39.8.0分)应用类攻击都有哪些防御手段?

Posted 2023-05-06

1、服务拒绝攻击
　　服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务，服务拒绝攻击是最容易实施的攻击行为，主要包括：

　　死亡之ping (ping of death)

　　概览：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。

　　防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后的windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。

　　泪滴(teardrop)

　　概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP(包括servicepack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。

　　防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。

　　UDP洪水(UDP flood)

　　概览：各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。

　　防御：关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。

　　SYN洪水(SYN flood)

　　概览：一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里，SYN洪水具有类似的影响。

　　防御：在防火墙上过滤来自同一主机的后续连接。

　　未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。

　　Land攻击

　　概览：在Land攻击中，一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢(大约持续五分钟)。

　　防御：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉。(包括10域、127域、192.168域、172.16到172.31域)

　　Smurf攻击

　　概览：一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求 (ping)数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比pingof death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。

　　防御：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。

　　Fraggle攻击

　　概览：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP

　　防御：在防火墙上过滤掉UDP应答消息

　　电子邮件炸弹

　　概览：电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。

　　防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。

　　畸形消息攻击

　　概览：各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。

　　防御：打最新的服务补丁。

图片

　　2、利用型攻击
　　利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三种：

　　口令猜测

　　概览：一旦黑客识别了一台主机而且发现了基于NetBios、Telnet或NFS这样的服务的可利用的用户帐号，成功的口令猜测能提供对机器控制。

　　防御：要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。

　　特洛伊木马

　　概览：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。

　　最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：netcat、VNC、pcAnywhere。理想的后门程序透明运行。

　　防御：避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。

　　缓冲区溢出

　　概览：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。

　　防御：利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新操作系统。

图片

　　3、信息收集型攻击
　　信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务

　　扫描技术

　　地址扫描

　　概览：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。

　　防御：在防火墙上过滤掉ICMP应答消息。

　　端口扫描

　　概览：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。

　　防御：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。

　　反响映射

　　概览：黑客向主机发送虚假消息，然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：RESET消息、SYN-ACK消息、DNS响应包。

　　防御：NAT和非路由代理服务器能够自动抵御此类攻击，也可以在防火墙上过滤“hostunreachable”ICMP应答。

　　慢速扫描

　　概览：由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

　　防御：通过引诱服务来对慢速扫描进行侦测。

　　体系结构探测

　　概览：黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同)，通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。

