|
 | 作者: bluecat_ [bluecat_]
 论坛用户 |
登录 |
| 最近出现了一种新的DoS攻击方法,通常用NAPTHA来表示这一类攻击。NAPTHA主要利用了操作系统TCP/IP栈和网络应用程序需要使用一定的资源来控制TCP连接的特点。如果在短时间里不断的建立大量的TCP连接,并且不断开,使其保持在某个特定的状态,那么被攻击机对应端口的程序或整个操作系统会被很快消耗大量的系统资源而陷入瘫痪。在以前攻击TCP的方式通常是利用TCP三次握手的缺陷进行SYN Flood,如果要进行建立大量连接来耗尽对方资源,恐怕自己先耗尽了自己的资源。因为,利用虚假的IP很难进行真正的连接,而建立真正的连接,自己机器系统可能同样要耗费和被攻击机差不多的资源。这样的攻击也就失去了真正的意义。而现在NAPTHA利用一些技巧实现了利用自己机器上少量的资源就可以快速建立大量连接的方法,那么就使这种攻击成为了可能。 MAPTHA是一个非常有效的利用TCP连接保持状态来耗尽系统资源的例子.它不利用传统的那些网络API来实现建立TCP连接。与真正的TCP/IP堆栈不同,它不记录任何端口的状态,它只传输和回应那些标记包, 它可以很快的在被攻击机上建立成千上万的连接,而在攻击机上占用非常少的资源。那么它就能很容易的暴露并利用对方机器上特定服务程序或系统在TCP连接处理上的漏洞。 下面是几个例子: - Novell's Netware 5.0 sp1 在524端口打开3000个连接后,所有的64M内存被耗尽,CPU 负荷达到100%. 在停止攻击12个小时后,服务器仍然没有复位连接和恢复内存。 - FreeBSD 4.0-REL 在SSH端口打开495个连接后,系统陷入瘫痪。由于每一个连接都打开一个实例,使得系统的文件句柄很快耗光,系统报错:"too many open files in system". 差不多 30 分钟后连接开始复位,系统开始恢复。 - Windows 2000 看起来并不受影响。 建议: 不幸的, 还有许多系统都不同程度的受到NAPTHA攻击的影响, 在这有一些小小的系统设置方面的建议 1. 限制开启的服务,尤其是那些易受到NAPTHA影响的服务。 2. 在unix系统里限定inetd产生的进程占用系统资源的大小。 3. 调整内核TCP默认连接参数。 # cat /proc/sys/net/ipv4/tcp_keepalive_time 7200 # cat /proc/sys/net/ipv4/tcp_keepalive_probes 9 # cat /proc/sys/net/ipv4/tcp_max_ka_probes 5 # echo 30 > /proc/sys/net/ipv4/tcp_keepalive_time # echo 2 > /proc/sys/net/ipv4/tcp_keepalive_probes # echo 100 > /proc/sys/net/ipv4/tcp_max_ka_probes 6. 可以用下列指纹利用ids系统侦测这种攻击。 IP: TOS = Low Delay ID = 413 TCP: FLAGS = SYN SEQ ID = 6060842 WINDOW = 512 在Snort (http://www.snort.org) 中填加 Naptha过滤规则: alert tcp any any <> any any (flags:S; seq: 6060842; id: 413; msg: "NAPTHA DoS Attack";) 觉得好的就顶.................!!! |
| 地主 发表时间: 04-08-15 23:42 |
| 回复: bluecat_ [bluecat_] 论坛用户 |
登录 |
|
没人顶吗? 这篇文章不长哦........ |
| B1层 发表时间: 04-08-16 00:15 |
| 回复: Killu [collimator]  论坛用户 |
登录 |
|
我来顶顶 看不太懂也顶了 |
| B2层 发表时间: 04-08-30 12:33 |
 | 回复: prettywolf [prettywolf]  论坛用户 |
登录 |
|
我只对如何攻击感兴趣, 不过你没说到. |
