反射攻击(Reflection Flood)的原理是攻击者伪造请求,将受害者IP地址作为请求源地址并将之发往互联网中大量存在协议漏洞的反射器,利用这些协议回应包字节数远大于请求包的特点,达到反射放大流量的效果,构成对目标网络的大流量DDoS攻击。由于不需要像传统僵尸网络那样对大量的攻击源进行事先感染和控制,因此发起此类大流量攻击的代价远远小于传统的DDoS攻击。目前已知流量放大倍数最高的反射攻击是NTP反射攻击,最大可放大至556.9倍。
(我不晓得这数字咋算出来的,反射放大攻击确实可怕)
在Kali Linux下,可以使用hping3发动DoS攻击。
对了,以下介绍的攻击还可以混合着玩,肯定比单一的效果棒一些吧。
- SYN Flood
hping3 host -S --flood UDP Flood
ACK Flood
NTP Reflection Flood
NTP可放大倍数最大SSDP Reflection Flood
SSDP可用的反射器最多CHARGEN Reflection Flood
SNMP Reflection Flood
DNS Reflection Flood
URPF(Unicast Reverse Path Forwarding)
源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文,频繁访问目的地址所在设备或者主机;即使响应报文不能到达攻击者,也会对被攻击对象造成一定程度的破坏。
URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)的主要功能是用于防止基于源地址欺骗的网络攻击行为。路由器接口一旦使能URPF功能,当该接口收到数据报文时,首先会对数据报文的源地址进行合法性检查,对于源地址合法性检查通过的报文,才会进一步查找去往目的地址的转发表项,进入报文转发流程;否则,将丢弃报文。BCP 38/84策略
BCP 38文档介绍:https://tools.ietf.org/html/bcp38
BCP 84文档介绍: https://tools.ietf.org/html/bcp84服务器需及时打补丁或者升级到较新版本
- 直接关闭了本不需要开启的服务