欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

　如果拋開(kāi)善惡之分，單就純粹的技術(shù)而言，“攻擊”和“入侵”的含義是有很大區別的?，F在很多涉及到網(wǎng)絡(luò )安全技術(shù)的相關(guān)事物里面，都沒(méi)有將兩者嚴格劃分，基本都混為一談。

　　“入侵”是指在非授權的情況下，試圖存取信息、處理信息以使系統不可靠、不可用的故意行為。網(wǎng)絡(luò )上的入侵通常是利用目標系統的漏洞、bug、缺陷而發(fā)起的一種行動(dòng)，它的目的是獲得、修改某些信息、資料或者數據。

　　“攻擊”在網(wǎng)絡(luò )安全技術(shù)中是指對目標網(wǎng)絡(luò )發(fā)起的，以目標被破壞、停止服務(wù)等為目的的行為。

　　具體來(lái)講，如果說(shuō)腳本注入、緩沖區溢出等方法屬于技術(shù)性入侵的話(huà)，DoS的相關(guān)內容將是屬于最特別也是危害最嚴重的惡意暴力性攻擊。

　　入侵是一個(gè)技術(shù)活，通過(guò)研究和模擬入侵技術(shù)，可以推導出相對應的行之有效的防御技術(shù)，是對技術(shù)的整體提升很有幫助的一種研究方法。如果喜歡網(wǎng)絡(luò )安全技術(shù)的愛(ài)好者想要研究各種入侵技術(shù)，可以在本地構建環(huán)境，然后進(jìn)行測試;而攻擊不同，攻擊基本是屬于一種暴力的、純惡意的破壞行為，是遭人唾棄并且嚴格禁止的——特別是DoS和DDoS攻擊!

　　就中國互聯(lián)網(wǎng)的發(fā)展情況看，DoS和DDoS是從02年開(kāi)始瘋狂起來(lái)的，一直到今天熱度都未曾消退。利用這種攻擊方式敲詐、勒索的刑事案件層出不窮，各大新聞媒體都有很多報道，而發(fā)起這樣攻擊的人，現在也都獲得了應有的法律懲罰。

　　1.1DoS與DDoS的基本概念

　　“DoS”是Denial of Service，拒絕服務(wù)的縮寫(xiě)。所謂的拒絕服務(wù)是當前網(wǎng)絡(luò )攻擊手段中最常見(jiàn)的一種。它故意攻擊網(wǎng)絡(luò )協(xié)議的缺陷或直接通過(guò)某種手段耗盡被攻擊對象的資源，目的是讓目標計算機或網(wǎng)絡(luò )無(wú)法提供正常的服務(wù)或資源訪(fǎng)問(wèn)，使目標系統服務(wù)停止響應甚至崩潰，而最值得注意的是，攻擊者在此攻擊中并不入侵目標服務(wù)器或目標網(wǎng)絡(luò )設備，單純利用網(wǎng)絡(luò )缺陷或者暴力消耗即可達到目的。

　　從原理上來(lái)說(shuō)，無(wú)論攻擊者的攻擊目標(服務(wù)器、計算機或網(wǎng)絡(luò )服務(wù))的處理速度多快、內存容量多大、網(wǎng)絡(luò )帶寬的速度多快都無(wú)法避免這種攻擊帶來(lái)的后果。任何資源都有一個(gè)極限，所以攻擊者總能找到一個(gè)方法使請求的值大于該極限值，導致所提供的服務(wù)資源耗盡。

　　從技術(shù)分類(lèi)的角度上來(lái)說(shuō)，最常見(jiàn)的DoS攻擊有對計算機網(wǎng)絡(luò )的帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò )，使得所有可用網(wǎng)絡(luò )資源都被消耗殆盡，最后導致合法用戶(hù)的請求無(wú)法通過(guò)。連通性攻擊指用大量的連接請求沖擊服務(wù)器或計算機，使得所有可用的操作系統資源都被消耗殆盡，最終計算機無(wú)法再處理合法用戶(hù)的請求。

　　在網(wǎng)絡(luò )還不發(fā)達的時(shí)候，單一的DoS攻擊一般是采用一對一的方式，也就是攻擊者直接利用自己的計算機或者設備，對攻擊目標發(fā)起DoS攻擊。當攻擊目標處在硬件性能低下、網(wǎng)絡(luò )連接情況不好等情況的時(shí)候，一對一的DoS攻擊效果是非常明顯的，很有可能直接一個(gè)攻擊者就搞定一個(gè)網(wǎng)站或者一個(gè)服務(wù)器，讓它拒絕服務(wù)。

　　隨著(zhù)計算機和網(wǎng)絡(luò )技術(shù)的發(fā)展，硬件設備的處理性能加速度增長(cháng)，成本也變得非常低廉，網(wǎng)絡(luò )的快速發(fā)展更是讓帶寬、出入口節點(diǎn)寬度等大大的提升，這讓傳統的DoS攻擊很難湊效。

