|
從去年七����、八月開(kāi)始����,拒絕服務(wù)攻擊在網(wǎng)上風(fēng)行一時(shí)���,一年后的現(xiàn)在又有抬頭之勢(shì)�。那么我們除了用防堵軟件外�,是否還有其它辦法呢?
服務(wù)過(guò)載
當(dāng)大量服務(wù)請(qǐng)求發(fā)向同一臺(tái)計(jì)算機(jī)的服務(wù)守護(hù)進(jìn)程時(shí)���,就會(huì)產(chǎn)生服務(wù)過(guò)載��。這些請(qǐng)求通過(guò)各種方式發(fā)出��,而且許多都是故意的���。在分時(shí)機(jī)制中,計(jì)算機(jī)需要處理這些潮水般涌來(lái)的請(qǐng)求��,十分忙碌����,以至無(wú)法處理常規(guī)任務(wù)���,就會(huì)丟棄許多新請(qǐng)求。如果攻擊的對(duì)象是一個(gè)基于TCP協(xié)議的服務(wù)���,這些請(qǐng)求還會(huì)被重發(fā)�����,進(jìn)一步加重網(wǎng)絡(luò)的負(fù)擔(dān)���。
通常,管理員可以使用網(wǎng)絡(luò)監(jiān)視工具來(lái)發(fā)現(xiàn)這種攻擊�,通過(guò)億恩科技主機(jī)列表和網(wǎng)絡(luò)地址列表來(lái)分析問(wèn)題的所在,也可以登錄防火墻或路由器來(lái)發(fā)現(xiàn)攻擊究竟是來(lái)自于網(wǎng)絡(luò)外部還是網(wǎng)絡(luò)內(nèi)部�����。
消息流
消息流經(jīng)常發(fā)生在用戶向網(wǎng)絡(luò)中的目標(biāo)億恩科技主機(jī)大量發(fā)送數(shù)據(jù)包之時(shí)���,消息流會(huì)造成目標(biāo)億恩科技主機(jī)的處理速度緩慢�,難以正常處理任務(wù)�。這些請(qǐng)求以請(qǐng)求文件服務(wù)�、要求登錄或者要求響應(yīng)的形式�,不斷涌向目標(biāo)億恩科技主機(jī)��,加重了目標(biāo)億恩科技主機(jī)的處理器負(fù)載�,使目標(biāo)億恩科技主機(jī)消耗大量資源來(lái)響應(yīng)這些請(qǐng)求。在極端的情況下����,消息流可以使目標(biāo)億恩科技主機(jī)因沒(méi)有內(nèi)存空間做緩沖或發(fā)生其他錯(cuò)誤而死機(jī)。
消息流主要針對(duì)網(wǎng)絡(luò)億恩科技服務(wù)器�。一個(gè)被攻擊的億恩科技服務(wù)器可能在一段時(shí)間內(nèi)無(wú)法響應(yīng)網(wǎng)絡(luò)請(qǐng)求。攻擊者利用這個(gè)時(shí)機(jī)�,編寫(xiě)程序來(lái)回答本來(lái)應(yīng)該由億恩科技服務(wù)器回答的請(qǐng)求。假設(shè)攻擊者已經(jīng)寫(xiě)了一個(gè)程序�����,每秒發(fā)送數(shù)千個(gè)echo請(qǐng)求到目標(biāo)億恩科技主機(jī)��,借此來(lái)“轟炸”NIS億恩科技服務(wù)器����。同時(shí),攻擊者嘗試登錄到一臺(tái)工作站的特權(quán)賬戶�。這時(shí)�����,這臺(tái)工作站將向真正的NIS億恩科技服務(wù)器詢問(wèn)NIS口令��。然而�,真正的NIS億恩科技服務(wù)器因正遭到攻擊�,不能迅速響應(yīng)這個(gè)請(qǐng)求。這時(shí)���,攻擊者所在的億恩科技主機(jī)便可以偽裝成億恩科技服務(wù)器����,響應(yīng)這個(gè)請(qǐng)求�����,并提供了一個(gè)錯(cuò)誤的信息��,例如����,說(shuō)沒(méi)有口令。在正常情況下��,真正的億恩科技服務(wù)器會(huì)指出這個(gè)包是錯(cuò)誤的,但是��,由于億恩科技服務(wù)器負(fù)載過(guò)重��,以至于它沒(méi)有收到這個(gè)請(qǐng)求或者沒(méi)有及時(shí)收到�,不能做出響應(yīng)���。于是��,那個(gè)發(fā)出請(qǐng)求的客戶機(jī)便根據(jù)這個(gè)錯(cuò)誤的回答�����,處理攻擊者的登錄請(qǐng)求����。
