作者 主題: 請教網路溝通/防護概念問題  (閱讀 4059 次)

0 會員 與 1 訪客 正在閱讀本文。

test4321

  • 憂鬱的高中生
  • ***
  • 文章數: 95
    • 檢視個人資料
請教網路溝通/防護概念問題
« 於: 2011-12-23 16:15 »
Dear Alll

小弟最近在跟朋友討論防護問題, 心中有有幾個問題想請教大家

1. tcp/udp 這兩種通訊協定, tcp是在傳輸的過程中會檢查對方是否有收到, udp並不會, 請問這觀念正確!? 還是那邊需要修正!?

2. 通常hack在使用 Ddos 拼命的仍出 sync 封包給一台主機, 這時後主機是不是會因為要回應這些封包開始吃主機的記憶體!?

3. 通常Web Server受到的連續要求開啟網頁, 這種攻擊模式, 它是走通訊協定 tcp ?

4. 什樣的服務會受到udp的洪水攻擊!? 難到只有windows 445 port ?

5. 如果在未探知網路Server 有使用何種服務的情況下, 一樣對這主機丟封包, 它會掛!?, 還是說頂多它的頻寬被塞住!? 又或者是它跟本不會受影響!?


aizr1212

  • 可愛的小學生
  • *
  • 文章數: 11
    • 檢視個人資料
Re: 請教網路溝通/防護概念問題
« 回覆 #1 於: 2011-12-23 18:16 »
Dear Alll

小弟最近在跟朋友討論防護問題, 心中有有幾個問題想請教大家

1. tcp/udp 這兩種通訊協定, tcp是在傳輸的過程中會檢查對方是否有收到, udp並不會, 請問這觀念正確!? 還是那邊需要修正!?

2. 通常hack在使用 Ddos 拼命的仍出 sync 封包給一台主機, 這時後主機是不是會因為要回應這些封包開始吃主機的記憶體!?

3. 通常Web Server受到的連續要求開啟網頁, 這種攻擊模式, 它是走通訊協定 tcp ?

4. 什樣的服務會受到udp的洪水攻擊!? 難到只有windows 445 port ?

5. 如果在未探知網路Server 有使用何種服務的情況下, 一樣對這主機丟封包, 它會掛!?, 還是說頂多它的頻寬被塞住!? 又或者是它跟本不會受影響!?

1.  TCP為了保證不發生丟包,就給每個位元組一個序號,同時序號也保證了傳送到接收端實體的包的按序接收。然後接收端實體對已成功收到的位元組發回一個相   應的確認(ACK) ,但UDP一旦傳送資料出去,就不做數據備份,所以udp也不會有重傳的機制但tcp會!! 所以為啥說tcp是可靠傳輸,就是因為有回傳機制.

2.   不只是單吃記憶體  而是記憶體、磁碟空間以及網路頻寬 都會有影響 !!   主要的目的是要你的伺服器瞬間超過所能允許最大連線數,讓伺服器不堪負載癱瘓.

3.  是!! tcp 通訊 !!  像是  80 port ~~

4. 比較常見會對 Internet 開放的幾個UDP服務, 例如
    DNS UDP/53
    NTP UDP/123
    IKE UDP/500
    SIP UDP/5060
   L2TP UDP/1701

5. 如果只是一般的 ping 當然不會怎樣  .....   但如在一秒內丟10000個封包 就會有點塞了......   :)

test4321

  • 憂鬱的高中生
  • ***
  • 文章數: 95
    • 檢視個人資料
Re: 請教網路溝通/防護概念問題
« 回覆 #2 於: 2011-12-23 20:52 »
感謝解惑

另外在請教, 如果今天不是用ping 而是不管你這主機有沒有開53port我都一樣用udp 洪水攻擊法攻擊53port
請問這樣子我主機應該不會掛, 但我的頻寬一樣會被這些封包塞住!?

網路上有所謂的ping death的攻擊方式, 那這跟tcp/udp的洪水攻擊有何不同?

aizr1212

  • 可愛的小學生
  • *
  • 文章數: 11
    • 檢視個人資料
Re: 請教網路溝通/防護概念問題
« 回覆 #3 於: 2011-12-23 21:35 »
感謝解惑

另外在請教, 如果今天不是用ping 而是不管你這主機有沒有開53port我都一樣用udp 洪水攻擊法攻擊53port
請問這樣子我主機應該不會掛, 但我的頻寬一樣會被這些封包塞住!?

網路上有有所謂的ping death的攻擊方式, 那這跟tcp/udp的洪水攻擊有何不同?

1. 如果53port都已經沒開了,攻擊會有效嗎? 封包到達時發現沒有開53port的服務,封包就丟棄囉~~~ 

    你的頻寬如果不夠大, 就會變慢. 因為要接受很多的連線!!

    資訊安全領域中,有一句話 "沒有用的port , 就不要開!!! " 就是這個原因唷!!!

2. 其實您在網上有找的 所謂的ping death的攻擊方式 , 那也是DDoS攻擊種類的一種, ping death 也是利用 icmp 的方式 將被害者的頻寬佔滿 , 但這種方式的
 
    攻擊者通常是用網路上最常見的Ping工具程式運作. 您說的洪水攻擊也是如此的方法 , 但它加上偽造來源位址 , 利用多部主機(僵屍電腦)達成,這樣封包就會有如洪水

     一般向攻擊者湧去 .  其實這些方法的目的只有一個就是要使對方 " 癱瘓 " 如此而已.    :) 
« 上次編輯: 2011-12-23 22:21 由 aizr1212 »

蜜蜂

  • 活潑的大學生
  • ***
  • 文章數: 277
  • 性別: 男
    • 檢視個人資料
Re: 請教網路溝通/防護概念問題
« 回覆 #4 於: 2011-12-25 00:02 »
網路上有所謂的ping death的攻擊方式, 那這跟tcp/udp的洪水攻擊有何不同?
只是使用的手法不同, 但目的都是癱瘓目標的服務.

要指正一下, 樓上說的 ping death 手法, 並不是用頻寬佔滿的方式攻擊喔, 而是利用 TCP/IP stack buffer overflow 的弱點.

來作個名詞解釋, 說明一下幾個利用 ICMP 的攻擊手法,
1. Ping of death:  傳送封包長度超過 65535 Bytes 的 ICMP echo request 封包到攻擊目標,  這樣的封包經過切割 (fragment) 成多個封包,
                             傳送到目的端後, 目地端進行 IP 封包重組後. 結果是個長度超過 65535 Bytes 的 IP 封包, 就可能造成目地端的接收 buffer
                             overflow, 導致其 TCP/IP stack 運作異常或 crash. 不過這個弱點, 現在的 OS 都已經 fixed, 所以這種攻擊已經很少了.

                             所以這種攻擊, 不歸類為 洪水攻擊(flooding).

2. Ping of flood:    簡單的說就是用超過目地端能負荷的大量 ICMP echo request 封包灌爆目地端. 所謂灌爆可能是目地端的封包處理能力,
                             也可能是頻寬.

3. Smurf:               傳送大量的假造的 ICMP echo request 封包到被攻擊目標的網路廣播位址, 該封包假造 source IP 是被攻擊目標的 IP
                             address. 所以當被攻擊目標同個 IP network 的所有人, 都會回覆 ICMP replay 封包給被攻擊目標. 造成 N 倍加成的
                             封包量去攻擊目地端. 一樣可造成灌爆目地端的封包處理能力, 或是頻寬.