從去年七��、八月開始���,拒絕服務攻擊在網(wǎng)上風行一時�,一年后的現(xiàn)在又有抬頭之勢����。那么我們除了用防堵軟件外,是否還有其它辦法呢�����?
服務過載
當大量服務請求發(fā)向同一臺計算機的服務守護進程時�����,就會產(chǎn)生服務過載。這些請求通過各種方式發(fā)出�,而且許多都是故意的。在分時機制中���,計算機需要處理這些潮水般涌來的請求�,十分忙碌����,以至無法處理常規(guī)任務,就會丟棄許多新請求�����。如果攻擊的對象是一個基于TCP協(xié)議的服務����,這些請求還會被重發(fā),進一步加重網(wǎng)絡的負擔����。
通常,管理員可以使用網(wǎng)絡監(jiān)視工具來發(fā)現(xiàn)這種攻擊����,通過主機列表和網(wǎng)絡地址列表來分析問題的所在�,也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網(wǎng)絡外部還是網(wǎng)絡內(nèi)部�����。
消息流
消息流經(jīng)常發(fā)生在用戶向網(wǎng)絡中的目標主機大量發(fā)送數(shù)據(jù)包之時�����,消息流會造成目標主機的處理速度緩慢����,難以正常處理任務����。這些請求以請求文件服務、要求登錄或者要求響應的形式���,不斷涌向目標主機��,加重了目標主機的處理器負載����,使目標主機消耗大量資源來響應這些請求����。在極端的情況下��,消息流可以使目標主機因沒有內(nèi)存空間做緩沖或發(fā)生其他錯誤而死機��。
消息流主要針對網(wǎng)絡服務器�。一個被攻擊的服務器可能在一段時間內(nèi)無法響應網(wǎng)絡請求����。攻擊者利用這個時機,編寫程序來回答本來應該由服務器回答的請求��。假設攻擊者已經(jīng)寫了一個程序�����,每秒發(fā)送數(shù)千個echo請求到目標主機�����,借此來"轟炸"NIS服務器���。同時�����,攻擊者嘗試登錄到一臺工作站的特權賬戶���。這時���,這臺工作站將向真正的NIS服務器詢問NIS口令。然而����,真正的NIS服務器因正遭到攻擊���,不能迅速響應這個請求�。這時�����,攻擊者所在的主機便可以偽裝成服務器���,響應這個請求�����,并提供了一個錯誤的信息�����,例如��,說沒有口令�����。在正常情況下��,真正的服務器會指出這個包是錯誤的����,但是,由于服務器負載過重�,以至于它沒有收到這個請求或者沒有及時收到,不能做出響應�。于是,那個發(fā)出請求的客戶機便根據(jù)這個錯誤的回答��,處理攻擊者的登錄請求���。
對付這種攻擊有效的辦法是配置一個監(jiān)視器���,將網(wǎng)絡分隔成小的子網(wǎng)�。監(jiān)視器有助于發(fā)現(xiàn)和阻止這種攻擊�,但并不能完全消除這種攻擊。
"粘住"攻擊
許多Unix系統(tǒng)中的TCP/IP實現(xiàn)程序�����,存在被濫用的可能��。TCP連接通過三次握手來建立一個連接���。如果攻擊者發(fā)出多個連接請求�����,初步建立了連接,但又沒有完成其后的連接步驟���,接收者便會保留許多這種半連接���,占用很多資源。通常���,這些連接請求使用偽造的源地址�����,系統(tǒng)就沒有辦法去跟蹤這個連接�����,只有等待這個連接因為超時而釋放���。對付這種攻擊����,最好的辦法是拒絕防火墻外面的未知主機或網(wǎng)絡的連接請求����,或者對使用的協(xié)議增加限制,但是任何固定的限制都是不適當?shù)?�。用戶可以修?a href="http://m.europeautoinsurance.com/key/operatingsystem/" target="_blank">操作系統(tǒng)的源碼�����,使之有一個超時值�,在拒絕新到來的連接之前�,對同時存在的半連接數(shù)目有一個限制�����,但是修改操作系統(tǒng)的源碼并不容易進行�����。
SYN-Flooding攻擊
在SYN-Flooding攻擊中�����,攻擊者使用偽裝地址向目標計算機盡可能多地發(fā)送請求�,以達到多占用目標計算機資源的目的。當目標計算機收到這樣的請求后�����,就會使用系統(tǒng)資源來為新的連接提供服務��,接著回復一個肯定答復SYN-ACK���。由于SYN-ACK被返回到一個偽裝的地址,因此沒有任何響應���,于是目標計算機將繼續(xù)設法發(fā)送SYN-ACK�。一些系統(tǒng)都有缺省的回復次數(shù)和超時時間,只有回復一定的次數(shù)��,或者超時時��,占用的資源才會被釋放�。Windows NT 3.5x和4.0缺省設置可以重復發(fā)送SYN-ACK5次。每次重新發(fā)送后�����,等待時間翻番�。用戶可以使用Netstat命令來檢查連接線路的目前狀況,查看是否處于SYN-Flood攻擊中���。只要在命令行中�,輸入Netstat-n-ptop�����,就顯示出機器的所有連接狀況���。如果有大量的連接線路處于SYN-RECEIVED狀態(tài)下�,系統(tǒng)可能正遭受此類攻擊。實施這種攻擊的黑客無法取得系統(tǒng)中的任何訪問權��。但是對于大多數(shù)的TCP/IP協(xié)議棧�,處于SYN-RECEIVED狀態(tài)的連接數(shù)量非常有限。當?shù)竭_端口的極限時�����,目標計算機通常作出響應�,重新設置所有的額外連接請求,直到分配的資源被釋放出來��。
關鍵詞標簽:拒絕服務攻擊
火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法
網(wǎng)絡安全管理軟件-PCHunter使用教程