作者：黑蛋

在電視劇《你安全嗎？》中秦淮和陳默有一個共同的夢想，就是做出一款攻防兼?zhèn)涞哪裂蛉到y(tǒng)。由于陳默不想再參與到黑客中的黑白對抗中，只想好好的陪母親生活，所以在秦淮邀請陳默共同完成牧羊犬系統(tǒng)的時候，陳默拒絕參與牧羊犬系統(tǒng)的開發(fā)。陳默的人物設(shè)定是主防，秦淮的人物設(shè)定是主攻。缺少了陳默的參與，牧羊犬系統(tǒng)有很明顯的防御漏洞。所以在爽滋滋飲料場使用了牧羊犬系統(tǒng)后，在抽獎環(huán)節(jié)遭到了黑客攻擊，導致服務(wù)器暫停工作，獎品被小黃牛搶到，造成了爽滋滋飲料場的名譽受損以及獎品丟失。秦淮的“開掛了”公司也被推上了風口浪尖，陳默看到這里，決心來幫助秦淮，于是提起了他發(fā)現(xiàn)的牧羊犬漏洞，遇到DDOS攻擊，DNS毀壞劫持，ICMP洪水，慢速POST放大反射等攻擊是很難抵御的：

今天我們就來談一談陳默所說的這些問題，其實他所說的基本屬于DDOS攻擊，但是被細分開了。

1、DDOS攻擊：?又叫分布式拒絕服務(wù)攻擊，是指處于不同位置的多個攻擊者同時向一個或數(shù)個目標發(fā)動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊。由于攻擊的發(fā)出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務(wù)攻擊，其中的攻擊者可以有多個。一個完整的DDoS攻擊體系由攻擊者、主控端、代理端和攻擊目標四部分組成。主控端和代理端分別用于控制和實際發(fā)起攻擊，其中主控端只發(fā)布命令而不參與實際的攻擊，代理端發(fā)出DDoS的實際攻擊包。對于主控端和代理端的計算機，攻擊者有控制權(quán)或者部分控制權(quán)。它在攻擊過程中會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。真正的攻擊者一旦將攻擊的命令傳送到主控端，攻擊者就可以關(guān)閉或離開網(wǎng)絡(luò)。而由主控端將命令發(fā)布到各個代理主機上。這樣攻擊者可以逃避追蹤。每一個攻擊代理主機都會向目標主機發(fā)送大量的服務(wù)請求數(shù)據(jù)包，這些數(shù)據(jù)包經(jīng)過偽裝，無法識別它的來源，而且這些數(shù)據(jù)包所請求的服務(wù)往往要消耗大量的系統(tǒng)資源，造成目標主機無法為用戶提供正常服務(wù)，甚至導致系統(tǒng)崩潰。簡單來講就是用多個客戶端，不斷像服務(wù)器發(fā)送大量的請求，超過他的處理能力，服務(wù)器處理不過來，就會拒絕后面的請求，達到讓對方暫停服務(wù)的目的。

image-20221128131458581

2、DNS劫持：想要知道DNS劫持，那么我們先來看一看什么是DNS，DNS是域名系統(tǒng)的縮寫，該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計算機和網(wǎng)絡(luò)服務(wù)。域名是由圓點分開一串單詞或縮寫組成的，每一個域名都對應(yīng)一個唯一的IP地址，在Internet上域名與IP地址之間是一對應(yīng)的，DNS就是進行域名解析的服務(wù)器。DNS的作用就是通過主機名，最終得到該主機名對應(yīng)的IP地址的過程叫作域名解析(或主機名解析)，在解析域名時，首先采用靜態(tài)域名解析的方法，如果靜態(tài)域名解析不成功，再采用動態(tài)域名解析的方法，將一些常用的域名放入靜態(tài)域名解析表中。下面是一張DNS工作舉例截圖：

