安全牛-拒绝服务

拒绝服务
Dos不是DOS                                                      
    - 利用程序漏洞或一对一资源耗尽的Denial of Service拒绝服务（dos攻击者与被攻击者都是一个节点）   
DDOS分布式拒绝服务                                             
    - 一对一的攻击彻底拼各自的资源，效果差                      
    - 多对一的攻击汇聚资源能力，重点在于量大，属于资源耗尽型    
历史                                                           
  - 之前：欠缺技术能力的无赖，我ping死你（最难缠的无赖）      
  - 如今：最强大最危险的攻击，攻击方式众多（专业化的要求勒索）
      亲身经验：电商网站被勒索、Bill gates僵尸程序              
      贩卖和租用鸡肉已经成为黑产中重要的一部分                  
      最终的办法就是拼资源，投资抗D，或者乖乖交保护费

ps：
什么是Dos？什么是DOS？cmd打开的是什么？Dos的分类？
拒绝服务，最早发明的电脑使用的界面，命令提示符，发送少许的数据使得服务器奔溃/一对一资源耗尽
什么是DDOS? DDOS与Dos的区别？
分布式拒绝服务，攻击发起者与被攻击的对象
破坏计算机的CIA中的哪个？现实中的分布式拒绝服务？
A-可用性，电影散场/饭馆吃饭
如何区分恶意流量？若是DDOS攻击专业化，如何区分？    抗D设备/交钱解决不了问题的状况下？
流量清洗，投资抗D/乖乖交保护费，恶意流量扔到黑洞
黑客如何利用DDOS？如何盈利？
利用漏洞植入木马定时去攻击，收钱攻击/出租肉鸡

------------------------------------------------------------------------------------------------------------------------------------

拒绝服务组织                                   
Anonymous匿名者                               
    - 世界最著名的黑客组织                    
    - 组织结构宽松，人员来自世界各地          
    - 以DDoS攻击著称的无政府主义者            
    - 亦正亦邪，攻击恐怖组织也攻击政府宗教机构
    - 近些年来涉足政治斗争                    
    - 成员露面时均带有Guy Fawkes面具          
    - 最先的核心成员来自4chan图片社区         
    - 惯常雇佣外围黑客成员发动DDos攻击        
口号                                          
    - We are Anonymous , We are a Legion ,    
      We do not forgive , We do not forget ,  
      Expect us.

ps：
为何要攻击？黑客表明什么？    
或许是道德，表明技术


------------------------------------------------------------------------------------------------------------------------------------

DoS分类                                                        
D网络                                                          
    - 基于巨量的Flood耗尽目标网络宽带资源                       
    - ICMP Flood、UDP Flood                                     
D协议                                                          
    - 攻击协议漏洞发起的拒绝服务攻击                            
    - 如Syn Flood、Ping of Death、ARP、DNS、802.十一、SSL         
D应用                                                          
    - 针对应用软件和操做系统漏洞发起的拒绝服务攻击              
    - 大量频繁访问消耗系统资源严重的应用（CC）                  
    - 一般表现为操做系统运行正常，网络流量不大，但服务中止响应  
    - 能够是一击毙命的，也能够是耗尽目标资源的                  
以上分类并不严谨，没必要太过执着于此

ps：
Dos是有哪些分类？
网络，协议，应用
------------------------------------------------------------------------------------------------------------------------------------

为什么会被DoS                               
从攻击者到被害者                          
    - 网络--->FW--->服务器OS--->服务应用  
资源耗尽                                  
    - 网络：宽带                          
    - FW：吞吐量、并发链接                
    - 服务器：CPU、内存、I/O              
    - 应用：处理请求能力，对OS资源的使用权
程序漏洞攻击                              
    - 缓冲区溢出                          
    - 协议、程序逻辑漏洞                  
链路上任何一点均可成为目标

ps：
攻击流程?
网络--->FW--->服务器OS(进行响应，创建握手)--->服务应用(IIS,tomcat,jobss)
攻击目标？
网络资源，网络设备（路由器，交换机，防火墙）
服务器系统，服务上的应用

 