　　舉個(gè)不太確切的例子來(lái)說(shuō)：假使20年以前，攻擊者利用自己的計算機對一個(gè)目標服務(wù)器發(fā)起DoS攻擊，他通過(guò)編寫(xiě)程序，實(shí)現多線(xiàn)程數據發(fā)送，每秒給服務(wù)器發(fā)送5000個(gè)數據包(示例數據，沒(méi)有實(shí)質(zhì)意義)，服務(wù)器一會(huì )就無(wú)法正常訪(fǎng)問(wèn)了;但是換到今天，就算攻擊者的計算機使用頂級的個(gè)人計算機硬件，用最好的配置發(fā)起DoS攻擊，如果采用傳統的攻擊方法的話(huà)，每秒給服務(wù)器發(fā)送20000個(gè)數據包(示例數據，沒(méi)有實(shí)質(zhì)意義)，但是服務(wù)器每秒已經(jīng)可以輕松的處理20000000個(gè)數據包了，這樣的攻擊根本就達不到想要的拒絕服務(wù)效果。

　　隨著(zhù)這樣情況的出現，攻擊者研究出了新的攻擊手段，也就是DDoS。

　　DDoS是在傳統的DoS攻擊基礎之上產(chǎn)生的一種新的攻擊方式，即Distributed Denial Of Service，分布式拒絕服務(wù)攻擊。

　　如果說(shuō)計算機與網(wǎng)絡(luò )的處理能力比以往加大了10倍的話(huà)(示例數據，沒(méi)有實(shí)質(zhì)意義)，那攻擊者使用10臺計算機同時(shí)進(jìn)行攻擊呢？也就達到了可以讓目標拒絕服務(wù)的目的。簡(jiǎn)單來(lái)說(shuō)，DDoS就是利用更多的計算機來(lái)發(fā)起攻擊。

　　就技術(shù)實(shí)現方式來(lái)分析，分布式拒絕服務(wù)攻擊就是攻擊者利用入侵手段，控制幾百臺，或者成千上萬(wàn)臺計算機(一般被控制的計算機叫做傀儡主機，或者口頭被網(wǎng)絡(luò )安全相關(guān)人員稱(chēng)為“肉雞”)，然后在這些計算機上安裝大量的DDoS程序。這些程序接受來(lái)自攻擊者的控制命令，攻擊者同時(shí)啟動(dòng)全部傀儡主機向目標服務(wù)器發(fā)起拒絕服務(wù)攻擊，形成一個(gè)DoS攻擊群，猛烈的攻擊目標，這樣能極為暴力的將原本處理能力很強的目標服務(wù)器攻陷。

　　通過(guò)上面的分析，可以看出DDoS與DoS的最大區別是數量級的關(guān)系，DoS相對于DDoS來(lái)說(shuō)就像是一個(gè)個(gè)體，而DDoS是無(wú)數DoS的集合。另一方面，DDoS攻擊方式較為自動(dòng)化，攻擊者可以把他的程序安裝到網(wǎng)絡(luò )中的多臺機器上，所采用的這種攻擊方式很難被攻擊對象察覺(jué)，直到攻擊者發(fā)下統一的攻擊命令，這些機器才同時(shí)發(fā)起進(jìn)攻?？梢哉f(shuō)DDoS攻擊是由黑客集中控制發(fā)動(dòng)的一組DoS攻擊的集合，現在這種方式被認為是最有效的攻擊形式，并且非常難以抵擋。

　　1.2經(jīng)典DoS攻擊類(lèi)型

　　DoS攻擊存在很多經(jīng)典的種類(lèi)，從理清技術(shù)發(fā)展脈絡(luò )的角度，下面簡(jiǎn)單介紹了他們的名稱(chēng)、原理和基本的攻擊方式。

　　1.2.1死亡之ping

　　“ping of death”又稱(chēng)“死亡之ping”，之所以第一個(gè)首先列舉它，是因為很久以前，被網(wǎng)絡(luò )媒體夸大的轟轟烈烈的“中美黑客大戰”上，主要的攻擊方式就是他。其實(shí)死亡之ping是利用的ICMP?，F在微軟系列操作系統中的命令行中都有ping存在，ping程序實(shí)際就是使用的ICMP。本來(lái)在正常的情況下，TCP/IP的RFC文檔中對包的最大尺寸都有嚴格限制規定，許多操作系統的TCP/IP協(xié)議棧都規定ICMP 包大小為64KB，且在對包的標題頭進(jìn)行讀取之后，要根據該標題頭里包含的信息來(lái)為有效載荷生成緩沖區。但是“Ping of Death”故意產(chǎn)生畸形的測試Ping包，加載的尺寸超過(guò)64KB的上限，使未采取保護措施的網(wǎng)絡(luò )系統出現內存分配錯誤，導致TCP/IP協(xié)議棧崩潰，最終達到目標拒絕服務(wù)的目的。

