DDoSの侵入と実際の攻撃と防御(1):初めてのDDoS入門

情報 2023-10-05 01:19:23 訪問数: null

(この写真は書籍「Web Script 攻撃と防御技術のコア分析」著者: Hao Yongqing 氏より引用)

DDoS は Distributed Denial of Service の略で、分散型サービス拒否攻撃と言い換えることができます。

上の図と DDoS の文言は、この種の攻撃の原理を明確に示しており、これ以上言う必要はありません。このような攻撃が蔓延する主な原因の 1 つは、ネットワーク サービスのオープン化であるため、DDoS 攻撃を根本的に排除することは不可能であり、現在、主な対応戦略はアクティブ防御とパッシブ防御です。

典型的な DDoS 攻撃手法:

死のピング

icmp は IP メッセージにカプセル化されており、IP は大規模なデータ ロードに対して断片化された送信戦略を使用しており、受信者はこれらの IP フラグメントを再構築する必要があります。受信者の再構築アルゴリズムが予期せぬ状況に適切に対処できない場合、結果は深刻になる可能性があります。典型的な予期せぬ状況には次のようなものがあります。 :

  • 連続するフラグメントのオフセットは論理的な関係に準拠していないため、攻撃者がこのような一連のパケットを偽造するのは簡単です。
  • 再構成後の IP ヘッダーとデータ ペイロードの合計長が、IP メッセージの合計長の制限 2^16 バイト (64kB) を超えています。実装例としては、最後の IP を除いて、以前のすべてのフラグメントが正常であることが挙げられます。イーサネットの最大伝送単位 MTU の上限である 1500 バイトに達するなど、データ負荷を最大限に満たすよう努めると、再構成されたメッセージの全長は約 (64kB+1500B-20B-8B=65.44kB) に達します。 。

この攻撃手法はさらに、ターゲット システムのプロトコル スタック アルゴリズムの脆弱性を悪用します。

ティアドロップ

ティアドロップ攻撃とは、パケットの重複や過度に大きなパケット ペイロードなど、破損した IP パケットをターゲット マシンに送信することを指します。これらの手段により、この攻撃は、TCP/IP プロトコル スタック内のコードの断片化および再構築のバグを通じて、さまざまなオペレーティング システムを麻痺させる可能性があります。(この段落は中国語版 Wikipedia からの抜粋です。実装方法については Ping of Death を参照してください)

UDP フラッド

UDP はコネクションレス型プロトコルであり、データ パケットが UDP 経由で送信される場合、すべてのデータ パケットは送受信時にハンドシェイク検証を必要としません。大量の UDP パケットが被害者システムに送信されると、帯域幅が飽和状態になり、正規のサービスが被害者システムへのアクセスを要求できなくなる可能性があります。DDoS UDP フラッド攻撃を受けた場合、UDP パケットの宛先ポートはランダムなポートまたは指定されたポートである可能性があり、被害者のシステムは受信したパケットを処理してローカルで実行されているサービスを特定しようとします。宛先ポートでアプリケーションが実行されていない場合、被害システムは「宛先ポートに到達できない」ことを示す ICMP パケットを送信元 IP に送信します。場合によっては、攻撃者は自分自身を隠すために送信元 IP アドレスを偽造し、被害者システムから返されたパケットがゾンビ ホストに直接戻されず、偽造したアドレスでホストに送信されるようにします。場合によっては、UDP フラッド攻撃は被害者システム周辺のネットワーク接続にも影響を与える可能性があり、被害者システムの近くにある正常なシステムに問題を引き起こす可能性があります。ただし、これはネットワークのアーキテクチャと回線速度によって異なります。(この段落は中国語版ウィキペディアから抜粋したものです)

TCP RST 攻撃

TCP プロトコルにはセキュリティホールが存在しており、TCP コネクションの通信には認証機能が含まれていないため、正常な TCP コネクションが不正な第三者によってリセットされる可能性があります。たとえば、接続の 5 タプルがわかっている場合、攻撃者は RST/SYN フラグを使用して TCP メッセージまたは通常のデータ メッセージを偽造でき、そのシーケンス番号が TCP 接続のスライディング ウィンドウの範囲内にある場合、攻撃者はセッションが終了するか、誤ったデータが挿入される可能性があります。

TCPフルコネクション攻撃

大規模な攻撃グループが、ターゲット サーバーとの通常の TCP 接続を同時に継続的に確立し、通常のユーザーの接続サービスに重大な影響を与えます。

シンフラッド

攻撃者は、大量の (偽の送信元 IP アドレス、偽の送信元ポート、正しいターゲット IP アドレス、正しいターゲット ポート) tcp syn データ パケットをターゲット サーバーに送信します。このような多数の誤った接続を維持するために、ターゲット サーバーは大量の tcp ステート マシンを SYN_RCVD ステータスに維持し、処理速度に深刻な影響を与え、システム リソースを消費します。一方、攻撃者がこれらの小さなデータ パケットを偽造して送信した場合、リソースの消費は非常に低くなります。ネットワーク伝送速度が 3Mb/s の場合、攻撃パケットのレートは 1 秒あたり約 9830 に達する可能性があります (3Mb/8/40=9830)。ネットワーク伝送速度が 30Mb/s に達すると、1 人の攻撃者の攻撃パケット レートは 98300 になる可能性があります。 /s. 分散攻撃も考慮すると、状況は非常に悪くなりそうです。

