拒绝服务与攻击防范.docVIP

拒绝服务攻击与防范 拒绝服务，攻击，DoS，DDoS，DRoS。 一、一般的拒绝服务攻击与防范 我们先来看看DoS的英文是什么-----DenialofService所以中文译过来就是拒绝服务了，因为Internet本身的弱点及Internet总体上的不安全性使入侵者利用了TCP/IP协议的一些不足来发动攻击，这样黑客们就容易攻击成功，因为拒绝服务攻击是一种技术含量低的攻击，所以大多人都可容易掌握，一般来说是攻击者在用其它办法不能攻击得呈时，他极有可能采用这种攻击方法，但是拒绝服务可以说是一种高消耗的方法，是一种损人不利已的行为，虽然攻击时使受攻击目标不能正常的提供服务的同时，也会浪费掉攻击者的大量代价。由于攻击就是主要使服务器的服务能力下降，所以当你发现你的CPU占用是100%时，一定要仔细看看Ri志，最常见的是查看防火墙的记录，如果常见的黑客攻击是征对WEB服务攻击。那么你还可从你的WEBRi志中得到一些收获的，从中仔细地分析出是什么原因造成的。下面我来说说最常见的，也是最早的一些拒绝服务。 1、报文洪水攻击（FloodDoS） 这个是根据TCP/IP协议的规定，要完成一个TCP连接时，需要三次握手。首先客户端发一个有SYN标志的包给服务器，请求服务，然后服务端返回一个SYN+1的ACT响应包。客户端收到后再发一个确认包给服务端。这时，客户端与服务端建立连接成功，这样就为进行以后的通信作好了准备工作。进行攻击时，攻击者就会利用只发伪造的包而不接收响应（这里实质是收不到，因为IP是假的），从而让服务器产生大量的“半开连接”，由于每个包服务器有一定的等待响应时间，而且当一定时间没有收到响应时，还会多次重发。因此服务器在重发与等待过程中形成大量的半开连接。从而攻击者可通过多台计算机。发送大量的虚假IP源地址的SYN数据包，造成服务器CPU的占用过渡，当达到一定量时，就形成了拒绝服务。同时由于合法用户的请求大多被攻击包淹没中，即使服务器此时没有死机，也无力再响应合法用户的请求了。 对于这种攻击，我们可以减少服务器重发包的次数和等待的时间，如WIN2K中可修改注册表的相应设置来防范这种洪水攻击（由于内容过多，请参考相关资料）。 2、UDPflood拒绝服务攻击 由于UDP协议是一种无连接的服务，在UDPFLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要你开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击，如QQ就是基于UDP协议的，网上有种工具能进行发送大量的包对目标进行攻击，从而让对方QQ被下线，如果是对其它的服务进行的话，严重点的话，可能会让服务器死机。 对这种攻击，建议安上防炎墙，但由于你是开了这UDP端口提供相关服务的，所以也很难于防范。 3、Land攻击。 这是利用TCP/IP的漏洞，进行发送大量的源地址与目的地址相同的包，从而造成服务器解析Land包时占用大量的处理资源，当收到的包达到一定程度时，就会形成拒绝服务攻击。 对这类攻击的防范可由防火墙解决，当收到这类包时，主动把它丢掉，不作处理，这就是简单的FIREWALL的包过滤功能，另外要打上最新的补丁。 4、Smurf攻击。 放大效果是黑客常利用的一种方法，这会使网络的效果以许多倍数递增，所以效果也相当的好，攻击者伪装成为受攻击者发包给该网络上的广播设备，然后广播设备再把请求发给网络上的多个设备，从而多个设备对这个被攻击者进行回复响应，如果该网络上的响应设备足够的多的话，就是让被攻击者收到大量的包，从而受到拒绝服务攻击。 对这种攻击，我认为可以采取一些隔离设备。使之不能进行广播。进行网络的多个划分，形成多个小“局域网”来解决这样的攻击。主要的思路就是防止计算机对IP广播请求做出响应。 5、死Ping。 Ping是通过发送ICMP报文来判断主机是否存活。我们利用这个命令就能发动一次攻击，当发送超大型这种包时，也就是发送的包超过65535字节会造成服务器重组包时发生缓冲区溢出，从而让服务器崩溃发生拒绝服务。 对这类攻击的防范现在比较容易，如一般安装了防火墙的都不会响应Ping命令的，都会把这样的包挡下，也可在系统里边设置，如WIN2K可在IP安全策略中设定把ICMP的包过滤掉，这样就解决了。另外就是要打上补丁。 二、分布式拒绝服务攻击与防范 还是先来看看它的英语是什么吧，英文全称是DistributedDenialofService，在这种攻击 主要有四种角色，黑客，主控端，攻击端，被攻击目标。它们的数量大体有以下的情况： 黑客（一个以上）——主控端(较多)——攻击端(很多个)——被攻击目标(一个) 在攻击的前期，黑客会花大量的时间来寻找大量的肉机来充当主控端与攻击端，并且为攻击作好准备工作，也就是安装