2.攻擊目的:
這類攻擊的主要目的是「干擾正常的業務運作」。當網絡設備被過多的虛假請求淹沒後,它將無法合理地回應正當用戶的請求,進而導致業務運行的中斷。
3.影響企業的正常運作:
當組織無法進行正常的商業操作時,會帶來「金錢和時間上的損失」。這意味著經濟損失可能來自客戶無法訪問服務或產品,從而影響收入及商譽。
4.引發的後續安全隱患:
除了經濟損失,系統崩潰後,企業還會面臨「其他安全威脅和攻擊的脆弱性」。這表示,在遭受拒絕服務攻擊後,系統可能更容易受到其他類型的攻擊(例如數據洩露或惡意軟件攻擊),從而增加了安全風險。
分散式拒絕服務攻擊(DDoS):這種攻擊方式不僅依賴單一來源,還使用多個設備multiple devices or servers in different locations 來增強攻擊的效果。這樣的配置增加了流量超過目標伺服器處理能力的概率,進而達到攻擊目的。
| common network level DoS attacks | 定義 | 攻擊的描述 |
|---|---|---|
| DoS 攻擊 (Denial of Service) | 一種攻擊方式,目標是針對網絡或伺服器,透過大量的網絡流量使其超載,從而中斷正常業務運作。攻擊目的是發送大量信息,讓網絡設備崩潰或無法回應合法用戶,導致業務停擺並可能造成金錢和時間的損失。 | |
| DDoS 攻擊 (Distributed Denial of Service) | 一種特殊的 DoS 攻擊,利用多個位於不同地點的設備或伺服器來向目標網絡發送大量流量。由於使用了多個設備,總流量更可能壓垮目標伺服器,進一步中斷網絡運作。 | |
| SYN 洪水攻擊 (SYN Flood Attack) | TCP連接的「握手過程」。這是建立TCP連接的必經步驟,其中裝置首先向伺服器發送一個SYN請求。伺服器接收到此請求後,回覆一個SYN/ACK封包以確認收到請求,並開啟一個端口來等待最終的ACK封包。一旦伺服器收到了最後的ACK封包,TCP連接就會建立成功。 | 在這個攻擊的情境中,惡意攻擊者可以利用這一協議的性質,通過不斷向伺服器發送SYN請求來淹沒伺服器。這樣一來,伺服器的可用端口數量就會被迅速耗盡,若SYN請求的數量超過伺服器所能處理的端口數量,這將導致伺服器無法正常運行,最終造成服務中斷。 |
| ICMP 洪水攻擊 (ICMP Flood Attack) | ICMP是一種網際網路協議,用於設備之間告知彼此有關網絡上數據傳輸錯誤的信息,通過 ICMP,設備可就網路狀態進行「狀態更新」,以確保數據的穩定傳輸。 | 攻擊者不斷向伺服器發送 ICMP 封包,迫使伺服器回應 ICMP 封包,最終耗盡網絡帶寬,導致伺服器崩潰。 |
| 死亡之Ping (Ping of Death) | 攻擊者透過發送一個超過 64 KB 的 ICMP 封包來「ping」系統,這個大小超過了正確格式的 ICMP 封包的最大限制。當脆弱的網絡伺服器接收到這種過大的 ICMP 封包時,將會超載系統,導致系統崩潰。 | 「將一塊石頭掉在小蟻丘上」,小蟻能夠運載一定量的食物,但如果掉下大石,許多蟻蟲會被壓死,蟻丘的功能將無法正常進行,直到重新建立運作。這個比喻清楚地展示了「ping of death」攻擊如何摧毀正常運作的系統及其後果。| |
SolarWinds NetFlow 流量分析儀
ManageEngine OpManager
Azure 網路監控者
Wireshark
tcpdump
tcpdump 是一款命令行網路協議分析器,使用開源的libpcap函式庫,輕量化且低CPU使用率。它可在各種Unix系統上安裝,包括macOS,許多Linux發行版上預先安裝。tcpdump提供簡單的封包分析,將網路流量的關鍵資訊轉換為易於閱讀的格式,並將每個封包的信息直接顯示在終端上,包括來源IP地址、目的IP地址和使用的端口號。
tcpdump 輸出的內容:當執行命令時,tcpdump 將抓取到的數據包輸出至命令列,並可以選擇性地存儲到日誌文件中。這些數據包的輸出包含了許多關於網絡流量的重要資訊。
重要資訊
2.源 IP (Source IP):數據包的來源將顯示其源 IP 地址。這有助於識別數據的來源設備或伺服器。
4.目的 IP (Destination IP):顯示數據包傳送的目標 IP 地址,幫助確定數據包要送到哪裡。
5.目的埠 (Destination port):與目的 IP 相對,這是接收數據包的服務所用的埠號。
tcpdump 及類似的工具可以持續監控網路上的數據傳輸。透過捕獲數據包,使用者能夠實時查看傳輸的資料,這對於理解網路的運作非常重要。
這些工具可用於收集關於網路性能的統計數據,這包括請求的頻率、響應時間等,幫助網路管理員尋找可能的性能問題,並進行必要的調整。
分析正常情況下的網路流量模式,可以幫助使用者識別出不尋常的活動,這對於安全監控來說至關重要。建立基線後,任何偏離正常範圍的情況都會引起注意。
使用 tcpdump 等工具可以有效識別出網路中的異常行為,比如病毒、木馬等惡意軟體的活動模式,或遭受攻擊的跡象,有助於提高網路安全。
使用者可以根據需要設置自動警報,以便在出現網路問題或安全威脅時,可以立即收到通知,這樣能夠迅速反應,有助於問題的及時解決。
tcpdump 也能協助識別那些未經授權的即時通訊流量或不安全的無線接入點,這對維持網路安全極為重要,預防數據洩露。
iThome鐵人賽
看影片追技術
看更多
yennefer
