儿看得到,看得清。
看得清才能说得正确。
在观察过程中指导。
我注意帮助幼儿学习正确的观察方法,即按顺序观察和抓住事物的不同特征重点观察,观察与说话相结合,在观察中积累词汇,理解词汇,如一次我抓住时机,引导幼儿观察雷雨,雷雨前天空急剧变化,乌云密布,我问幼儿乌云是什么样子的,有的孩子说:
乌云像大海的波浪。
有的孩子说“乌云跑得飞快。
”我加以肯定说“这是乌云滚滚。
”当幼儿看到闪电时,我告诉他“这叫电光闪闪。
”接着幼儿听到雷声惊叫起来,我抓住时机说:
“这就是雷声隆隆。
”一会儿下起了大雨,我问:
“雨下得怎样?
”幼儿说大极了,我就舀一盆水往下一倒,作比较观察,让幼儿掌握“倾盆大雨”这个词。
雨后,我又带幼儿观察晴朗的天空,朗诵自编的一首儿歌:
“蓝天高,白云飘,鸟儿飞,树儿摇,太阳公公咪咪笑。
”这样抓住特征见景生情,幼儿不仅印象深刻,对雷雨前后气象变化的词语学得快,记得牢,而且会应用。
我还在观察的基础上,引导幼儿联想,让他们与以往学的词语、生活经验联系起来,在发展想象力中发展语言。
如啄木鸟的嘴是长长的,尖尖的,硬硬的,像医生用的手术刀―样,给大树开刀治病。
通过联想,幼儿能够生动形象地描述观察对象。
风暴型DoS攻击是最为主要的、发生最多的一种拒绝服务攻击类型[DoS_trends],它又可进一步分为单纯风暴型和反射型两种。
风暴型DoS攻击靠的不是畸形数据包,而是依靠数据包的总量来达到攻击的目的,因此,它也是一种强力攻击或者野蛮攻击(BruteForceAttack)。
虽然这种攻击通常会采用源地址伪造(假冒)的手段,但除了某些特定的攻击方式如反射攻击外,源地址伪造不一定是必需的,但却常常是对攻击者有利的。
风暴型攻击需要向目标发送大量的数据包,而单个攻击者(或用于攻击的机器,简称攻击主机)的力量是有限的,因此,如果集聚多个攻击者的力量,同时向一个受害者发动攻击,则效果会更明显,这就是所谓的分布式拒绝服务(DDoS)攻击。
对于风暴型拒绝服务攻击,可以由一个攻击者攻击一个受害者,也可以一个攻击者攻击多个受害者、多个攻击者攻击多个受害者、多个攻击者攻击一个受害者等。
但是,一个攻击者同时攻击多个受害者的情况比较少见,因为这样造成了力量分散,不易达到攻击者的目标。
宋以后,京师所设小学馆和武学堂中的教师称谓皆称之为“教谕”。
至元明清之县学一律循之不变。
明朝入选翰林院的进士之师称“教习”。
到清末,学堂兴起,各科教师仍沿用“教习”一称。
其实“教谕”在明清时还有学官一意,即主管县一级的教育生员。
而相应府和州掌管教育生员者则谓“教授”和“学正”。
“教授”“学正”和“教谕”的副手一律称“训导”。
于民间,特别是汉代以后,对于在“校”或“学”中传授经学者也称为“经师”。
在一些特定的讲学场合,比如书院、皇室,也称教师为“院长、西席、讲席”等。
需要注意的是,有一种称为瞬时拥塞(FlashCrowd)的现象看起来与风暴型拒绝服务攻击类似。
站在目标终端(在拒绝服务的情况下是受害者,在瞬时拥塞的情况下是受访问的主机)的角度有时难以区分这两者,它们都会占用带宽和系统资源,造成网络的拥塞和/或服务器的过载。
不同的是前者是在短时间内众多的合法用户因为某种原因而访问系统所造成的,而后者则是恶意的、虚假的访问所造成的。
教师范读的是阅读教学中不可缺少的部分,我常采用范读,让幼儿学习、模仿。
如领读,我读一句,让幼儿读一句,边读边记;第二通读,我大声读,我大声读,幼儿小声读,边学边仿;第三赏读,我借用录好配朗读磁带,一边放录音,一边幼儿反复倾听,在反复倾听中体验、品味。
此外,二者之间还有其他的区别:
(1)由于瞬时拥塞是正常的应用导致的,当因为网络拥塞而收到流量控制信息时,这些正常的应用程序会对其访问作适当调整,如降低访问量,延长数据包发送的时间间隔等;但是拒绝服务攻击的攻击主机或其攻击引擎则不会收到流量控制信息(当数据包的源IP地址是伪造的时候)或者即使收到这种信息也不会降低数据包的发送量。