　　1.2.2淚滴

　　“teardrop”,又稱(chēng)“淚滴”：IP數據包在網(wǎng)絡(luò )傳遞時(shí)，數據包可以分成更小的片段。攻擊者可以通過(guò)發(fā)送兩段(或者更多)數據包來(lái)實(shí)現TearDrop攻擊。第一個(gè)包的偏移量為0，長(cháng)度為N，第二個(gè)包的偏移量小于N。為了合并這些數據段，TCP/IP堆棧會(huì )分配超乎尋常的巨大資源，從而造成系統資源的缺乏甚至機器的重新啟動(dòng)，達到攻擊者需要的拒絕服務(wù)的目的。

　　1.2.3 UDP洪水

　　“UDP flood”又稱(chēng)“UDP洪水”：UDP flood最開(kāi)始一般應用在針對UNIX類(lèi)的服務(wù)器上，攻擊者通過(guò)偽造與某一主機的Chargen服務(wù)之間的一次的UDP 連接，回復地址指向開(kāi)著(zhù)Echo 服務(wù)的一臺主機，通過(guò)將Chargen 和Echo服務(wù)互指，來(lái)回傳送毫無(wú)用處且占滿(mǎn)帶寬的垃圾數據，在兩臺主機之間生成足夠多的無(wú)用數據流，這一拒絕服務(wù)攻擊飛快地導致網(wǎng)絡(luò )可用帶寬耗盡。

　　1.2.4 SYN洪水

　　“SYN flood”又稱(chēng)“SYN洪水”：當用戶(hù)進(jìn)行一次標準的TCP(Transmission Control Protocol)連接時(shí)，會(huì )有一個(gè)三次握手的過(guò)程。首先請求服務(wù)方發(fā)送一個(gè)SYN消息，服務(wù)方收到SYN后，會(huì )向請求方回送一個(gè)SYN-ACK表示確認，當請求方收到SYN-ACK后，再次向服務(wù)方發(fā)送一個(gè)ACK消息，這樣下來(lái)一次TCP連接就建立成功了。

　　“SYN Flood”專(zhuān)門(mén)針對TCP協(xié)議棧在兩臺主機間初始化連接握手的過(guò)程進(jìn)行DoS攻擊，它在實(shí)現過(guò)程中只進(jìn)行前2個(gè)步驟：當服務(wù)方收到請求方的SYN-ACK確認消息后，請求方由于采用源地址欺騙等手段使得服務(wù)方收不到ACK回應，于是服務(wù)方會(huì )在一定時(shí)間處于等待接收請求方ACK消息的狀態(tài)。而對于某臺服務(wù)器來(lái)說(shuō)，可用的TCP連接是有限的，因為他們只有有限的內存緩沖區用于創(chuàng )建連接，如果這一緩沖區充滿(mǎn)了虛假連接的初始信息，該服務(wù)器就會(huì )對接下來(lái)的連接停止響應，直至緩沖區里的連接企圖超時(shí)。如果惡意攻擊方快速連續地發(fā)送此類(lèi)連接請求，該服務(wù)器可用的TCP連接隊列將很快被阻塞，系統可用資源急劇減少，網(wǎng)絡(luò )可用帶寬迅速縮小，長(cháng)此下去，除了少數幸運用戶(hù)的請求可以插在大量虛假請求間得到應答外，服務(wù)器將無(wú)法向用戶(hù)提供正常的合法服務(wù)。

　　這個(gè)攻擊方式到今天都有很多攻擊者使用，后續的章節中我們將對此攻擊方式進(jìn)行詳細分析。

　　1.2.5 IP欺騙攻擊

　　這種攻擊利用TCP協(xié)議棧的RST來(lái)實(shí)現，使用IP欺騙迫使服務(wù)器把合法用戶(hù)的連接復位，影響合法用戶(hù)的連接。假設現在有一個(gè)合法用戶(hù)(123. 123. 123. 123)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構造攻擊的TCP數據，偽裝自己的IP為123. 123. 123. 123，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數據段。服務(wù)器接收到這樣的數據后，認為從123. 123. 123. 123發(fā)送的連接有錯誤，就會(huì )清空緩沖區中已建立好的連接。這時(shí)，合法用戶(hù)123. 123. 123. 123再發(fā)送合法數據，服務(wù)器就已經(jīng)沒(méi)有這樣的連接了，該用戶(hù)就被拒絕服務(wù)而只能重新開(kāi)始建立新的連接。

　　1.3新型DDoS攻擊分類(lèi)

