向目標函式隨機提交資料,特定情況下資料覆蓋臨近暫存器或記憶體
影響:遠端**執行、dos
利用模糊測試方法發現緩衝區溢位漏洞
服務**存在漏洞,遇異常提交資料時程式崩潰
應用處理大量併發請求能力有限,被拒絕的是應用或os
searchsploit ms12-020這個命令是搜尋kail下面相關漏洞利用工具
cesarftp 0.99 服務漏洞
ftp_fuzz.py # mkd/rmd
ms12-020遠端桌面協議dos漏洞
是一種快速攻擊,這也是少數幾個國產的攻擊方式
殺傷力很大
原理
乙個**前端最終一定是要連線資料庫的,cc攻擊就是以超級快的速度模擬正常的請求頁面的引數,給資料庫施加壓力
低頻寬應用層慢速dos攻擊(相對於cc等快速攻擊而言的慢速)
最早由python編寫,跨平台支援(linux、win、cygwin、osx) 尤其擅長攻擊apache、tomcat (幾乎百發百中)
apache、tomcat 未做優化或反向**,一打一死。防火牆web頁面可以打死,但防火牆相關功能可正常執行。
攻擊者發\r\n說明資料還沒發完,請求伺服器等待。
耗盡應用的併發連線池,類似於http層的syn flood
http協議預設在伺服器全部接收請求之後才開始處理,若客戶端傳送速度緩慢或不完整,伺服器時鐘為其保留連線資源池占用,此類大量併發將導致dos
slowloris
slowloris特點:完整的http請求結尾是\r\n\r\n,攻擊發\r\n…
slow post: http頭content-length宣告長度,但body部分緩慢傳送
slow read attack攻擊
與slowloris and slow post目的相同,都是耗盡應用的併發連線池
不同之處在於請求正常傳送,但慢速讀取響應資料
攻擊者調整tcp window視窗大小,是伺服器慢速返回資料
apache range header attack
客戶端傳輸大檔案時,體積查過http body大小限制時進行分段
耗盡伺服器cpu、記憶體資源
資料層與應用層分離
比如將資料庫查詢打包到乙個cdatabase類中,把查詢到的資料顯示到乙個列表控制項時,只要呼叫cdatabase類的乙個成員函式cdatabase initlistctrl clistctrl 在呼叫時,將目標的列表控制項的指標作為引數提供,在cdatabase initlistctrl clis...
應用層協議分析 HTTPS協議分析
例項化secure socket layer ssl 俗稱安全套接層,是由netscape communitcation於1990年開發,用於保障word wide web www 通訊的安全。主要任務是提供私密性,資訊完整性和身份認證。1994年改版為sslv2,1995年改版為sslv3。tra...
常見的DDOS攻擊及原理 應用層
一 簡述 隨著網路技術和網路應用的發展,網路安全問題顯得越來越重要,已經被提到乙個很高高的高度。ddos攻擊隨著網際網路的快速發展,也日益猖獗,從原來的的幾兆 幾十兆,到現在的幾十g 幾十t的流量攻擊,形成了乙個很大的利益鏈。ddos攻擊由於容易實施 難以防範 難以追蹤等而成為最難解決的網路安全問題...