阻斷拒絕服務(wù)攻擊 |
發(fā)布時(shí)間: 2012/5/21 16:55:41 |
從去年七、八月開(kāi)始,拒絕服務(wù)攻擊在網(wǎng)上風(fēng)行一時(shí),一年后的現(xiàn)在又有抬頭之勢(shì)。那么我們除了用防堵軟件外,是否還有其它辦法呢? 服務(wù)過(guò)載 當(dāng)大量服務(wù)請(qǐng)求發(fā)向同一臺(tái)計(jì)算機(jī)的服務(wù)守護(hù)進(jìn)程時(shí),就會(huì)產(chǎn)生服務(wù)過(guò)載。這些請(qǐng)求通過(guò)各種方式發(fā)出,而且許多都是故意的。在分時(shí)機(jī)制中,計(jì)算機(jī)需要處理這些潮水般涌來(lái)的請(qǐng)求,十分忙碌,以至無(wú)法處理常規(guī)任務(wù),就會(huì)丟棄許多新請(qǐng)求。如果攻擊的對(duì)象是一個(gè)基于TCP協(xié)議的服務(wù),這些請(qǐng)求還會(huì)被重發(fā),進(jìn)一步加重網(wǎng)絡(luò)的負(fù)擔(dān)。 通常,管理員可以使用網(wǎng)絡(luò)監(jiān)視工具來(lái)發(fā)現(xiàn)這種攻擊,通過(guò)億恩科技主機(jī)列表和網(wǎng)絡(luò)地址列表來(lái)分析問(wèn)題的所在,也可以登錄防火墻或路由器來(lái)發(fā)現(xiàn)攻擊究竟是來(lái)自于網(wǎng)絡(luò)外部還是網(wǎng)絡(luò)內(nèi)部。 消息流 消息流經(jīng)常發(fā)生在用戶向網(wǎng)絡(luò)中的目標(biāo)億恩科技主機(jī)大量發(fā)送數(shù)據(jù)包之時(shí),消息流會(huì)造成目標(biāo)億恩科技主機(jī)的處理速度緩慢,難以正常處理任務(wù)。這些請(qǐng)求以請(qǐng)求文件服務(wù)、要求登錄或者要求響應(yīng)的形式,不斷涌向目標(biāo)億恩科技主機(jī),加重了目標(biāo)億恩科技主機(jī)的處理器負(fù)載,使目標(biāo)億恩科技主機(jī)消耗大量資源來(lái)響應(yīng)這些請(qǐng)求。在極端的情況下,消息流可以使目標(biāo)億恩科技主機(jī)因沒(méi)有內(nèi)存空間做緩沖或發(fā)生其他錯(cuò)誤而死機(jī)。 消息流主要針對(duì)網(wǎng)絡(luò)億恩科技服務(wù)器。一個(gè)被攻擊的億恩科技服務(wù)器可能在一段時(shí)間內(nèi)無(wú)法響應(yīng)網(wǎng)絡(luò)請(qǐng)求。攻擊者利用這個(gè)時(shí)機(jī),編寫(xiě)程序來(lái)回答本來(lái)應(yīng)該由億恩科技服務(wù)器回答的請(qǐng)求。假設(shè)攻擊者已經(jīng)寫(xiě)了一個(gè)程序,每秒發(fā)送數(shù)千個(gè)echo請(qǐng)求到目標(biāo)億恩科技主機(jī),借此來(lái)“轟炸”NIS億恩科技服務(wù)器。同時(shí),攻擊者嘗試登錄到一臺(tái)工作站的特權(quán)賬戶。這時(shí),這臺(tái)工作站將向真正的NIS億恩科技服務(wù)器詢問(wèn)NIS口令。然而,真正的NIS億恩科技服務(wù)器因正遭到攻擊,不能迅速響應(yīng)這個(gè)請(qǐng)求。這時(shí),攻擊者所在的億恩科技主機(jī)便可以偽裝成億恩科技服務(wù)器,響應(yīng)這個(gè)請(qǐng)求,并提供了一個(gè)錯(cuò)誤的信息,例如,說(shuō)沒(méi)有口令。