| |
“SYNFlood”则专门针对TCP协议栈在两台主机间初始化连接握手的过程进行DoS攻击,其在实现过程中只进行前两个步骤:当服务方收到请求方的SYN-ACK确认消息后,请求方由于采用源地址欺骗等手段使得服务方收不到ACK回应,于是服务方会在一定时间处于等待接收请求方ACK消息的状态。而对于某台服务器来说,可用的TCP连接是有限的,因为只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直至缓冲区里的连接企图超时。
如果恶意攻击方快速连续地发送此类连接请求,该服务器可用的TCP连接队列将很快被阻塞,系统可用资源急剧减少,网络可用带宽迅速缩小,长此下去,除了少数幸运用户的请求可以插在大量虚假请求中间得到应答外,服务器将无法向用户提供正常的合法服务。
(5)Land(LandAttack)攻击:在Land攻击中,黑客利用一个特别打造的SYN包 ——它的源地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时,在Land攻击下,许多UNIX将崩溃,NT变得极其缓慢。
(6)IP欺骗DoS攻击:这种攻击利用TCP协议栈的RST位来实现,使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。假设现在有一个合法用户(100.100.100.100)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为100.100.100.100,并向服务器发送一个带有RST位的TCP数据段;而服务器接收到这样的数据后,认为从100.100.100.100发送的连接有错误,就会清空缓冲区中已建立好的连接。这时,合法用户100.100.100.100再发送合法数据,服务器就已经没有这样的连接,该用户就被拒绝服务而只能重新开始建立新的连接了。
自从互联网络诞生以来,DoS攻击就伴随着互联网络的发展而一直存在,也不断发展和升级。值得一提的是,要找DoS的工具一点不难,黑客群居的网络社区都有共享黑客软件的传统,并会在一起交流攻击的心得经验,可以很轻松地从互联网上获得这些工具,像以上提到的这些DoS攻击软件都是可从网上随意找到的公开软件。
所以任何一个上网者都可能构成网络安全的潜在威胁。DoS攻击给飞速发展的互联网络安全带来重大的威胁。然而从某种程度上可以说,DoS攻击永远不会消失而且从技术上目前还没有根本的解决办法。
面对凶多吉少的DoS险滩,该如何应对随时出现的黑客攻击呢?首先分析一下DoS攻击的如下一些原因:
(1)软件弱点是包含在操作系统或应用程序中与安全相关的系统缺陷,这些缺陷大多是由于错误的程序编制、粗心的源代码审核、无心的副效应或一些不适当的绑定所造成的。由于使用的软件几乎完全依赖于开发商,所以对于由软件引起的漏洞只能依靠打补丁,安装Hotfixes和Servicepacks来弥补。当某个应用程序被发现有漏洞存在时,开发商会立即给出一个更新的版本来修正这个漏洞。而由开发协议固有的缺陷导致的DoS攻击,则可以通过简单的补丁来加以弥补。
(2)错误配置也会成为系统的安全隐患。这些错误配置通常发生在硬件装置、系统或者应用程序中,大多是由于一些没经验的、无责任员工或者错误的理论所导致的。如果对网络中的路由器、防火墙、交换机以及其他网络连接设备都进行正确的配置,则会减小这些错误发生的可能性,因此这种漏洞应当请教专业的技术人员来修正这些问题。
(3)重复请求导致过载的拒绝服务攻击。当对资源的重复请求大大超过资源的支付能力时就会造成拒绝服务攻击(例如,对已经满载的Web服务器进行过多的请求使其过载)。
要避免系统免受DoS攻击,从前两点来看,网络管理员要积极谨慎地维护系统,确保无安全隐患和漏洞;而针对第三点的恶意攻击方式则需要安装UTM等安全设备过滤DoS攻击,同时强烈建议网络管理员应当定期查看安全设备的日志,以便及时发现对系统的安全威胁行为。 |
|
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
