1. 从攻击作用机理的角度,拒绝服务攻击可以分为三类。简述这三类拒绝服务攻击的基本原理和各自主要特点。
拒绝服务攻击:泛指一切导致目标服务不可用的攻击手段,包括对物理环境、硬件、软件等各个层面所实施的破坏。
| 重定向型 | 漏洞利用 | 资源消耗 |
关键 | 协议缺陷 | 软件漏洞 | 服务占用资源 |
基本原理 | 利用网络协议的缺陷、通过修改ARP缓存、DNS缓存等网络关键参数,使目标传输的数据被重定向到错误的网络地址 | 利用软件实现中存在的漏洞,致使服务崩溃或者系统异常 | 通过大量请求占用网络带宽或系统资源,从而导致服务可用性下降甚至丧失。 |
利用方式 | ARP欺骗、DNS欺骗 | 漏洞利用程序 | 洪泛、僵尸网络 |
特点 | 条件苛刻,效果明显 | 依赖漏洞,更脆弱、效果明显 | 效果不明确、难以实现 |
防御 | 依赖静态表、防火墙、入侵检测 | 安全更新、补丁程序 | 预防、检测、响应、容忍 |
常见拒绝服务型攻击原理及行为特征:
https://blog.csdn.net/weixin_46788750/article/details/118045884
2. 从部署位置来看,拒绝服务攻击的防御可以分为攻击源端防御、目标端防御和中间网络防御。你认为拒绝服务攻击的检测在哪个位置实施效果更好?缓解在哪个位置实施效果会更好?试说明理由。
我认为拒绝服务攻击的检测放在中间网络防御位置实施效果更好。
检测作用是在攻击过程中发现攻击并区分攻击流量与正常流量。检测技术大致分为特征检测和异常检测两类。特征检测是对流量和攻击特征库进行比较,异常检测是在正常情况下的网络状态模型进行比较。这两者部署在中间网络更容易,也更能确保整体网络的通畅性,
缓解放在目标端防御位置更好。缓解可以分为响应和容忍操作。放在目标端可以有针对性的对异常进行过滤或者丢弃,相比与放在中间网络中,能更小的减少对有用数据包的剔除,而且布置在目标端成本更低。
参考数目:《网络攻防技术》