| B3层 发表时间: 04-08-30 22:30 |
| 回复: susttt [susttt]  论坛用户 |
登录 |
|
转贴也不注明出处,太对不起作者了 |
| B4层 发表时间: 04-08-31 14:21 |
 | 回复: dongh [dongh]  论坛用户 |
登录 |
|
TOP |
| B5层 发表时间: 04-08-31 14:49 |
 | 回复: uljeeqg [uljeeqg] 论坛用户 |
登录 |
|
我刚学不是很懂!! 还是顶一下 |
| B6层 发表时间: 04-08-31 16:46 |
| 回复: usp45acp [usp45acp] 论坛用户 |
登录 |
|
有点意思,顶 |
| B7层 发表时间: 04-08-31 18:58 |
 | 回复: w9d2g3hbc8 [w9d2g3hbc8]  论坛用户 |
登录 |
|
顶起``````看得过眼的顶``````` |
| B8层 发表时间: 04-09-06 12:52 |
| 回复: clark008 [clark008]  论坛用户 |
登录 |
|
顶一下吧。。。给你点面子。。。。 |
| B9层 发表时间: 04-09-06 19:37 |
| 回复: winson [zzmvn20] 论坛用户 |
登录 |
|
我叼 原来 这样啊哎 真系地   |
| B10层 发表时间: 04-09-08 12:57 |
| 回复: telnet3389 [telnet3389] 论坛用户 |
登录 |
|
真的是很错的贴子 不顶对不起党啊 |
| B11层 发表时间: 04-09-08 15:02 |
| 回复: lijingxi [lijingxi] 见习版主 |
登录 |
|
我和大家一样 也看不懂! |
| B12层 发表时间: 04-09-09 08:17 |
 | 回复: hezhang5 [hezhang5] 论坛用户 |
登录 |
|
俺是个菜鸟,也来顶一下! |
| B13层 发表时间: 04-09-12 23:13 |
| 回复: LionD8 [liond8] 论坛用户 |
登录 |
|
NAPTHA 比较老了。这是四哥的。 :) |
| B14层 发表时间: 04-09-13 14:47 |
| 回复: dearsohucom [dearsohu] 论坛用户 |
登录 |
|
讲得好,又学了一招,但不会用 |
| B15层 发表时间: 04-09-13 16:29 |
 | 回复: tabris17 [tabris17] 论坛用户 |
登录 |
|
一般的服务都有限制最大连接数的 |
| B16层 发表时间: 04-09-13 21:48 |
| 回复: bchwd [bchwd] 论坛用户 |
登录 |
|
顶!! |
| B17层 发表时间: 04-09-14 14:24 |
 | 回复: zqpd [zqpd] 论坛用户 |
登录 |
|
告诉我怎么顶!!!!!!!!!!!!!!!! |
| B18层 发表时间: 04-09-15 08:54 |
 | 回复: NetMySky [cg2327] |
登录 |
|
小弟有一些想法不知有没有用! 那就是:在提供的服务里限制一个IP的最大连接数, 对于隐藏IP的攻击者用更严格的限制. |
| B19层 发表时间: 04-09-15 09:11 |
| 回复: lyhaxjh [lyhaxjh] 论坛用户 |
登录 |
|
我也不知道怎么顶啊,因为我也基本上没有看懂!!!!!晕 |
| B20层 发表时间: 04-09-15 21:24 |
| 回复: hackerjune [hackerjune] 论坛用户 |
登录 |
 顶 |
| B21层 发表时间: 04-09-18 16:54 |
| 回复: baifengs [baifengs] 论坛用户 |
登录 |
|
这个还可以吧,不过我还没有完全明白呢! |
| B22层 发表时间: 04-09-19 16:46 |
| 回复: tabris17 [tabris17] 论坛用户 |
登录 |
|
这种方法无法伪造IP,所以只要在防火墙上作简单的过滤就行了 [此贴被 四不象(tabris17) 在 09月21日11时53分 编辑过] |