CC攻撃

CC (チャレンジ コラプサー) は、文字通りブラック ホール チャレンジと訳せます。CC 攻撃は DDoS 攻撃の一種です。プロキシ サーバーを使用して、一見正当なリクエストを被害者のサーバーに大量に送信します。賢いのは、インターネット上には無料のプロキシ サーバーが多数あり、さらに多くのプロキシ サーバーが存在します。どちらも匿名プロキシをサポートしているため、次のような利点があります。

  • 攻撃者は事前に攻撃パペットを捕捉する必要はありませんが、要件を満たす利用可能なプロキシ IP:ポート リストを取得する必要があります。
  • 匿名プロキシにより追跡は非常に困難になりますが、不可能ではありません。

レイヤー 4 以下での DDoS 防御:

新しい攻撃手法の出現と普及は、必然的に対応する防御戦略の出現につながります。

レイヤー 4 以下の DDoS 攻撃に関しては、今日のハードウェア ファイアウォールのほとんどは、Ping of Death、ICMP フラッド、ティアドロップなどに対して非常に優れた防御効果を達成できます。そのため、ここでは SynFlood の防御戦略のいくつかを紹介することに焦点を当てます。

  • SynCookie: システム リソースが特定の臨界点に達すると、カーネル プロトコル スタックにより、SynCookie メカニズムが Syn パケットの送信元 IP: PORT を確認できるようになります。これ自体は非常に賢い実装です。
  • SynProxy: Syn プロキシ。通常はフロントエンド ファイアウォールに実装できます ( LVS はこの機能をカーネル層で実装し、原則は SynCookie+Proxy です)。
  • SynCheck: 特定のルールに従って Syn パケットをチェックし、一部の不規則なパケットを除外します。
  • SynFirstDrop: Syn の最初のパケットを破棄する戦略ですが、攻撃者が偽造した Syn メッセージを 2 回送信すると、この手法は効果を失います (一部の国内ファイアウォール製品ではこの手法が採用されています)。

上記の一般的な防御方法は、それぞれハードウェアとソフトウェアで実装できます。一般に、ハードウェア ファイアウォールの処理能力はソフトウェア方式よりも強力ですが、価格も高くなります。ソフトウェアの実装パフォーマンスは低下しますが、それほど悪くはありません。たとえば、ipvs はカーネル層で動作し、淘宝網はほとんどの Web サイトでそれをディレクターとして使用します。以下に公式データをいくつか示します。

上記のデータに基づいて、フロントエンド Director がクラスターを実装してシステム負荷を分散すると、パフォーマンスが向上し、ソフトウェア ファイアウォールを適切に使用すると、システム コストを大幅に削減し、理想的なパフォーマンスを実現できることがわかります。タオバオのシステムによって実際に検証されています。

次回の記事では、アプリケーション層での DDoS 攻撃の実装と防止、およびファイアウォール カーネル モジュールの実装について説明します。ご質問やご提案がございましたら、ディスカッションのためにメッセージを残してください。

ゼロベースのネットワークセキュリティ入門
01. ネットワークセキュリティ学習ルート

ネットワーク セキュリティに触れたことのない学生のために、詳細な学習と成長のロードマップを用意しました。これは最も科学的で体系的な学習ルートと言え、誰もがこの大まかな方向性に従って問題なく学習することができます。

ここに画像の説明を挿入します

同時に、成長ルートに応じた各セクションのサポートビデオも提供されます。

ここに画像の説明を挿入します

スペースが限られているため、情報の一部のみが表示されますが、必要な友達は私に注意を払うことができます~

ここに画像の説明を挿入します
ここに画像の説明を挿入します
ここに画像の説明を挿入します
ここに画像の説明を挿入します

03. 動画に付随する記事もあります

ここに画像の説明を挿入します

やっと

統計によれば、中国におけるサイバーセキュリティの人材不足は現在 140 万人にも上ります。
あなたがサイバーセキュリティ愛好家であっても、一定の実務経験のある実践者であっても、業界
の新卒者であっても、変化を望む専門家であっても、この非常に包括的な教材は、市販されている独習教材のほぼ 90% を上回り、ネットワーク セキュリティ学習分野全体をカバーしています。ブックマークしてください! 必ずあなたの勉強に役立ちます!



ネットワーク セキュリティ入門 + 高度な学習リソース パッケージの完全なセットが必要な場合は、私をクリックして入手してください。QRコードのスキャンに問題がある場合は、コメント エリアにメッセージを残して入手してください)~

[282G] ネットワーク セキュリティとハッキング テクノロジの基本から高度な側面までの完全な学習ギフト パッケージ。無料で共有できます。

ここに画像の説明を挿入します

おすすめ

転載: blog.csdn.net/text2207/article/details/133297692
おすすめ
Open Source Daily | Chrome に組み込まれている Gemini の重要性は、中国の AI 追求に関する 5 つの大きな誤解ではありません。ECharts の創設者は魚を育てるために「海に行った」が、何もありません。驚き
中国のAIチームが「米国のために準備を進めている」という噂にマイクロソフトが反応
ランキング
配列内の重複要素を検索し、繰り返し回数の最小値から最大値までの順に並べ替えます es6
【C++学習記】Ten、C++デザインパターン - 抽象ファクトリーパターン
知人:素人の言語ランタイム(A)に
ist „collision.relativeVelocity.magnitude“ in Unity
Linuxダイナミックリンク(3)のPLTとGOTについて話す-パブリックGOTエントリ
leetcode。図L.207カリキュラム-Java
羅区[] P3518 [POI2011] SEJ、金庫
MySQL にクエリを実行するときに使用するインデックスを指定します
現在のユーザー環境変数とシステムのWin10ベースのビュー
十二の仕事 - あなたの誕生日
アーカイブ
もっと
2024-05-15(5)
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)

コードワールド

© 2018 codetd.com