《拒绝服务攻击》由会员分享,可在线阅读,更多相关《拒绝服务攻击(3页珍藏版)》请在金锄头文库上搜索。
1、拒绝服务攻击 纵观网络安全攻击的各种方式方法,其中 DDoS 类的攻击会给你的网络系统造成更大 的危害。因此,了解 DDoS,了解它的工作原理及防范措施,是一个计算机网络安全技术 人员应必修的内容之一。 一、DDoS 的概念 要想理解 DDoS 的概念,我们就必须先介绍一下 DoS(拒绝服务) ,DoS 的英文全称是 Denial of Service,也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况 来看,DoS 算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问,破 坏组织的正常运行,最终它会使你的部分 Internet 连接和网络系统失效。DoS 的攻击方式
2、 有很多种,最基本的 DoS 攻击就是利用合理的服务请求来占用过多的服务资源,从而使合 法用户无法得到服务。DoS 攻击的原理如图 1 所示。 图 1 从图 1 我们可以看出 DoS 攻击的基本过程:首先攻击者向服务器发送众多的带有虚假 地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直 等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间 后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请 求的情况下,服务器资源最终会被耗尽。 DDoS(分布式拒绝服务) ,它的英文全称为 Distributed Denial
3、of Service,它是一种基 于 DoS 的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较 大的站点,象商业公司,搜索引擎和政府部门的站点。从图 1 我们可以看出 DoS 攻击只要 一台单机和一个 modem 就可实现,与之不同的是 DDoS 攻击是利用一批受控制的机器向一 台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。DDoS 的 攻击原理如图 2 所示。 图 2 DDoS 攻击原理 从图 2 可以看出,DDoS 攻击分为 3 层:攻击者、主控端、代理端,三者在攻击中扮 演着不同的角色。 1、攻击者:攻击者所用的计算机是攻击主控台,可以是网
4、络上的任何一台主机,甚至 可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。 2、主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的 代理主机。主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指 令,并且可以把这些命令发送到代理主机上。 3、代理端:代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序, 接受和运行主控端发来的命令。代理端主机是攻击的执行者,真正向受害者主机发送攻击。攻击者发起 DDoS 攻击的第一步,就是寻找在 Internet 上有漏洞的主机,进入系统后 在其上面安装后门程序,攻击者入侵的主机越多,他
5、的攻击队伍就越壮大。第二步在入侵 主机上安装攻击程序,其中一部分主机充当攻击的主控端,一部分主机充当攻击的代理端。 最后各部分主机各司其职,在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操 纵,所以在攻击时不会受到监控系统的跟踪,身份不容易被发现。 二、DoS 攻击常用的手法 DoS(拒绝服务攻击):通过使你的服务计算机崩溃或把它压跨来阻止你提供服务。 简单的来说,就是让你的计算机提供可能多的服务从而使你的计算机陷入崩溃的边缘或崩 溃。一般服务拒绝攻击有如下的一些常用的手法: 1.死亡之 ping 利用许多 TCP/IP 实现相信 ICMP 包是正确组织的而且它们对这些包进行的错误校验太
6、 少的事实。通过产生畸形的、声称自己的尺寸超出可能的上限的 ICMP 应答请求包来传播。 包的最大尺寸是 65535 字节,声称其尺寸大雨 65500 字节的包由于内存分配错误,TCP/IP 实现将崩溃。 解决办法:正确的配置操作系统与防火墙,阻断 ICMP 以及任何未知协议,都可以防 止此类攻击。 2.泪滴(teardrop) 泪滴攻击利用那些在 TCP/IP 堆栈实现中信任 IP 碎片中的包的标题头所包含的信息来 实现自己的攻击,也就是某些 TCP/IP 实现中分段重新组装进程中存在的潜在弱点被人利用。解决办法:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是 转发它们。
7、3.UDP 洪水(UDP flood) 利用简单的 TCP/IP 服务,如 CHARGEN 和 ECHO 来传送毫无用处的占满带宽的无用 数据。 解决办法:关掉不必要的 TCP/IP 服务,还有就是对防火墙进行配置,阻断来自 Internet 的请求这些服务的 UDP 请求。 4.SYN 洪水(SYN flood) 利用 TCP 连接机制的攻击。该攻击以多个随机的源主机地址向目的主机发送 SYN 包, 而在收到目的主机的 SYN ACK 后并不回应,这样,目的主机就为这些源主机建立了大量 的连接队列,而且由于没有收到 ACK 一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。
8、解决办法:在防火墙上过滤来自同一主机的后续连接,当然还要根据实际的情况来判 断。 5.Land 攻击 利用 Land 攻击时,一个特别的 SYN 包它的原地址和目标地址都被设置成某一个服务 器地址,此举将导致接受服务器向它自己的地址发送 SYN-ACK 消息,结果这个地址又发 回 ACK 消息并创建一个空连接,每一个这样的连接都将保留直到超时掉, 解决办法:打最新的补丁。 6.Smurf 攻击 smurf 攻击通过使用将回复地址设置成受害网络的广播地址的 ICMP 应答请求数据包来 淹没受害主机的方式进行,最终导致该网络的所有主机都对此 ICMP 应答请求作出答复, 导致网络阻塞。 解决办法:去掉 ICMP 服务。 7.Fraggle 攻击 Fraggle 攻击对 Smurf 攻击作了简单的修改,使用的是 UDP 应答消息而非 ICMP 解决办法:滤掉 UDP 应答消息 8.电子邮件炸弹 常用的手法也是比较简单的手法,黑客通过向你的电子邮件服务器反复发送同一个大 型电子邮件文件就可以淹没它。 解决办法:对邮件地址进行适当的配置 9.畸形消息攻击 如果收到畸形的信息各类操作系统上的许多服务都会崩溃,由于这些服务在处理信息 之前不能对他们进行适当的错误检验。