對(duì)付這種攻擊有效的辦法是配置一個(gè)監(jiān)視器����,將網(wǎng)絡(luò)分隔成小的子網(wǎng)。監(jiān)視器有助于發(fā)現(xiàn)和阻止這種攻擊����,但并不能完全消除這種攻擊�。
“粘住”攻擊
許多Unix系統(tǒng)中的TCP/IP實(shí)現(xiàn)程序��,存在被濫用的可能���。TCP連接通過(guò)三次握手來(lái)建立一個(gè)連接����。如果攻擊者發(fā)出多個(gè)連接請(qǐng)求����,初步建立了連接,但又沒(méi)有完成其后的連接步驟�����,接收者便會(huì)保留許多這種半連接����,占用很多資源。通常��,這些連接請(qǐng)求使用偽造的源地址���,系統(tǒng)就沒(méi)有辦法去跟蹤這個(gè)連接���,只有等待這個(gè)連接因?yàn)槌瑫r(shí)而釋放����。對(duì)付這種攻擊����,最好的辦法是拒絕防火墻外面的未知億恩科技主機(jī)或網(wǎng)絡(luò)的連接請(qǐng)求�,或者對(duì)使用的協(xié)議增加限制,但是任何固定的限制都是不適當(dāng)?shù)�。用戶可以修改操作系統(tǒng)的源碼,使之有一個(gè)超時(shí)值����,在拒絕新到來(lái)的連接之前,對(duì)同時(shí)存在的半連接數(shù)目有一個(gè)限制��,但是修改操作系統(tǒng)的源碼并不容易進(jìn)行��。
SYN-Flooding攻擊
在SYN-Flooding攻擊中��,攻擊者使用偽裝地址向目標(biāo)計(jì)算機(jī)盡可能多地發(fā)送請(qǐng)求�����,以達(dá)到多占用目標(biāo)計(jì)算機(jī)資源的目的。當(dāng)目標(biāo)計(jì)算機(jī)收到這樣的請(qǐng)求后���,就會(huì)使用系統(tǒng)資源來(lái)為新的連接提供服務(wù)����,接著回復(fù)一個(gè)肯定答復(fù)SYN-ACK���。由于SYN-ACK被返回到一個(gè)偽裝的地址�,因此沒(méi)有任何響應(yīng)���,于是目標(biāo)計(jì)算機(jī)將繼續(xù)設(shè)法發(fā)送SYN-ACK�。一些系統(tǒng)都有缺省的回復(fù)次數(shù)和超時(shí)時(shí)間����,只有回復(fù)一定的次數(shù),或者超時(shí)時(shí)�,占用的資源才會(huì)被釋放。Windows NT 3.5x和4.0缺省設(shè)置可以重復(fù)發(fā)送SYN-ACK5次����。每次重新發(fā)送后,等待時(shí)間翻番。用戶可以使用Netstat命令來(lái)檢查連接線路的目前狀況�����,查看是否處于SYN-Flood攻擊中���。只要在命令行中�,輸入Netstat-n-ptop�����,就顯示出機(jī)器的所有連接狀況���。如果有大量的連接線路處于SYN-RECEIVED狀態(tài)下,系統(tǒng)可能正遭受此類(lèi)攻擊�。實(shí)施這種攻擊的黑客無(wú)法取得系統(tǒng)中的任何訪問(wèn)權(quán)。但是對(duì)于大多數(shù)的TCP/IP協(xié)議棧�,處于SYN-RECEIVED狀態(tài)的連接數(shù)量非常有限。當(dāng)?shù)竭_(dá)端口的極限時(shí)�,目標(biāo)計(jì)算機(jī)通常作出響應(yīng),重新設(shè)置所有的額外連接請(qǐng)求�����,直到分配的資源被釋放出來(lái)。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