| B23层 发表时间: 04-09-20 09:21 |
| 回复: hackerjune [hackerjune] 论坛用户 |
登录 |
 |
| B24层 发表时间: 04-09-25 16:33 |
 | 回复: soar [soar] 论坛用户 |
登录 |
|
我是新来的,看不懂 但是我要顶 |
| B25层 发表时间: 04-09-29 15:11 |
 | 回复: tom_grace [tom_grace] 论坛用户 |
登录 |
|
不好意思,我是来找楼主的! 嘿,是你吗! 不好意思,前段时间出差,没怎么上网。 可是最近好象也很少见你,是不是开学了! 对了,我想问一下我上次给你的我的MSN的帐户是什么,那是我新申请的,这么几天没用我就忘掉了! 你有的话给我!谢谢了! |
| B26层 发表时间: 04-09-30 11:40 |
| 回复: abctm [abctm]  版主 |
登录 |
楼主知道20cnddos工具原理不,这个也算一个新的ddos方法吧 |
| B27层 发表时间: 04-09-30 18:05 |
 | 回复: aixingxing [aixingxing] 论坛用户 |
登录 |
|
什么是顶呀? |
| B28层 发表时间: 04-10-02 15:07 |
| 回复: lianjl [lianjl] 论坛用户 |
登录 |
|
长知识了。谢谢! |
| B29层 发表时间: 04-10-05 23:11 |
| 回复: bluecat_ [bluecat_] 论坛用户 |
登录 |
|
猩猩啊猩猩 你看看发贴的时间 再看看那我们的DDOS的创造时间 比你先出 |
| B30层 发表时间: 04-10-08 12:44 |
| 回复: ahk [ahk] 论坛用户 |
登录 |
|
顶 |
| B31层 发表时间: 04-10-10 08:30 |
| 回复: TMDSB [tmdsb] 论坛用户 |
登录 |
|
还可以吧 有没有全dos攻击方式呀! |
| B32层 发表时间: 04-12-18 18:49 |
| 回复: qmdjzgqt [qmdjzgqt] 论坛用户 |
登录 |
|
哈哈.... 找到菜园子了! |
| B33层 发表时间: 04-12-18 20:10 |
| 回复: xingyun [xingyun] 论坛用户 |
登录 |
|
看不懂 |
| B34层 发表时间: 04-12-21 15:53 |
| 回复: yizeyu [yizeyu] 论坛用户 |
登录 |
|
不知其意,不解其意,不明白但是我感觉是一篇好东西,谢谢,酒后乱侃,请勿见怪 |
| B35层 发表时间: 04-12-22 11:36 |
| 回复: xingyun [xingyun] 论坛用户 |
登录 |
 |
| B36层 发表时间: 04-12-25 21:16 |
| 回复: thinbug31 [thinbug31] 论坛用户 |
登录 |
|
我这里有些机子受了SYN FLOODER攻击后~~~就算你换了系统他还没有被停止 |
| B37层 发表时间: 04-12-27 07:37 |
| 回复: msbtx [msbtx] 论坛用户 |
登录 |
|
搞不裸清楚,不懂,顶~ |
| B38层 发表时间: 04-12-29 19:58 |
| 回复: ymck [ymck] 论坛用户 |
登录 |
|
不懂.. 顶一下吧! |
| B39层 发表时间: 04-12-30 22:05 |
 | 回复: millilitre [millilitre] 论坛用户 |
登录 |
|
呵呵 |
| B40层 发表时间: 04-12-31 10:52 |
| 回复: Nebulae [xingyun] 论坛用户 |
登录 |
|
顶呀 |
| B41层 发表时间: 05-01-08 08:43 |
| 回复: sky2003 [sky2003] 论坛用户 |
登录 |
呵呵,不错的 |
| B42层 发表时间: 05-01-08 11:52 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 黑客进阶 标题: 新的DOS攻击方法........`