(2)瞬时拥塞多发生在对网站的访问中,如发生重大事件时,新闻网站可能在短时间内受到突发的大量的访问请求,而拒绝服务攻击则可能是任意的由攻击者选定的数据流类型。
(3)瞬时拥塞通常是来自于四面八方的,即数据流的量通常是巨大的,而拒绝服务攻击中数据流的量则视单个攻击点的攻击力度以及攻击点的数量而不同。
(4)瞬时拥塞通常是可以预见的,除了出现重大事件容易导致拥塞外,由于人们的上网习惯,不同时间段出现拥塞的可能性是不同的,例如工作日的早上刚上班以后,由于多数人会收发邮件,可能导致邮件服务器短时拥塞。
这与交通拥堵情况类似,上下班时间会出现城市交通的早高峰和晚高峰,周一早上上班时间和周五下午下班时间尤其如此。
表4.2总结了瞬时拥塞和拒绝服务的异同。
表4.2 风暴型拒绝服务攻击与瞬时拥塞的区别
风暴型拒绝服务攻击
瞬时拥塞
对网络的影响
拥塞
拥塞
对服务器的影响
过载
过载
是否响应流量控制
否
是
流量类型
任意
多数为Web
数据流的数量
任意
大量
可预见性
不可预见
可预见
下面先讨论Internet的几个重要缺陷,它们是风暴型攻击得以成功的主要原因,然后讨论直接和间接两类风暴型攻击。
4.2.1 与风暴型攻击相关的Internet的缺陷
Internet有着几个重要的缺陷,它们使得在Internet中风暴型拒绝服务攻击可以很容易地得以实施[Peng04]。
1.连接性与资源共享
Internet的设计目的是提供一个信息资源共享的公共基础实施。
这导致了两个后果:
一是潜在的受害者,如Web服务器等,为了提供公开服务就必须与Internet连接并且对公众是可见的。
这种可见性是通过全球可路由的IP地址来实现的。
二是Internet是基于包交换的,这点与采用电路交换的公共电信网是不同的。
对于电路交换,每个服务(如一次通话)都会分到一个独立的信道直至服务结束。
给用户的服务不会因其他用户的行为而受到影响。
然而,在包交换网络中,所有用户共享所有资源,给予一个用户的服务会受到其他用户的影响。
风暴型拒绝服务攻击可以利用这两点:
攻击数据包在被判断为是否恶意之前就会被转发到受害者。
通过占用大部分共享资源,风暴型攻击力图影响提供给其他用户的服务。
2.认证与追踪性
Internet没有认证机制,这导致一个严重的问题就是IP欺骗。
IP欺骗指的是构造包含有伪造的IP地址的数据包。
源IP地址欺骗则是伪造的数据包中的“源IP地址”域中的内容不是分配给该计算机的地址。
由于没有对每个IP数据包的真实性检查机制,攻击者可以伪造数据包中任何区域的内容然后发送数据包到Internet中。
此外,通常情况下,路由器是不具备数据包追踪功能的,如保存连接记录。
实际上,由于需要保存的数据流量太大,保存这种记录是不可能的。
因此,没有现实的方法验证一个数据包是否来自于其所声称的地方。
通过IP欺骗隐藏来源,攻击者就可以发起攻击而无须担心对由此造成的损失负责。
3.对全球网络基础设施的依赖
当攻击者可以消耗完受害者的资源时,拒绝服务攻击就发生了。
一般地,即使是资源很充足的目标也可能在仅由一个攻击源发出的数据流的攻击下瘫痪。
此外,全球网络基础设施不提供可靠性保证,这使得攻击者可以“放大”其攻击效力。
首先,一些不恰当的协议设计导致一些(尤其是畸形的)数据包比其他数据包耗费更多的资源。
例如,TCP-SYN包比其他的TCP包占用的目标资源要多。
其次,Internet是一个“大集体”,其中有很多的不安全的系统。
更不幸的是,每年公布的漏洞都在不断地增加。
因此,攻击者可以利用漏洞,控制大量的不安全的系统,然后利用这些系统实施分布式风暴型拒绝服务攻击,其攻击的力度大为增强。
4.2.2 直接风暴型攻击
1.PING风暴攻击