在正常情況下,真正的億恩科技服務(wù)器會(huì)指出這個(gè)包是錯(cuò)誤的,但是,由于億恩科技服務(wù)器負(fù)載過(guò)重,以至于它沒(méi)有收到這個(gè)請(qǐng)求或者沒(méi)有及時(shí)收到,不能做出響應(yīng)。于是,那個(gè)發(fā)出請(qǐng)求的客戶機(jī)便根據(jù)這個(gè)錯(cuò)誤的回答,處理攻擊者的登錄請(qǐng)求。 對(duì)付這種攻擊有效的辦法是配置一個(gè)監(jiān)視器,將網(wǎng)絡(luò)分隔成小的子網(wǎng)。監(jiān)視器有助于發(fā)現(xiàn)和阻止這種攻擊,但并不能完全消除這種攻擊。 “粘住”攻擊 許多Unix系統(tǒng)中的TCP/IP實(shí)現(xiàn)程序,存在被濫用的可能。TCP連接通過(guò)三次握手來(lái)建立一個(gè)連接。如果攻擊者發(fā)出多個(gè)連接請(qǐng)求,初步建立了連接,但又沒(méi)有完成其后的連接步驟,接收者便會(huì)保留許多這種半連接,占用很多資源。通常,這些連接請(qǐng)求使用偽造的源地址,系統(tǒng)就沒(méi)有辦法去跟蹤這個(gè)連接,只有等待這個(gè)連接因?yàn)槌瑫r(shí)而釋放。對(duì)付這種攻擊,最好的辦法是拒絕防火墻外面的未知億恩科技主機(jī)或網(wǎng)絡(luò)的連接請(qǐng)求,或者對(duì)使用的協(xié)議增加限制,但是任何固定的限制都是不適當(dāng)?shù)。用戶可以修改操作系統(tǒng)的源碼,使之有一個(gè)超時(shí)值,在拒絕新到來(lái)的連接之前,對(duì)同時(shí)存在的半連接數(shù)目有一個(gè)限制,但是修改操作系統(tǒng)的源碼并不容易進(jìn)行。 SYN-Flooding攻擊 在SYN-Flooding攻擊中,攻擊者使用偽裝地址向目標(biāo)計(jì)算機(jī)盡可能多地發(fā)送請(qǐng)求,以達(dá)到多占用目標(biāo)計(jì)算機(jī)資源的目的。當(dāng)目標(biāo)計(jì)算機(jī)收到這樣的請(qǐng)求后,就會(huì)使用系統(tǒng)資源來(lái)為新的連接提供服務(wù),接著回復(fù)一個(gè)肯定答復(fù)SYN-ACK。由于SYN-ACK被返回到一個(gè)偽裝的地址,因此沒(méi)有任何響應(yīng),于是目標(biāo)計(jì)算機(jī)將繼續(xù)設(shè)法發(fā)送SYN-ACK。一些系統(tǒng)都有缺省的回復(fù)次數(shù)和超時(shí)時(shí)間,只有回復(fù)一定的次數(shù),或者超時(shí)時(shí),占用的資源才會(huì)被釋放。Windows NT 3.5x和4.0缺省設(shè)置可以重復(fù)發(fā)送SYN-ACK5次。每次重新發(fā)送后,等待時(shí)間翻番。用戶可以使用Netstat命令來(lái)檢查連接線路的目前狀況,查看是否處于SYN-Flood攻擊中。只要在命令行中,輸入Netstat-n-ptop,就顯示出機(jī)器的所有連接狀況。如果有大量的連接線路處于SYN-RECEIVED狀態(tài)下,系統(tǒng)可能正遭受此類攻擊。實(shí)施這種攻擊的黑客無(wú)法取得系統(tǒng)中的任何訪問(wèn)權(quán)。但是對(duì)于大多數(shù)的TCP/IP協(xié)議棧,處于SYN-RECEIVED狀態(tài)的連接數(shù)量非常有限。當(dāng)?shù)竭_(dá)端口的極限時(shí),目標(biāo)計(jì)算機(jī)通常作出響應(yīng),重新設(shè)置所有的額外連接請(qǐng)求,直到分配的資源被釋放出來(lái)。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |