手机阅读
其它黑客们现在是什么样的心情,反正李子锋是不知道的了,现在李子锋关心的是,国际原子能机构官网的这个防火墙。
现在才攻破了第一层,不知道后面还有多少层的防火墙呢,李子锋很是无奈,要是一开始,就决定让小倩使用她的方法的话,那也就是一句话的时间,甚至都要不了一句话的时间就可以将这个网站给搞定了。
不过,那样的话,也太惊世骇俗了,所以,李子锋才采取这个时代的黑客们常用的手段,或者一些高明的手段,反正就没有超过这个时代的手段来对付这个网站。
这样以来,这个网站的强大,就显而易见了,这么多的肉鸡同时发起攻击,但是得到的效果都没有想像中的那么好。
所以,李子锋就知道了,这个网站背后的服务器的强大了。
当然,这也并不是对方光只是服务器的强大,当然还有他们背后的管理人员同样的是强大的。
想要真正的快速的攻击对方的网络,这第一关就是发送给对方的大量数据,对方不能有效的分辨出来,或者至少不能拒绝。
李子锋使用的SYNFld攻击,但是对方也有着很好的防御方法。
当然,最常见的防御方法也就是大家承认的最有效果的。
李子锋使用肉鸡网络之中的一个用户向服务器发送了SYN报文后突然死机或掉线,那么国际原子能机构服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的,这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYNTiet。
一般来说这个时间是分钟的数量级(大约为30秒-2分钟);李子锋的一个肉鸡用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果李子锋使用肉鸡大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源,一台肉鸡模拟数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CP时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。
实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃,即使国际原子能机构的官方服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求,毕竟客户端的正常请求比率非常之小,现在的攻击数据请求,对方都来不急处理,哪里还有时间处理其它的那些数据呢?
此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYNFld攻击,也就是SYN洪水攻击。
当然,这种的攻击,也是有防范措施的。
第一种就是缩短SYNTiet时间。
第二种方法就是设置SYNCkie,就是给每一个请求连接的IP地址分配一个Ckie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被一概丢弃,直接就将认为是垃圾攻击。
还有反弹攻击时,李子锋让小倩使用肉鸡设置一些反弹服务器,巧妙的利用了反弹服务器群来将洪水数据包反弹给国际原子能机构的服务器。
所有的Web服务器、DNS服务器及路由器都是反弹服务器,他们会对SYN报文或其他TCP报文回应SYNACKs或RST报文,以及对一些IP报文回应ICMP数据报超时或目的地不可达消息的数据报。
当然,任何用于普通目的TCP连接许可的网络服务器都可以用做数据包反射服务器。
防火墙几乎是最常用的安全产品,但是防火墙设计原理中并没有考虑针对DDOS攻击的防护,在某些情况下,防火墙甚至成为DDOS攻击的目标而导致整个网络的拒绝服务,现在李子锋就是这样的打算,直接使用大量的数据攻击。
首先是防火墙缺乏DDOS攻击检测的能力。
通常,防火墙作为三层包转发设备部署在网络中,一方面在保护内部网络的同时,它也为内部需要提供外部服务的设备提供了通路,如果DDOS攻击采用了这些服务器允许的合法协议对内部系统进行攻击,防火墙对此就无能为力,无法精确的从背景流量中区分出攻击流量。
虽然有些防火墙内置了某些模块能够对攻击进行检测,但是这些检测机制一般都是基于特征规则,李子锋或者小倩的肉鸡网络,只要对攻击数据包稍加变化,防火墙就无法应对,对DDOS攻击的检测必须依赖于行为模式的算法。
↑返回顶部↑