SYN Flood攻撃

TCPコネクションを開始するSYNパケットを大量におくりつける攻撃。
SYNパケットを受け取ったサーバーは、SYN/ACKパケットを返して待機する。
でも、この攻撃では送信元が偽装されているため、返事が帰ってこないためサーバはタイムアウトになるまで待たないといけない。
こんな感じのやりとりを短期間かつ大量にやってメモリ食いつぶすとか接続可能数を潰すとかそんな感じ。

Smurf攻撃

送信元を偽装したICMPパケットを利用して、目標となるサーバに大量のパケットを送りつける攻撃。
ブロードキャストアドレスにpingすると、ネットワーク内にあるホストからレスポンスが来る仕組みを使ってる。
送信アドレスを偽装して、攻撃対象のホストがブロードキャストアドレスにpingしたことにしてレスポンスを受けさす感じ。
対策は、ブロードキャストアドレス宛のpingには反応しないようにするとか、ルーターやサーバのパケットフィルタリングで閾値を超えた数のパケットを制限すること。らしい。

DDos攻撃

Distributesd Denial of Service(分散型Dos攻撃)の略で、あらかじめ多数の踏み台ホストから一斉にターゲットを攻撃させる手法。
一定時間あたりの同一ホストからのリクエスト数を見ればブロックで対処できるけど、分散していると対策はむずかしそう。
スラッシュドット効果とかYahho!アタックっぽい。

ブルートフォース攻撃

パスワードに使われるすべての文字を片っ端から組み合わせて総当たりの力ずくで不正アクセスを試みる攻撃。
解析に時間はかかるけど、対策してないといつの間にか乗っ取られてる感じ。
対策として、連続したログイン失敗回数の上限を超えるとログイン不可にするアカウントロックとか、パスワードの文字数を増やすのもよい。

辞書攻撃

パスワードとしてよく使われる文字列をあらかじめ用意しておき、対象アカウントに対してその文字列を片っ端からログインを試みる攻撃。
世界で最も使われているパスワードは「password1」らしく、辞書攻撃されたら即落ちっぽい。
Twitterでパスワードを「password1」と入力すると「パスワードが簡単すぎます。推測されにくい強固なパスワードにしてください。」って返ってきた。
対策は、辞書攻撃で使われるパスワードを登録できないようにする。(refs http://d.hatena.ne.jp/ozuma/20130605/1370367162)

あんま関係ないけどCMSが作るデフォルトのアカウントを消さないでブログを運用とか普通にある(この前あった)のでデザイナとかインターネッツしている人はとにかく意識あげて欲しい。

バッファオーバーフロー攻撃

プロセスの不備をついてプロセスを乗っ取ったり強制終了したりする攻撃。
BOF(Buffer Over Flow)やバッファオーバーランと呼ばれる事もあるらしい。
変数が1KB分の容量を確保していないのに10KBを突っ込んで不正終了させて、通常ではありえないプロセスの状態を作れたりするっぽい。
メモリ管理をしているC系統とかでよくあるらしい。

設定ミスを利用した攻撃

ネットに書いてる記事の設定をコピペしたらやばい設定だったとかいう感じのやつ。
apacheの設定でpublicディレクトリの指定を通常よりも1つ上の階層にしたりとか。