什么是泛洪
洪泛,一般人會想到洪水的泛濫�����!但是在通信工程中���,洪泛(Flooding�,也叫泛洪)��,是指交換機(jī)和網(wǎng)橋使用的一種數(shù)據(jù)流傳遞技術(shù)�����,將從某個接口收到的數(shù)據(jù)流向除該接口之外的所有接口發(fā)送出去�����,它不要求維護(hù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和相關(guān)的路由計算��,僅要求接收到信息的節(jié)點(diǎn)以廣播方式轉(zhuǎn)發(fā)數(shù)據(jù)包���,直到數(shù)據(jù)傳送至目標(biāo)節(jié)點(diǎn)或者數(shù)據(jù)設(shè)定的生存期限(TTL,Time To Live)為0為止�����。
泛洪的過程一般指交換機(jī)根據(jù)收到數(shù)據(jù)幀中的源MAC地址建立該地址同交換機(jī)端口的映射��,并將其寫入MAC地址表中�。交換機(jī)將數(shù)據(jù)幀中的目的MAC地址同已建立的MAC地址表進(jìn)行比較,以決定由哪個端口進(jìn)行轉(zhuǎn)發(fā)���。如數(shù)據(jù)幀中的目的MAC地址不在MAC地址表中���,則向所有端口轉(zhuǎn)發(fā)。
泛洪攻擊的種類
由于洪泛是從某個接口收到的數(shù)據(jù)流向除該接口之外的所有接口�����,于是攻擊者就可以通過對網(wǎng)絡(luò)資源發(fā)送過量數(shù)據(jù)時就發(fā)生了洪水攻擊�,這個網(wǎng)絡(luò)資源可以是router,switch�����,host���,application等�。常見的泛洪攻擊種類分為,SYN�����、DHC以及ARP報文泛洪攻擊���。
SYN攻擊利用TCP協(xié)議的特性,也就是三次握手機(jī)制�����,攻擊者利用偽造ip地址發(fā)送TCP SYN(SYN即TCP三次握手的第一個數(shù)據(jù)包)���,當(dāng)服務(wù)器返回ACK后�����,該攻擊者不對之進(jìn)行確認(rèn)�����,該TCP鏈接則處于掛起狀態(tài)��,則半鏈接狀態(tài)�����,服務(wù)器收不到確認(rèn)信息�����,則會重復(fù)發(fā)送ACK�,這樣就能起到消耗服務(wù)器資源的作用,當(dāng)攻擊者發(fā)生大量該類TCP鏈接時����,服務(wù)器由于無法完成三次握手持續(xù)消耗CPU和內(nèi)存最終導(dǎo)致死機(jī),不過該方法可以通過路由器的TCP攔截功能進(jìn)行保護(hù)���。
DHCP報文泛洪攻擊�����,用戶惡意利用工具偽造大量DHCP報文發(fā)送到服務(wù)器��,惡意耗盡了IP資源����,阻擋正常用戶無法獲得IP���,另一方面,如果交換機(jī)上開啟了DHCP Snooping功能��,會將接收到的DHCP報文上送到CPU��,因此大量的DHCP報文攻擊設(shè)備會使DHCP服務(wù)器高負(fù)荷運(yùn)行�,甚至?xí)?dǎo)致設(shè)備癱瘓�����,當(dāng)然服務(wù)器一端的協(xié)議棧會留一塊緩沖區(qū)來處理“握手”過程中的信息交換�����,但是大量半連接掛起足以耗盡服務(wù)器資源�����。
ARP報文泛洪類似DHCP泛洪�,同樣是惡意用戶發(fā)出大量的ARP報文,造成設(shè)備的ARP表項溢出����,影響正常用戶的轉(zhuǎn)發(fā)。
洪泛攻擊的攻擊方法
除了以前攻擊種類����,攻擊方法還包括���,ICMP泛洪,ICMP反射泛洪�,TCP LAND,UDP FLOOD死亡之ping�,MAC泛洪以及DDOS和最后應(yīng)用程序泛洪等。
ICMP泛洪(ICMP flood)���,用戶利用ICMP報文進(jìn)行攻擊�����,攻擊者向目標(biāo)主機(jī)發(fā) 送大量的ICMP ECHO報文產(chǎn)生ICMP泛洪�����,主機(jī)由于需要處理大量該類報文導(dǎo)致時間資源被大量占用后無法處理正常請求����,從而達(dá)到攻擊的手法���。
