詳解拒絕服務攻擊的成因和實現

http://m.yibo1263.com　2009-7-8 8:19:40 　來源:東北IT網　編輯:葉子

“SYNFlood”則專門針對TCP協(xié)議棧在兩臺主機間初始化連接握手的過程進行DoS攻擊，其在實現過程中只進行前兩個步驟：當服務方收到請求方的SYN-ACK確認消息后，請求方由于采用源地址欺騙等手段使得服務方收不到ACK回應，于是服務方會在一定時間處于等待接收請求方ACK消息的狀態(tài)。而對于某臺服務器來說，可用的TCP連接是有限的，因為只有有限的內存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務器就會對接下來的連接停止響應，直至緩沖區(qū)里的連接企圖超時。

如果惡意攻擊方快速連續(xù)地發(fā)送此類連接請求，該服務器可用的TCP連接隊列將很快被阻塞，系統(tǒng)可用資源急劇減少，網絡可用帶寬迅速縮小，長此下去，除了少數幸運用戶的請求可以插在大量虛假請求中間得到應答外，服務器將無法向用戶提供正常的合法服務。

（5）Land（LandAttack）攻擊：在Land攻擊中，黑客利用一個特別打造的SYN包 ——它的源地址和目標地址都被設置成某一個服務器地址進行攻擊。此舉將導致接受服務器向它自己的地址發(fā)送SYN-ACK消息，結果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時，在Land攻擊下，許多UNIX將崩潰，NT變得極其緩慢。

（6）IP欺騙DoS攻擊：這種攻擊利用TCP協(xié)議棧的RST位來實現，使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接。假設現在有一個合法用戶（100.100.100.100）已經同服務器建立了正常的連接，攻擊者構造攻擊的TCP數據，偽裝自己的IP為100.100.100.100，并向服務器發(fā)送一個帶有RST位的TCP數據段；而服務器接收到這樣的數據后，認為從100.100.100.100發(fā)送的連接有錯誤，就會清空緩沖區(qū)中已建立好的連接。這時，合法用戶100.100.100.100再發(fā)送合法數據，服務器就已經沒有這樣的連接，該用戶就被拒絕服務而只能重新開始建立新的連接了。

自從互聯(lián)網絡誕生以來，DoS攻擊就伴隨著互聯(lián)網絡的發(fā)展而一直存在，也不斷發(fā)展和升級。值得一提的是，要找DoS的工具一點不難，黑客群居的網絡社區(qū)都有共享黑客軟件的傳統(tǒng)，并會在一起交流攻擊的心得經驗，可以很輕松地從互聯(lián)網上獲得這些工具，像以上提到的這些DoS攻擊軟件都是可從網上隨意找到的公開軟件。

所以任何一個上網者都可能構成網絡安全的潛在威脅。DoS攻擊給飛速發(fā)展的互聯(lián)網絡安全帶來重大的威脅。然而從某種程度上可以說，DoS攻擊永遠不會消失而且從技術上目前還沒有根本的解決辦法。

面對兇多吉少的DoS險灘，該如何應對隨時出現的黑客攻擊呢？首先分析一下DoS攻擊的如下一些原因：

（1）軟件弱點是包含在操作系統(tǒng)或應用程序中與安全相關的系統(tǒng)缺陷，這些缺陷大多是由于錯誤的程序編制、粗心的源代碼審核、無心的副效應或一些不適當的綁定所造成的。由于使用的軟件幾乎完全依賴于開發(fā)商，所以對于由軟件引起的漏洞只能依靠打補丁，安裝Hotfixes和Servicepacks來彌補。當某個應用程序被發(fā)現有漏洞存在時，開發(fā)商會立即給出一個更新的版本來修正這個漏洞。而由開發(fā)協(xié)議固有的缺陷導致的DoS攻擊，則可以通過簡單的補丁來加以彌補。

（2）錯誤配置也會成為系統(tǒng)的安全隱患。這些錯誤配置通常發(fā)生在硬件裝置、系統(tǒng)或者應用程序中，大多是由于一些沒經驗的、無責任員工或者錯誤的理論所導致的。如果對網絡中的路由器、防火墻、交換機以及其他網絡連接設備都進行正確的配置，則會減小這些錯誤發(fā)生的可能性，因此這種漏洞應當請教專業(yè)的技術人員來修正這些問題。

（3）重復請求導致過載的拒絕服務攻擊。當對資源的重復請求大大超過資源的支付能力時就會造成拒絕服務攻擊（例如，對已經滿載的Web服務器進行過多的請求使其過載）。

要避免系統(tǒng)免受DoS攻擊，從前兩點來看，網絡管理員要積極謹慎地維護系統(tǒng)，確保無安全隱患和漏洞；而針對第三點的惡意攻擊方式則需要安裝UTM等安全設備過濾DoS攻擊，同時強烈建議網絡管理員應當定期查看安全設備的日志，以便及時發(fā)現對系統(tǒng)的安全威脅行為。

本新聞共3頁,當前在第2頁 1 2 3

【收藏】【打印】【進入論壇】

·解析拒絕服務攻擊的攻擊技術

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费