攻击与防御简介

SYN Flood攻击

原理：
SYN Flood攻击利用的是TCP协议的三次握手机制。在正常的TCP连接建立过程中，客户端发送一个SYN（同步序列编号）报文给服务器，服务器回应一个SYN-ACK（同步和确认）报文，然后客户端再发送ACK（确认）报文完成握手。在SYN Flood攻击中，攻击者发送大量的SYN报文，但不完成最后的ACK步骤，导致服务器维护大量未完成的半开连接，耗尽资源。

防御：
1. 源探测：通过发送带有错误确认号的SYN+ACK报文来验证连接的有效性。如果客户端没有响应RST报文，则认为该SYN报文是恶意的。
2. SYN Cookie：服务器在响应SYN报文时使用SYN Cookie技术，这样即使攻击者发送大量SYN报文，也不会消耗太多资源。
3. 连接队列限制：限制等待完成握手的连接队列长度，超过限制的连接请求将被丢弃。

UDP Flood攻击

原理：
UDP Flood攻击通过发送大量的UDP数据包给目标服务器，消耗其带宽资源。由于UDP是无连接的，服务器必须处理每个到达的数据包，导致正常流量被淹没。

防御：
1. 限流：通过设置防火墙规则，对UDP流量进行限制，超过阈值的数据包将被丢弃。
2. 指纹学习：防火墙可以学习正常的流量特征，当检测到与正常流量特征不符的数据包时，将其视为攻击流量并进行处理。
3. 应用层防护：使用应用层防火墙或负载均衡器来分散UDP流量，减轻单个服务器的压力。

ICMP Flood攻击

原理：
ICMP Flood攻击通过发送大量的ICMP请求（例如ping请求）给目标主机，迫使其处理并响应，从而消耗资源。

防御：
1. 限制ICMP流量：在防火墙上设置规则，限制ICMP流量的速率和数量。
2. 过滤无效ICMP请求：识别并过滤掉无效或异常的ICMP请求，如不完整的ICMP数据包。
3. 使用入侵检测系统（IDS）：部署IDS来监控和分析ICMP流量，及时发现并响应攻击。

DNS Flood攻击

原理：
DNS Flood攻击通过向DNS服务器发送大量的不存在的域名解析请求，使服务器资源耗尽，无法处理正常的域名解析请求。

防御：
1. **缓存无效请求**：DNS服务器可以缓存对不存在域名的响应，减少对这类请求的处理。
2. **限制请求速率**：对来自单一源的DNS请求进行速率限制，防止恶意请求淹没正常请求。
3. **使用DNS安全解决方案**：部署专门的DNS安全解决方案，如DNS防火墙，来识别和过滤恶意请求。

HTTP Flood攻击

原理：
HTTP Flood攻击通过发送大量的HTTP请求，尤其是那些需要服务器进行复杂处理的请求，消耗服务器资源。

防御：
1. 应用层防火墙：使用应用层防火墙来识别和过滤恶意的HTTP请求。
2. 负载均衡：通过负载均衡器分散请求到多个服务器，减轻单个服务器的压力。
3. Web应用防火墙（WAF）：WAF可以识别并拦截恶意的HTTP请求，保护后端服务器。

 SYN Flood攻击命令

hping3 192.168.30.10 -p 80 -S --rand-source --flood

命令解析

hping3：这是一个强大的网络工具，可以用来分析网络和进行安全测试。
192.168.30.10：这是攻击目标的IP地址。
-p 80：指定攻击目标的端口，这里选择了HTTP服务常用的80端口。
-S：指定发送SYN报文。
--rand-source：使源IP地址随机化，模拟来自不同来源的攻击。
--flood：以高频率连续发送报文，模拟攻击的洪水效果。

通过抓包查看攻击效果

UDP Flood攻击命令

hping3 192.168.30.10 --udp -p 80 --rand-source -flood

命令解析

--udp:指定udp协议

攻击效果

ICMP Flood攻击命令

hping3 192.168.30.10 --icmp --rand-source --flood

-icmp :指定icmp报文进行攻击
- 其他参数与之前的命令相同，但是这里没有指定端口，因为ICMP是网络层协议，不使用端口。

攻击效果

SYN Flood攻击的防御

1. 源探测：
当防火墙收到一个SYN报文时，它会发送一个带有错误确认号的SYN+ACK报文作为响应。如果源主机是合法的，它会发送一个RST（重置）报文来终止连接。如果防火墙没有收到RST报文，那么它将判定原始的SYN报文为非正常报文，从而阻止这种攻击。

2. 设置阈值：
防火墙可以配置一个SYN Flood攻击防范的阈值。当从单一源到达的SYN报文数量超过这个阈值时，防火墙会自动将其视为攻击并采取措施。在笔记中，阈值被设置为20，这意味着如果一个源发送超过20个SYN报文，防火墙将认为这是一次攻击并采取措施进行防御。这样可以有效地防止恶意的SYN Flood攻击，同时减少对正常网络通信的影响。

防火墙配置syn-flood防御

UDP Flood攻击的防御

1. 限流：
   - 限流是一种常见的防御手段，用于控制网络流量的速率。在UDP Flood攻击中，防火墙可以配置限流规则来限制每个源IP地址的UDP流量速率。这样可以防止单一源的大量UDP报文淹没网络资源。限流可能会丢弃一些超出限制的报文，但这样做可以保护网络不受攻击的影响。

2. 指纹学习：
   - 防火墙通过分析正常的网络流量，学习其行为特征或“指纹”。当检测到与正常流量指纹不符的报文时，防火墙会将其视为潜在的攻击流量。这种方法不会随意丢弃报文，而是更加精确地识别和防御攻击，同时减少对正常流量的影响。

防火墙配置udp-flood

ICMP Flood攻击的防御

ICMP Flood攻击是通过发送大量的ICMP请求（例如ping请求）给目标主机，迫使其处理并响应，从而消耗目标主机的资源。这种攻击可以导致网络拥堵和服务中断。

限制ICMP流量：

防火墙可以配置规则来限制ICMP流量的速率和数量。例如，可以设置每秒内来自同一源的ICMP请求数量上限。超过这个限制的请求将被防火墙丢弃，从而减轻攻击的影响。

防火墙配置icmp-flood防御