ICMP泛洪����,Smurf IP利用廣播地址發(fā)送ICMP包,一旦廣播被該區(qū)域內(nèi)主機(jī)回應(yīng)���,這些發(fā)包都會回應(yīng)給偽裝IP地址���,而偽裝IP地址可以為任何地址,黑客若是不停發(fā)送該類發(fā)包���,就會造成Dos攻擊。
TCP LAND攻擊�,都是通過發(fā)送請求連接的TCP SYN報文而實現(xiàn)對目標(biāo)主機(jī)的攻擊,但是不同的是����,LAND發(fā)送的是經(jīng)過精心構(gòu)造的欺騙數(shù)據(jù)包,且源IP地址和目的IP地址是相同的��,由于發(fā)送地ip與接收IP都是自己���,因為這個ACK 報文就會出現(xiàn)發(fā)送給自己的現(xiàn)象�,致使缺乏相應(yīng)防護(hù)機(jī)制的目標(biāo)設(shè)備癱瘓�����,該方法早在1997年被人以“m3lt”的名稱提出,后在Windows Server 2003��、Windows XP SP2等操作系統(tǒng)中重現(xiàn)�。
UDP FLOOD泛洪原理與ICMP類似,只不過發(fā)送的是UDP報文�����。
死亡之ping則利用的是早期路由器對包的最大尺寸限制����,通過操作系統(tǒng)對TCP/IP棧的實現(xiàn)為ICMP包上規(guī)定64KB的上限限制,通過超過上限導(dǎo)致出現(xiàn)�����,內(nèi)存分配錯誤�,導(dǎo)致TCP/IP堆棧崩潰,致使接受方宕機(jī)�。
MAC泛洪發(fā)生在OSI第二層,攻擊者進(jìn)入LAN內(nèi)��,將假冒源MAC地址和目的MAC地址將數(shù)據(jù)幀發(fā)送到以太網(wǎng)上導(dǎo)致交換機(jī)的內(nèi)容可尋址存儲器(CAM)滿掉,然后交換機(jī)失去轉(zhuǎn)發(fā)功能����,導(dǎo)致攻擊者可以像在共享式以太網(wǎng)上對某些幀進(jìn)行嗅探,這種攻擊可以通過端口安全技術(shù)方式�,比如端口和MAC地址綁定。
DDos發(fā)生在OSI第三���、四層�,攻擊侵入許多因特網(wǎng)上的系統(tǒng)���,將DDos控制軟件安裝進(jìn)去���,然后這些系統(tǒng)再去感染其它系統(tǒng)��,通過這些代理��,攻擊者將攻擊指令發(fā)送給DDos控制軟件���,然后這個系統(tǒng)就去控制下面的代理系統(tǒng)去對某個IP地址發(fā)送大量假冒的網(wǎng)絡(luò)流量�,然后受攻擊者的網(wǎng)絡(luò)將被這些假的流量所占據(jù)就無法為他們的正常用戶提供服務(wù)了�����。
最后應(yīng)用程序泛洪發(fā)生在OSI第七層,目的是消耗應(yīng)用程序或系統(tǒng)資源�,比較常見的應(yīng)用程序泛洪是什么呢?沒錯��,就是垃圾郵件���,但一般無法產(chǎn)生嚴(yán)重的結(jié)果����。其它類型的應(yīng)用程序泛洪 ��。
相關(guān)區(qū)別介紹
廣播幀�����,在所有網(wǎng)絡(luò)中�,廣播幀是不可避免的,它都會以”FF.FF.FF.FF.FF.FF”幀格式存在�,假設(shè)發(fā)射端無法確定B接收端的位置,就需要向網(wǎng)絡(luò)發(fā)射一個ARP用以確認(rèn)B的MAC地址����,這個請求便是廣播包。
但是,泛洪雖然與MAC列表相關(guān)���,在緩存中是存在的�,有確定的MAC地址�。只有在MAC表中找不到具體轉(zhuǎn)發(fā)的端口和MAC的配對,才會開始泛洪處理���,但是泛洪并不是廣播幀�����,泛洪操作廣播的是普通數(shù)據(jù)幀而不是廣播幀�����,廣播是向同一子網(wǎng)內(nèi)所有的端口(包括自己的那個端口)發(fā)送消息��;泛洪只是在所有的端口中不包括發(fā)送消息的(自己的)那個端口發(fā)送消息����。
素材引用來源自:百度百科-洪泛,泛洪
在線咨詢
聯(lián)系電話