　　隨著(zhù)技術(shù)的發(fā)展，很多新的防范技術(shù)和硬件層出不窮的推出，以往老舊的DoS攻擊方式已經(jīng)被淘汰了很多，極少數單一的DoS攻擊還頑強的存在著(zhù)，但是DDoS攻擊開(kāi)始取代DoS，更多新的DDoS攻擊方式出現了。

　　從技術(shù)類(lèi)別上將，目前的網(wǎng)絡(luò )情況中，DoS和DDoS當前主要有三種流行的概括性分類(lèi)。

　　1.3.1經(jīng)過(guò)升級和變化的SYN/ACK Flood攻擊。

　　這種攻擊方法是經(jīng)典最有效的DoS方法，從原理上來(lái)說(shuō)是可以通殺各種系統的網(wǎng)絡(luò )服務(wù)，因為它的技術(shù)核心是通過(guò)向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK 包，導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務(wù)。

　　原本單一的DoS攻擊比較好防御，但是攻擊者將整個(gè)攻擊方式應用到了DDoS中，利用龐大的僵尸網(wǎng)絡(luò )來(lái)發(fā)起這樣的攻擊，使整個(gè)攻擊方式的威力得打極大的提升，是今天依然很流行的一種DDoS攻擊方式。

　　1.3.2TCP全連接攻擊。

　　在很多防火墻產(chǎn)品開(kāi)始為網(wǎng)絡(luò )提供保護以后，出現了這種新的DDoS攻擊方式，可以說(shuō)它就是為了繞過(guò)或者突破常規防火墻阻擋而存在的。

　　一般情況下，常規防火墻大多具備過(guò)濾TearDrop、Land等傳統DoS攻擊的技術(shù)能力，但是他們對用戶(hù)正常的TCP連接是允許通過(guò)的，也就是說(shuō)對用戶(hù)的正常訪(fǎng)問(wèn)不限制。但是很多網(wǎng)絡(luò )服務(wù)程序，比如IIS、Apache等Web服務(wù)器能接受的TCP連接數是有限的，一旦有大量的TCP連接，即便是正常的，也會(huì )導致網(wǎng)站訪(fǎng)問(wèn)非常緩慢甚至拒絕服務(wù)無(wú)法訪(fǎng)問(wèn)。TCP全連接攻擊就是通過(guò)許多僵尸主機不斷地與被攻擊服務(wù)器建立大量的TCP連接，直到服務(wù)器的內存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)。

　　這種攻擊的特點(diǎn)是可繞過(guò)一般防火墻的防護而達到攻擊目的，缺點(diǎn)是需要找很多僵尸主機，并且由于僵尸主機的IP是暴露的，因此容易被追蹤。

　　1.3.3基于腳本的DDoS攻擊

　　基于腳本的DDoS攻擊是很新的一種攻擊技術(shù)，它主要針對的是ASP、JSP、PHP、CGI等腳本程序，利用腳本程序一般都需要調用Microsoft SQL Server、MySQL、Oracle等數據庫的情況，利用正常的腳本功能，和服務(wù)器建立絲毫沒(méi)有異常的TCP連接，不斷的向腳本程序提交查詢(xún)、列表等大量耗費數據庫資源的請求，以攻擊者極小的資源消耗，迫使服務(wù)器承受極大的運行壓力，以達到拒絕服務(wù)的目的。

　　一般來(lái)說(shuō)，用戶(hù)提交一個(gè)GET或POST請求，對用戶(hù)自己來(lái)說(shuō)，耗費和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請求卻可能要從數據庫的上萬(wàn)條記錄中去查出這個(gè)記錄，這種處理過(guò)程對資源的耗費相對于用戶(hù)來(lái)說(shuō)是比較大的,而對于用戶(hù)來(lái)說(shuō)消耗卻是很小的。因此攻擊者只需通過(guò)代理向主機服務(wù)器大量遞交查詢(xún)或者消耗資源比較大的請求，只需數分鐘就會(huì )把服務(wù)器資源消耗掉而導致拒絕服務(wù)。

　　這種攻擊的特點(diǎn)是可以完全繞過(guò)普通的防火墻防護，輕松找一些代理或者代理服務(wù)器就可實(shí)施攻擊。、

　　1.3.4穿專(zhuān)業(yè)的抗DDoS防火墻

　　這種攻擊手法是將來(lái)流行的攻擊方法，利用抗DDoS防火墻本身弱點(diǎn)發(fā)起的新型攻擊手段，都在試圖穿過(guò)抗DDoS防火墻。但現在這種技術(shù)都在圈內，不對外公布，所以知道的人了了無(wú)幾，如果這種方法及工具流出的話(huà)，將會(huì )引起一場(chǎng)安全界內的動(dòng)蕩。

　　這就是常見(jiàn)的DoS/DDoS攻擊手段，有不對不處望朋友指正。