这种攻击是单纯地向受害者发送大量的ICMP回应请求(ICMPEchoRequest,即Ping)消息,使受害者系统忙于处理这些消息而降低性能,严重者可能导致系统无法对其他的消息做出响应。
2.SYN风暴攻击
SYN风暴攻击[CA-1996-21][Schuba97]是最常见的一种攻击。
据统计[infer],有90%的拒绝服务攻击使用的是TCP协议,而SYN风暴又是其中最常用的一种攻击。
在TCP的连接建立过程中,需要连接双方完成3次握手,只有当3次握手都顺利完成,一个TCP连接才告建立。
当一个系统(称为客户端Client)希望与另一个提供服务的系统(称为服务器Server)建立一个TCP连接时,其首先向服务器发送一个SYN消息,如果服务器同意建立连接,则响应一个对SYN消息的回应(SYN-ACK),而客户端收到服务器的SYN-ACK以后,再向服务器发送一个ACK消息,当服务器收到此消息以后,一个TCP的连接就告完成。
连接的建立过程如图4.5所示。
在3次握手进行的过程中,服务器需要保持所有未完成的的握手信息(称为半开连接,即收到TCP-SYN并发送了SYN-ACK,但第3次握手信息(ACK未收到的状态)直到握手完成或超时(不同的系统超时长度的设置不同,一般情况下在75秒左右,如BSD类的系统的超时设置就是75秒[Stevens94],有的系统的超时设置甚至达到10余分钟[packetgram]。
)以后丢弃该信息。
由于半开连接的数量是有限的,例如,很多操作系统设置半开连接数的默认值为1024,如果攻击者不停地向受害者发送连接请求,而又不按协议规定完成握手过程,则服务器的半开连接栈可能会用完,从而不再接受其他的连接请求。
图4.5 TCP连接的建立(3次握手协议)
在实际攻击中,攻击者常采用地址伪造的手段,一方面可以掩盖发出攻击的真实地点,从而逃避追踪;另一方面,如果攻击者不伪造地址,在未修改攻击主机TCP协议栈的情况下,其系统会自动对SYN-ACK做出响应,无论是其以ACK回应建立连接还是以RST(即重置,Reset)回应取消连接都会在服务器上释放对应的半开连接(一般情况下,由于没有应用程序要求建立连接,所以攻击者机器可能会返回一个RST信息),从而既影响攻击主机的性能,又由于攻击主机发出的响应使得受害者较早地释放对应的半开连接进而减少占用半开连接的时间,降低攻击效果;如果攻击者将攻击数据包的源IP地址伪造成那些主机不存在或主机没有运行的IP地址,则受害者必须等待超时才能释放相应的半开连接,从而对攻击者而言达到最佳效果。
如图4.6所示为遭受到SYN风暴攻击的机器状态。
注:
锁定一个TCP端口
要锁定一台服务器的某个TCP端口,攻击者不需要一个很快的主机或者网络。
一般标准的TCP的超时是在多次重传而收不到回应时发生,超时设置通常是542秒[Stevens94]。
假设一台机器的某特定端口允许1024个半开连接,似乎只需每秒钟发送2个数据包给它就可以了。
事实上,不是这样,因为当有新的SYN数据包到来时,现有的某些半开连接会被释放(具体情况根据实现算法的不同而异,例如有的是随机释放,即从现有的半开连接中随机选取进行释放,而有的则是优先释放占用时间最久的那个)以接受新的连接请求。
服务器从发送SYN-ACK到收到客户端的回应之间的这段时间一般称为往返时间(RoundTripTime,简称RTT)。
如果当ACK消息到达服务器时,服务器找不到相应的半开连接,则连接也不会建立。
攻击者可以通过迫使服务器在收到客户端的ACK消息之前释放对应的半开连接,导致用户无法与服务器建立任何连接(当然,在攻击之前已经建立的连接除外),从而彻底“锁死”服务器。
假设服务器是随机释放半开连接的,即以1/N的概
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 风暴 DoS 攻击 23