第二百四十七章 道格拉斯的杀手锏(1/2)
其它黑客们现在是什么样的心情,反正李子锋是不知道的了,现在李子锋关心的是,国际原子能机构官网的这个防火墙。。更多 。
现在才攻破了第一层,不知道后面还有多少层的防火墙呢,李子锋很是无奈,要是一开始,就决定让小倩使用她的方法的话,那也就是一句话的时间,甚至都要不了一句话的时间就可以将这个网站给搞定了。
不过,那样的话,也太惊世骇俗了,所以,李子锋才采取这个时代的黑客们常用的手段,或者一些高明的手段,反正就没有超过这个时代的手段来对付这个网站。
这样以来,这个网站的强大,就显而易见了,这--么多的‘肉’‘鸡’同时发起攻击,但是得到的效果都没有想像中的那么好。
所以,李子锋就知道了,这个网站背后的服务器的强大了。
当然,这也并不是对方光只是服务器的强大,当然还有他们背后的管理人员同样的是强大的。
想要真正的快速的攻击对方的网络,这第一关就是发送给对方的大量数据,对方不能有效的分辨出来,或者至少不能拒绝。
李子锋使用的sfld攻击,但是对方也有着很好的防御方法。
当然,最常见的防御方法也就是大家承认的最有效果的。
李子锋使用‘肉’‘鸡’网络之中的一个用户向服务器发送了s报文后突然死机或掉线,那么国际原子能机构服务器在发出s+k应答报文后是无法收到客户端的k报文的,这种情况下服务器端一般会重试(再次发送s+k给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为。
一般来说这个时间是分钟的数量级(大约为30秒-2分钟);李子锋的一个‘肉’‘鸡’用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果李子锋使用‘肉’‘鸡’大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源,一台‘肉’‘鸡’模拟数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的pu时间和内存,何况还要不断对这个列表中的p进行s+k的重试。
实际上如果服务器的tp/p栈不够强大,最后的结果往往是堆栈溢出崩溃,即使国际原子能机构的官方服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的tp连接请求而无暇理睬客户的正常请求,毕竟客户端的正常请求比率非常之小,现在的攻击数据请求,对方都来不急处理,哪里还有时间处理其它的那些数据呢?
此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了sfld攻击,也就是s洪水攻击。
当然,这种的攻击,也是有防范措施的。
第一种就是缩短时间。
第二种方法就是设置sk,就是给每一个请求连接的p地址分配一个k,如果短时间内连续受到某个p的重复s报文,就认定是受到了攻击,以后从这个p地址来的包会被一概丢弃,直接就将认为是垃圾攻击。
还有反弹攻击时,李子锋让小倩使用‘肉’‘鸡’设置一些反弹服务器,巧妙的利用了反弹服务器群来将洪水数据包反弹给国际原子能机构的服务器。
所有的b服务器、ds服务器及路由器都是反弹服务器,他们会对报文,以及对一些p报文回应mp数据报超时或目的地不可达消息的数据报。
当然,任何用于普通目的tp连接许可的网络服务器都可以用做数据包反‘射’服务器。
防火墙几乎是最常用的安全产品,但是防火墙设计原理中并没有考虑针对dds攻击的防护,在某些情况下,防火墙甚至成为dds攻击的目标而导致整个网络的拒绝服务,现在李子锋就是这样的打算,直接使用大量的数据攻击。
首先是防火墙缺乏dds攻击检测的能力。
通常,防火墙作为三层包转发设备部署在网络中,一方面在保护内部网络的同时,它也为内部需要提供外部t服务的设备提供了通路,如果dds攻击采用了这些服务器允许的合法协议对内部系统进行攻击,防火墙对此就无能为力,无法‘精’确的从背景流量中区分出攻击流量。
虽然有些防火墙内置了某些模块能够对攻击进行检测,但是这些检测机制一般都是基于特征规则,李子锋或者小倩的‘肉’‘鸡’网络,只要对攻击数据包稍加变化,防火墙就无法应对,对dds攻击的检测必须依赖于行为模式的算法。
第二个原因就是传统防火墙计算能力的限制,传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大,现在李子锋的‘肉’‘鸡’有至少都是几十万台,每一台发送的数据都有无数,少的也有上千条数据包,多的,甚至都有几万几十万条,这样一台就有这么多的,当所有的‘肉’‘鸡’加起来的时候。
这个数据洪流的数量就不是能够计算的出来的了。
即便是对方使用的是超级服务器,但是当这个数量一但达到了一定的程度,那就有点吓人了。
而dds攻击中的海量流量会造成防火墙‘性’能急剧下降,不能有效地完成包转发的任务,服务器也就不能有效的处理了。
最好防火墙的部署位置也影响了其防护dds攻击的能力,而李子锋发现,虽然对方的服务器很好,防火墙的位置布置的也很好,至少是李子锋想不出来更
第1页完,继续看下一页