出来源,原始数据包的样本必定是相对重要的。
反射
反射是将其他系统用作中继和/或放大攻击的机制。对于大多数攻击类型,可以在网络或应用程序级执行反射。前一种情况的目的是为了获取发送到目标的信息包数量的倍增因子。在第二种情况下,使用反射来获取(攻击者发送的数据)/(目标接收的数据)的最高可能比率。
smurfing攻击是网络反射攻击的最佳范例。基本上,它是以向一个广播地址发送ICMPECHO REQUEST 信息包来构成攻击,且有一个针对攻击目标的伪造来源。防护不周的网络可能允许存在这种广播 ping,使得网络上的每个系统都向目标发送回 ICMP ECHO REPLY 信息包。对中继网络的选择很重要。选择的中继网络必须明显允许存在广播 ping。而且,为了能够以很高的速率传输巨量 ICMP ECHO REPLY 信息包,选择的中继网络应能够提供较高的带宽。攻击的效率非常易于评估。在 256kbps 的 ADSL 上行链路中,可以每秒发送大约 1100 个 ICMP 信息包。假如中继网络“只有”50 个系统,则将在每秒内针对大约 10 Mbps 的总带宽发送 50,000 多个 ICMP 信息包来对目标进行洪水攻击。这种攻击很容易实现,任何人只要有一台标准 PC 机和宽带因特网接入,输入以下一条命令即可。
#hping3--icmp--spoof --flood
在应用程序层,攻击的目标是对目标应用程序进行洪水攻击,或者用中继主机所发送的数据来填满因特网链路。以上所述的基本DNS范例(请参阅副作用/上行链路洪水攻击)是基于应用程序的反射的极佳范例,其可用于攻击另一台DNS 服务器。因为应用程序依赖于无态协议,所以只要一条命令行便可轻易地将巨量响应(而请求很少)发送回给获得 UDP/53 数据流量授权的伪造的 DNS 服务器。
#dnsreflect
此外,最近越来越多的应用程序反射攻击依赖于供RTP(实时传输协议)用于信令用途的SIP(会话初始化协议)。为了互连SIP UA(用户代理)而在 SIP 服务器之间需要代理服务器,这意味着必须在 SIP INVITE 请求的标头中指定通信信道的末端。特别是在:“通过”字段标识必须与之建立通信页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] 第10页、共13页 |
