设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1666|回复: 0

DDoS攻击 挥之不去的梦魇(2)

[复制链接]

 成长值: 50440

发表于 2013-12-4 08:20 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x

TCP/IP协议中的漏洞

另一种古老而有效的DDoS攻击模式是同步攻击。同步的工作是用来在两个互联网应用之通过协议建立握手。它的实现方法是通过一个应用程序发送一个TCP
SYN(同步)数据包到另一个程序来启动会话过程。对应的应用程序将返回一个TCP
SYN-ACK(同步确认)包;原始程序接下来就利用个ACK(确认)响应。一旦程序间建立了会话过程,就可以实现协同工作了。

同步攻击的方式是发送大量TCP
SYN数据包。每个SYN数据包都会迫使目标服务器产生一个SYN-ACK响应,并等待合适的应答。这样很快就导致在SYN-ACK的背后都积压一堆其他注册的队列。当积压队列爆满,系统就将停止确认收到SYN请求。

如果同步攻击发送的同步数据包中包含了错误的网络源IP地址的话,攻击的效果就会更好。在这种情况下,由于SYN-ACK发送出去后,ACK不再返回。通常情况下,迅速满溢的积压队列就会将合法程序发送的SYN请求结束。

内地攻击就是采用欺骗同步数据包模式攻击的新变种,它可以将网络地址伪装成为来自网络内部的情况。现在,同步攻击针对的似乎主要是防火墙,给管理者制造麻烦。

同样,大部分最新的操作系统和防火墙都可以防御同步攻击。这里有一种简单的方法,可以对防火墙进行设置,以防止所有包含已知错误源网络IP地址的传入数据包。该列表中包含了下列仅在内部使用的保留网络IP地址:10.0.0.0到10.255.255.255,127.0.0.0到127.255.255.255,172.16.0.0到172.31.255.255以及192.168.0.0到192.168.255.255。

但是,如果可以方便地直接摧毁系统,还为什么要担心偷偷摸摸躲在窗后的敌人呢?地址欺骗攻击以及利用用户数据报协议(UDP)过度使用的洪水攻击就属于这样的情况。

在地址欺骗攻击中,攻击者会向路由器发送过量的网际消息控制协议(ICMP)
回送请求数据包,这是一种特殊的ping包。每个数据包的目的网络IP地址也是网络中的广播地址,这会导致路由器将ICMP数据包广播给网络中的所有主机。不用说,在一张大型网络中,这将迅速导致出现大量数据传输堵塞的情况。此外,类似内地攻击,如果黑客将两种模式结合到一起的话,事情就会变得更糟。

防范地址欺骗攻击的最简单方法就是关闭路由器或者交换机的地址广播功能,或者在防火墙中进行设置拒绝ICMP回送请求数据包。管理员还可以对服务器进行设置,这样的话,在遇到发送给广播网络IP地址的ICMP数据包时,就不会进行响应。由于很少有应用需要网络IP地址广播功能,所以这些调整不会对网络的正常运行带来影响。

对于采用UDP洪水模式的DDoS攻击来说,就不是那么容易处理了。原因很简单,类似域名系统(DNS)和简单网络管理协议(SNMP),很多应用都需要UDP协议的支持。在UDP洪水攻击中,攻击者通过欺骗手段连接到系统的UDP
字符发生器服务上,在接受到数据包后,字符发生器将会针对另一台系统发送回送服务包。结果就是,系统之间来自字符发生器的半随机字符泛滥,导致带宽迅速被充满,常规应用的使用受到了影响。

防范UDP攻击的一种方法是禁用或者过滤所有针对主机的UDP服务请求。只要容许被服务型的UDP请求,需要使用UDP或作为备份数据传输协议的普通应用,将可以继续正常工作。




随遇而安
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表