简介 编辑
此算法不要求维护网络的拓扑结构和相关的路由计算,仅要求接收到信息的节点以广播方式转发数据包。例如,源节点希望发送一段数据给目标节点。源节点首先通过网络将数据副本传送给它的每个邻居节点,每个邻居节点再将数据传送给各自的除发送数据来的节点之外的其他。如此继续下去,直到数据传送至目标节点或者数据设定的生存期限(TTL,Time To Live)为0为止。
SYN洪泛攻击 编辑
SYN攻击利用的是TCP的三次握手机制,攻击端利用伪造的IP地址向被攻击端发出请求,而被攻击端发出的响应报文将永远发送不到目的地,那么被攻击端在等待关闭这个连接的过程中消耗了资源,如果有成千上万的这种连接,主机资源将被耗尽,从而达到攻击的目的。我们可以利用路由器的TCP拦截功能,使网络上的主机受到保护(以Cisco路由器为例)。
DHCP报文洪泛攻击 编辑
DHCP报文洪泛攻击是指:恶意用户利用工具伪造大量DHCP报文发送到服务器,一方面恶意耗尽了IP资源,使得合法用户无法获得IP资源;
另一方面,如果交换机上开启了DHCP Snooping功能,会将接收到的DHCP报文上送到CPU。因此大量的DHCP报文攻击设备会使DHCP服务器高负荷运行,甚至会导致设备瘫痪。
ARP报文洪泛攻击 编辑
ARP报文洪泛类似DHCP洪泛,同样是恶意用户发出大量的ARP报文,造成L3设备的ARP表项溢出,影响正常用户的转发。
和泛洪是一个意思,只是英文翻译有点偏差
ping泛洪 编辑
泛洪Dos攻击并不试图使服务或资源崩溃,而是使它过载从而使其不能响应。类似的攻击可以占用其他资源,例如CPU周期和系统进程,但泛洪攻击总是倾向于试图占用网络资源。
最简单的泛洪攻击是ping泛洪,其目的是耗尽受害者的带宽,以至于合法的流量不能通过。
攻击者向受害者发送许多很大的ping数据包,消耗受害者网络连接的带宽。
这种攻击没有什么过人之处——它只是一场带宽的战斗:比受害者拥有更大带宽的攻击者能够发送大小超过受害者可以接收的极限的数据,并因此阻止其他合法流量到达受害者处。
放大攻击 编辑
实际上,有一些巧妙的实现ping泛洪的方式,它们不需要使用较大的带宽。放大攻击利用欺骗和广播寻址使单一的数据包流被成百倍地放大。首先,必须找到一个目标放大系统。这应当是一个允许向广播地址通信并且有较多活动主机的网络。然后,攻击者使用伪造的受害者系统的源地址向放大网络的广播地址发送大量的ICMP回送请求数据包。放大器会向放大网络的所有主机广播这些数据包,然后这些主机会向伪造的源地址(例如,向受害者的机器)发送相应的ICMP回送应答数据包,如图所示。
流量放大允许攻击者发送相对较小的ICMP回送请求数据包流,而受害者会被成百倍的ICMP回送应答数据包泛洪。可以使用ICMP数据包和UDP回送数据包实施该攻击。相应技术分别称为smurf攻击和fraggle攻击。
分布式DoS泛洪 编辑
分布式DoS (DDoS)攻击是泛洪DoS攻击的分布式版本。因为泛洪DoS攻击的目的是消耗带宽,攻击者占用的带宽越大,他们可以造成的破坏就越大。在DDoS攻击中,攻击者首先与许多其他主机达成协议并在这些主机上安装daemon软件。安装了这种软件的系统通常被称为僵尸(bot),这些系统构成了所谓的僵尸网络(botnet)。这些僵尸耐心地等待,知道攻击者挑中一个受害者并且决定发动攻击。攻击者使用某些控制程序,并且所有僵尸同时使用某种泛洪DoS攻击向受害者发起进攻。大量分散的主机不但增加了泛洪的效果,而且也使得对攻击源的跟踪更加困难。
有话要说