暗网潜航——DDoS(三):魑魅魍魉(六)
庞博文
2020-12-07 04:17 HKT
字体大小
应用层DDoS攻击,比网络层攻击更难以抵抗。在了解这种攻击手法前,应紧记最重要的抵挡方式,就是在开发软件时要考虑应用的安全性。如果先天不足,我们仍有其他工具可以倚靠,例如程式码漏洞扫描器、流量检查监控,以及隔离/检测沙盒等。至于大家略有认知的防火墙保护机制,其实是有分网络层和应用程式层两种,防御机制及规则设置都有很大分别,网络层防火墙无法抵挡应用层DDoS攻击,两者不能混为一谈。最后,如果有厂商通知你,应用程式需要更新或补丁,那就应该补丁、补丁再补丁,否则我保证你一定会后悔。
做好基本预防措施,就可以开始了解各种应用层攻击。第一种是「边界闸道协议绑架攻击」。边界闸道协议用作协调路由器之间的路径,建构路由器路径列表,令我们的网络得以连结。正因为这些路由器之间的路径可以引导流量,所以攻击者将IP前缀稍作修改,就可以错误引导所有流量脱离原本目的地,并由攻击者控制及转移至目标伺服器中,令其短时间遭受大量流量冲击。
另一种是「低速和慢速攻击」。网络上每一台电脑和伺服器的连接时,都有时间限制,太长的话就会掉线,也就是常常见到的Connection TimeOut。伺服器决定是否TimeOut前,会对连接要求封包并进行检查,期间会消耗一定资源和时间。有些攻击者利用有关机制漏洞,故意制作一些低或是极高速率的数据封包,与正常流量混合。伺服器取得这些有问题的流量,被迫不断检测低速率连接要求封包,或在短时间被极高速率连接要求封包冲击,引致系统崩溃。这种攻击最恐怖的地方,就是有问题的封包混合在正常数据流里面,非常难以分离。
应用层DDoS攻击又岂止于此,下周笔者会再谈谈其他更有趣的攻击手法。
TOZ联合创办人
庞博文
做好基本预防措施,就可以开始了解各种应用层攻击。第一种是「边界闸道协议绑架攻击」。边界闸道协议用作协调路由器之间的路径,建构路由器路径列表,令我们的网络得以连结。正因为这些路由器之间的路径可以引导流量,所以攻击者将IP前缀稍作修改,就可以错误引导所有流量脱离原本目的地,并由攻击者控制及转移至目标伺服器中,令其短时间遭受大量流量冲击。
另一种是「低速和慢速攻击」。网络上每一台电脑和伺服器的连接时,都有时间限制,太长的话就会掉线,也就是常常见到的Connection TimeOut。伺服器决定是否TimeOut前,会对连接要求封包并进行检查,期间会消耗一定资源和时间。有些攻击者利用有关机制漏洞,故意制作一些低或是极高速率的数据封包,与正常流量混合。伺服器取得这些有问题的流量,被迫不断检测低速率连接要求封包,或在短时间被极高速率连接要求封包冲击,引致系统崩溃。这种攻击最恐怖的地方,就是有问题的封包混合在正常数据流里面,非常难以分离。
应用层DDoS攻击又岂止于此,下周笔者会再谈谈其他更有趣的攻击手法。
TOZ联合创办人
庞博文
最Hit
中九龙绕道(油麻地段)通车!九巴增2条特快线33X、252S 屯门、荃湾直接往返东九龙 不经黄大仙、龙翔道
2025-12-16 18:29 HKT
新闻女王2丨三金男配袁富华「教材级变脸」演技封神!网民洗版式激赞:连牙都识做戏
2025-12-16 20:00 HKT
更多文章