局域网安全12 DoS攻击

1、DoS与DDoS

（1）DoS

通常，单个源针对单个服务的攻击，利用其缺陷和弱点

（2）DDoS

通常，多个源针对某个特定服务，利用合法请求作为攻击矢量

 

2、DDoS攻击准备

（1）僵尸行动：后门程序借用PC

（2）僵尸群：僵尸网络

（3）对抗方法

·    安装个人防火墙

·    保持对外出通信的控制

 

3、DoS和DDoS攻击

（1）常见的泛洪攻击

·    TCP SYN攻击

·    碎片攻击

·    大数据包攻击

（2）针对服务的攻击

·    资源饿死：DHCP

 

4、攻击交换机

使CPU负载，导致不能学习等问题

1）交换机的内部结构

·    CPU

·    交换表

·    数据缓存

·    以太网控制ASIC

·    fabric：上述所有与其相连

2）三种平面

（1）数据平面

CPU不会看见这些数据，即不使用CPU资源

（2）控制平面

对数据平面数据包如何转发做出决策，使用CPU资源

·    ARP

·    CDP

·    VTP

·    STP

·    路由协议信息

（3）管理平面

由CPU直接处理，对转发行为进行配置和控制，网管配置信息

PS：保护好控制平面和管理平面，保证CPU利用率

3）攻击交换机

·    数据平面仅影响fabric和以太网控制器

·    控制平面由以太网控制器传入，经一条交换机通道进入CPU

·    管理平面与控制平面相同（带外管理除外）

（1）数据平面攻击

较难实现

（2）控制平面攻击

泛洪控制平面数据包，尽可能使用ACL或认证控制。

（3）管理平面攻击

以下加强防护

·    使用带外管理（管理平面使用专用接口）

·    仅接受特定子网的管理流量

·    加密管理流量（SSH和SNMPv3）

·    AAA

·    启用syslog/SNMP trap控制管理平面的行为