-----------------------------------------------------------------------------------------------------------------------------------------------------------


Syn-Flood                         
长伴随IP欺骗                      
    - 真正的攻击目标              
Scapy                             
    - i=IP()                      
    - i.dst=1.1.1.1               
    - i.display()                 
    - t=TCP()                     
    - srl(i/t,verbose=1,timeout=3)
    - sr1(IP(dst=1.1.1.1)/TCP())

ps：
攻击的原理？攻击的实现方式？
利用三次握手的缺陷(协议不可靠),

-----------------------------------------------------------------------------------------------------------------------------------------------------------

Syn-Flood                                                           
攻击脚本：./syn_flood.py                                               
    - iptables -A OUTPUT -p tcp --tcp-flags RST -d 1.1.1.1 -j DROP      
    - netstat -n | awk '/^tcp/{++S[$NF]} END {for(a in S) print a,S[a]}'
    - windows系统默认半开链接数10个

LISTEN         S服务器端口处于侦听状态，等待链接请求
SYN-SENT     C发起链接请求，等待对端响应
SYN-RECV     S已收到链接请求
ESTABLISHED  C/S三次握手成功，TCP链接已经创建
FIN-WAIT-1      C/S等待对端响应中断请求确认，或对端终端请求
FIN-WAIT-2     C/S等待对端发送中断请求
CLOSE-WAIT     C/S等待本地 进程/用户 关闭链接
CLOSING     C/S等待对端响应链接中断确认
LAST-ACK        C/S等待对端响应以前的链接中断确认
TIME-WAIT     C/S等待足够时间长度确保对端收到链接中断确认（最大4分钟）
CLOSED         C/S无任何链接状态

IP地址欺骗              
常常用于Dos攻击         
根据IP头地址寻址        
    - 伪造IP源地址      
边界路由器过滤          
    - 入站、出站        
受害者多是源、目的地址
绕过基于地址的验证      
压力测试模拟多用户      
上层协议（TCP序列号）

-----------------------------------------------------------------------------------------------------------------------------------------------------------


Smurf攻击                                                              
世界上最古老的DDOS攻击技术                                             
    - 向广播地址发送伪造源地址的ICMP echo Request (ping) 包             
    - LAN全部计算机向伪造源地址返回响应包                               
    - 对现代操做系统几乎无效（不响应目标为广播的ping）                  
Scapy                                                                  
    - i=IP()                                                           
    - i.dst="1.1.1.255"                                                
    - p=ICMP()                                                         
    - p.display()                                                      
    - r=(i/p)                                                           
    - send(IP(dst="1.1.1.255",src="1.1.1.2")/ICMP(),count=100,verbose=1)


ps:
什么是Smurf攻击?
攻击者向网络广播地址发送ICMP包，并将回复地址设置成受害网络的广播地址，经过使用ICMP应答请求数据包来淹没受害主机的方式进行，最终致使该网络的全部主机都对次ICMP应答请求做出答复，致使网络阻塞。更加复杂的Smurf攻击攻击将源地址改成第三方受害者，最终致使第三方崩溃。   (IP欺骗和ICMP回复方法)  
攻击范围？
局域网内/外网

-----------------------------------------------------------------------------------------------------------------------------------------------------------


Sockstress                                                         
2008年由Jack C.Louis发现                                           
针对TCP服务的拒绝五福攻击                                          
    - 消耗被攻击目标系统资源                                      
    - 与攻击目标创建大量socket连接                                 
    - 完成三次握手，最后的ACK包 windows 大小为0（客户端不接收数据）
    - 攻击者资源消耗小（CPU、内存、带宽）                           
    - 异步攻击，单机可拒绝服务高配资源服务器                        
    - Window 窗口实现的TCP流控

ps:
什么是Sockstress？
此攻击方式为在已经创建tcp链接的状况下，即在syn、syn+ack、ack（在此阶段发送中携带窗口为0）创建完成后，服务器会一直等待客户端的发送，由于客户端会一直与服务器保持链接，但不发送数据并且不用维持此链接，服务器一直等待而不断开，消耗内存和cpu资源。与syn flood的半链接不一样。