換種說法，DNS類似一個電話本，小黑給小白打電話，但是不知道電話號碼，就去查電話本，找到小白電話號碼，然后撥通了電話。了解完DNS，我們來看看DNS劫持，DNS劫持就是通過劫持的DNS服務(wù)器，通過某些手段取得某域名的解析記錄控制權(quán)，進而修改此域名的解析結(jié)果，導致對該域名的訪問由原IP地址轉(zhuǎn)到修改后的制定IP。其結(jié)果就是對特點的網(wǎng)址不能訪問或者訪問到的是假網(wǎng)址，從而實現(xiàn)竊取資料或者破壞原有正常服務(wù)的目的。

3、ICMP洪水攻擊：網(wǎng)絡(luò)控制消息協(xié)議（ICMP）是TCP/IP協(xié)議級當中核心之一，用于在網(wǎng)絡(luò)中發(fā)送控制消息，提供可能發(fā)生在通信環(huán)境中的各種問題反饋。?因特網(wǎng)組管理協(xié)議（IGMP）是用于管理因特網(wǎng)協(xié)議多播組成員的一種通信協(xié)議。攻擊者使用受控主機向目標發(fā)送大量的ICMP或IGMP報文，進行洪水攻擊以消耗目標的網(wǎng)絡(luò)帶寬資源。在早期使用cmd中的ping命令就可以ping目標主機發(fā)送大量的ICMP數(shù)據(jù)包，當數(shù)據(jù)包的大小超過了目標網(wǎng)絡(luò)帶寬的極限（當時都是百兆網(wǎng)卡）時候，就會造成目標的網(wǎng)絡(luò)卡頓（ping素有死亡之ping的雅稱）；當然這種攻擊已經(jīng)幾乎無效，因為目標可以直接過濾掉無效的數(shù)據(jù)包，使之攻擊無效。

image-20221128131306470

4、慢速POST：慢速POST請求攻擊，是一種針對Web服務(wù)器的慢速HTTP攻擊，與Slowloris不同的是，慢速POST請求攻擊利用緩慢發(fā)送HTTP BODY的方式占用并耗盡Web服務(wù)器的連接資源。在HTTP頭信息中，可以使用COnternt-Length字段時，服務(wù)器會將該字段的值作為HTTP BODY的長度；當Web服務(wù)器接收到含有Content-Lengthde的頭部信息的時候會對HTTP BODY的數(shù)據(jù)內(nèi)容進行處理。利用這個特性我們可以是攻擊者長時間的與Web服務(wù)器保持連接，并逐漸耗盡Web服務(wù)器的連接資源。

5、放大反射：反射攻擊時，攻擊者使用受控主機發(fā)送大量的數(shù)據(jù)包，這些數(shù)據(jù)包的特別之處在于：其目的IP地址指向的是作為反射器的網(wǎng)絡(luò)設(shè)施，而源IP地址則被偽造成被攻擊目標的IP地址。反射器在收到數(shù)據(jù)包是，會認為該數(shù)據(jù)包是由目標所發(fā)出的請求，因此會將響應(yīng)的數(shù)據(jù)發(fā)送給目標，當大量的響應(yīng)數(shù)據(jù)包涌向同一個目標時，就會消耗目標的網(wǎng)絡(luò)帶寬資源，以此造成DDoS攻擊的目的。該攻擊方法需要在互聯(lián)網(wǎng)上尋找大量的“反射器”，某些種類的反射攻擊不難實現(xiàn)，對于ACK的反射攻擊，只需要在互聯(lián)網(wǎng)上找到開放TCP端口的服務(wù)器即可。反射攻擊是無證（不握手）的，所以如果有認證或握手的化，就無法實現(xiàn)下一步；故此反射攻擊是建立在UDP協(xié)議的網(wǎng)絡(luò)之上而進行的。放大攻擊是一種特殊的反射攻擊，特殊之處在于反射器對于網(wǎng)絡(luò)流量具有放大作用，因此可以這種反射器成為放大器。