1. 拒绝服务攻击包括以下两种形式:即资源过载和耗尽.当一个对资源的合理请求远远超过资源的支持能力的时候就会发生拒绝服务攻击.也有可能是由于软件的弱点或者程序的错误配置造成的.比较常见的攻击手法有以下几种.
(1)smurf.广播信息可以借助一定的手段。发送整个网络中的机器.如果某台机器使用广播地址发送一个IGMP echo请求的包时.一些系统就会回应一个IGMP echo回应包,简单的说,发送一个包会受到许多的响应包.smurf攻击就是使用这个原理进行的.当然他还需要一个假冒的源地址更加通俗的说就是在网络发送源地址为要供给主机的地址,目的地址为广播地址的包,结果会使许多系统响应发送大量的信息给被攻击主机,有些技术实力不强有缺乏责任心的网站就有这样的漏洞。
(2)SYN flooding.一台计算机在网络中通信首先要建立TCP握手,标准的TCP握手需要3次包交换来建立。一台服务器在接受到客户机的SYN包后要立即回应一个SYN/ACK包,然后等待客户机回应一个ACK包来确认,才能真正的建立连接。但是,要是发送初始化的SYN包,却发送确认服务器的ACK包。会使服务器一直在等待ACK包。因为服务器在有限的时间范围内只能响应有限数量的连接,着就回导致服务器长时间等待回应,却无法响应其他合法的连接请求。
(3)slashdot effect.这种攻击手段能使web服务器或其他类型的服务器因大量的网络传输而过载,通常这些网络流量是针对某个链接和某个页面产生的。
拒绝服务攻击通常都是由于过载造成的,而过载通常是因为请求到达了极限。
2.阻止攻击
(1).尽量修正已存在的漏洞和已发现的问题。
(2).识别,跟踪或禁止这些令人讨厌的机器或网络对我们进行访问,在这个环节中面临的主要困难是如何识别恶意攻击的主机。可以用一些简单的手法来防止攻击,一种是应用包过滤技术,过滤的主要是对外开放的端口,这些方法主要是防止假冒的源地址攻击。但我们又如何寻找攻击的起因及操作者呢?当发现网络中有人使用假冒源地址的工具(如tfn2k)时。尽管没有现成的工具来检验确认其合法性,但是可以通过,DNS来对他进行分析。如果攻击者的目标是www.20cn.net的话,他应该首先发送一个DNS请求来解析这个域名,一般的那些攻击工具会自己执行这一步。调用gethostbuyname()函数或相应的应用程序接口,换句话说,在攻击事件发生以前的DNS请求会提供一个相应的有关列表。可以利用
他来定位攻击者。
※注:水平有限希望大家能够指出错误,共同进步。
[此贴被 cooke(cnpowers) 在 06月24日13时12分 编辑过]
|
论坛用户
论坛用户
论坛用户
论坛用户
论坛: 黑客进阶 标题: 拒绝服务攻击的原理及解决(原创)