　　防御：去掉或修改各种Banner，包括操作系统和各种应用服务的，阻断用于识别的端口扰乱对方的攻击计划。

　　利用信息服务

　　DNS域转换

　　概览：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。

　　防御：在防火墙处过滤掉域转换请求。

　　Finger服务

　　概览：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。

　　防御：关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。

　　LDAP服务

　　概览：黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。

　　防御：对于刺探内部网络的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。

图片

　　4、假消息攻击
　　用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。

　　DNS高速缓存污染

　　概览：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。

　　防御：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。

　　伪造电子邮件

　　概览：由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。

　　防御：使用PGP等安全工具并安装电子邮件证书 参考技术A 第一种CC攻击
CC攻击（ ChallengeCoHapsar，挑战黑洞 ）是DDoS攻击的一种常见类型，攻击者借助代理服务器生成指向受害主机的合法请求，实现DDOS和伪装。CC攻击是一种针对Http业务的攻击手段，该攻击模式不需要太大的攻击流量，它是对服务端业务 处理瓶颈的精确打击，攻击目标包括：大量数据运算、数据库访问、大内存文件等，攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。
最简单的理解，3000台电脑同时访问你的网站 开三个浏览器 按住F5 是一种什么样的体验，有点特点的，死循环请求搜索接口，批量访问大文件等等！
比如这个URL就是蘑菇的搜索接口，我测试的时候还没有做频率限制，和分页限制，100并发压测直接就凉了，随后陌溪直接加上了频率限制！
https://192.168.192.168/mogu-web/search/sqlSearchBlog?currentPage=1&pageSize=100&keywords=1
特征，被攻击服务器，一瞬间会带宽飙升，随后CPU，内存，io，随着飙升！
特点，就是攻击方式简单，隐藏性高，量大！
缺点，需要持续压制直至攻击服务器宕机，如果在中途停止了压测，一般情况下服务器很快就能恢复，或者宕机服务自动重启，恢复业务正常运行！
第二种UPD攻击
UDP攻击,又称UDP洪水攻击或UDP淹没攻击（英文：UDP Flood Attack）是导致基於主机的服务拒绝攻击的一种。UDP 是一种无连接的协议，而且它不需要用任何程序建立连接来传输数据。当攻击者随机地向受害系统的端口发送 UDP 数据包的时候，就可能发生了 UDP 淹没攻击。
特征，因为UDP协议是不需要建立连接的，所以UPD攻击可以在非常短的时间内，发送大量的数据，动辄几百G，这个时候服务器一般会进入黑洞状态，也就是IP隔离，根据不同厂商，隔离时间不等，腾讯云是两个小时可以自助解封，其他小型厂商动辄24小时。
特点，就是攻击方式简单，量非常大！
第三种 TCP SYN洪泛攻击
SYN洪泛攻击的基础是依靠TCP建立连接时三次握手的设计。第三个数据包验证连接发起人在第一次请求中使用的源IP地址上具有接受数据包的能力，即其返回是可达的。这玩意最早在1996年就在Phrack中出现过，他还分为 直接攻击，分布式攻击，欺骗式攻击，到现在为止也没有特别好的防护策略！
原理，TCP 只有经过三次握手才能连接，而 SYN 泛洪攻击就是针对 TCP 握手过程进行，攻击者发送大量的 SYN 包给服务器（第一次握手成功），服务器回应(SYN + ACK）包（第二次握手成功），但是攻击者不回应 ACK 包（第三次握手不进行），导致服务器存在大量的半开连接，这些半连接可以耗尽服务器资源，使被攻击服务器无法再响应正常 TCP 连接，从而达到攻击的目的！
特点，就是攻击方式！繁多，防护比较复杂，虽然可以基于SYN cookie和降低SYN timeout，来做防护但是随着攻击防的数量增多和攻击方式增多，这种防护会逐渐降低，只能能相对缓解！
缺点，没有特别的缺点，相对对攻击者技术较高！
其他网络攻击
以上只是常见的还有非常多，比如基于TCP的，TCP-lLEGIT、TCP-MIX、TCP-ACK、TCP-REFLECT，基于UDP放大的 NTP、WSD、SSDP、ARD，基于其他协议的DNS啊 WSS啊等等，各有各的特点！ 参考技术B 应用类攻击的防御手段包括
1、定时漏洞扫描、即时安装补丁
2、提高安全意识，保持警惕
3、需要专业设备，进行专业防护和攻击
信息安全威胁现状

信息及信息系统具备脆弱性、敏感性、机密性、可传播性等多种特性，

信息安全现状

安全事件层出不穷：wannacry病毒的出现，将全国安全意识提高到一个高度

通信过程被挟持：软件升级，遭遇流量劫持。用户以为是手机软件升级，实际却被黑客劫持通讯，在手机后台安装病毒或木马

个人信息泄露：电信网络诈骗，欧洲GDPR计划，按照一定规范对个人信息进行保存

DDOS攻击：不是持续性的，主要目的是攻击瘫痪服务器，用大量流量拥塞网络。是古老和有效的攻击。肉鸡是所有联网设备，物联网等，摄像头等无输入设备进行攻击

网络战争的开端：震网病毒，第一个攻击真实世界中的基础（能源）设施的病毒攻击。

攻击事件的演变：

攻击方式变化小：还是病毒、漏洞、钓鱼等

攻击手段由单一变得复杂：攻击是精密的部署、长期的潜伏、多种手段相结合

攻击目的多样性：行为目的多样化，攻击从炫技发展为政治、经济、战争、能源甚至影响世界格局。

安全威胁分类

网络安全威胁：DDOS、网络入侵，数据传输中威胁

应用安全威胁：操作系统漏洞，接触最多，如日常高风险网站，病毒

数据传输和终端安全威胁：端到端流量威胁，如软件升级时，被黑客劫持流量。 参考技术C [图文] 版权 DDoS的攻击方式有很多种,最常见的就是利用大量僵尸网络模拟真实流量访问服务器,从而占用服务器资源和带宽拥堵,导致正常用户无法访问.很多互联网企业都有部署DDoS防御措施,但并不是一套方案就可以...

DDOS攻击工具有哪些？怎么防御DDOS攻击？

互联网的发展给大家带来的很多的便利，也有很多的业务机会，带来很多利益，但凡事都有两面性，有利益也会有危害，例如黑客会通过互联网进行攻击，导致企业损失。DDOS就是黑客常用的攻击手段，也是企业惧怕的一件事，如果真的不小心遭受到DDOS攻击，那么后果真的是会难以想象。黑客一般是会通过软件进行攻击，那么你知道常用的DDOS攻击工具有哪些？

1、卢瓦（LOIC）

卢瓦在黑客领域就很有知名度，也是他们常用的DOS攻击工具之一，这个工具经常被黑客利用，对很多的大公司进行网络攻击。卢瓦能使用单个用户执行DOS攻击小型服务器，而且卢瓦简单易用，就算是个初学者也没问题。 这个工具执行DOS攻击通过发送UDP,TCP或HTTP请求到受害者服务器。黑客只要知道服务器的IP地址或URL就可通过卢瓦进行攻击了

DDOS攻击工具有哪些？真受到攻击了要咋办？

2、XOIC

XOIC是另一个不错的DOS攻击工具。它根据用户选择的端口与协议执行DOS攻击任何服务器。XOIC开发者还声称XOIC比上面的LOIC在很多方面更强大呢。一般来说,该工具有三种攻击模式,第一个被称为测试模式，是非常基本的； 第二个是正常的DOS攻击模式； 最后一个是带有HTTP / TCP / UDP / ICMP消息的DOS攻击模式。如果黑客的攻击目标只是一个小型网站，那么黑客很有可能会选择XOIC作为DDOS攻击工具

3、HULK

HULK黑客喜欢使用的DOS攻击工具，HULK可以使用某些其他技术来避免通过攻击来检测。它有一个已知的用户代理列表，且使用的是随机请求。

4、 DDOSIM-Layer

DDOSIM是另一种流行的DOS攻击工具。 顾名思义,它是通过模拟控制几个僵尸主机执行DDOS攻击。所有僵尸主机创建完整的TCP连接到目标服务器。这个工具是用c++写的,并且在Linux系统上运行。

这些是DDOSIM的主要特点：

DDOS攻击工具有哪些？真受到攻击了要咋办？

5、R-U-Dead-Yet

如果黑客想通过POST方法提交进行网络攻击，那么会选择R-U-Dead-Yet，这个攻击是可以进行HTTP post DOS攻击的。个工具提供了一个交互式控制台菜单，检测给定的URL,并允许用户选择哪些表格和字段应用于POST-based DOS攻击。

6、Tor hamme

Tor hamme是另一个不错的DOS测试工具。 它是用Python编写的。 这个工具有一个额外的优势:它可以通过TOR匿名网络执行攻击。 这是一个非常有效的工具,它可以在几秒内杀了Apache和IIS服务器。

7、 PyLoris

 PyLoris 不仅仅可以进行DOS攻击，也有人说可以用来当做成服务器的测试工具。PyLoris能通过SOCKS代理和SSL连接服务器上，从而进行DOS攻击。它可以针对各种协议,包括HTTP、FTP、SMTP、IMAP,Telnet。不像其他传统DOS攻击工具一样，其最新版本的软件添加了一个简单易用的GUI。

8、DAVOSET

DAVOSET是可以进行免费下载的，很多黑客也会通过DAVOSET进行DDOS网络攻击，目前DAVOSET最新版本的已经支持cookie以及许多其他功能，因为是免费的，效果也许并不会是想象中的那么好。

DDOS攻击工具有哪些？真受到攻击了要咋办？

这几个是黑客常用的DDOS攻击工具，有些本来是用来测试DDOS攻击测试的，但是却会被某些黑客进行利用，拿来当做攻击工具，当然蔚可云所介绍的也是为了让大家更了解DDOS攻击，或是进行教学测试，希望大家别进行非法使用。

如果你的网站或是APP真的受到了DDOS攻击，那么要咋办呢？别慌，蔚可云可帮助你进行防御DDOS攻击，我们的产品DDOS云清洗可通过全球的各个CDN节点进行清洗，让黑客的DDOS攻击无法逍遥法外！