阻断拒尽服务攻击

核心提示：从往年7、8月开始，拒尽服务攻击在网上盛行1时，1年后的现在又有抬头之势。那末我们除用防堵软件外，是否是还有其它办法呢？

从往年7、8月开始，拒尽服务攻击在网上盛行1时，1年后的现在又有抬头之势。那末我们除用防堵软件外，是否是还有其它办法呢？

服务过载

当大量服务要求发向同1台计算机的服务守护进程时，就会产生服务过载。这些要求通过各种方式发出，而且很多都是故意的。在分时机制中，计算机需要处理这些潮水般涌来的要求，10分繁忙，以致没法处理常规任务，就会抛弃很多新要求。假设攻击的对象是1个基于TCP协议的服务，这些要求还会被重发，进1步加重网络的负担。

通常，治理员可使用网络监视工具来发现这类攻击，通过主机列表和网络地址列表来分析题目的所在，也能够登录防火墙或路由器来发现攻击究竟是来自于网络外部还是网络内部。

消息流

消息流常常产生在用户向网络中的目标主机大量发送数据包之时，消息流会造成目标主机的处理速度缓慢，难以正常处理任务。这些要求以要求文件服务、要求登录或要求响应的情势，不断涌向目标主机，加重了目标主机的处理器负载，使目标主机消耗大量资源来响应这些要求。在极真个情况下，消息流可使目标主机因没有内存空间做缓冲或产生其他毛病而死机。

消息流主要针对网络服务器。1个被攻击的服务器可能在1段时间内没法响应网络要求。攻击者利用这个时机，编写程序来回答本来应当由服务器回答的要求。假定攻击者已写了1个程序，每秒发送数千个echo要求到目标主机，借此来“轰炸”NIS服务器。同时，攻击者尝试登录到1台工作站的特权账户。这时候，这台工作站将向真实的NIS服务器询问NIS口令。但是，真实的NIS服务器因正遭到攻击，不能迅速响应这个要求。这时候，攻击者所在的主机即可以假装成服务器，响应这个要求，并提供了1个毛病的信息，例如，说没有口令。在正常情况下，真实的服务器会指出这个包是毛病的，但是，由于服务器负载太重，以致于它没有收到这个要求或没有及时收到，不能做出响应。因而，那个发出要求的客户机便根据这个毛病的回答，处理攻击者的登录要求。

对付这类攻击有效的办法是配置1个监视器，将网络分隔成小的子网。监视器有助于发现和禁止这类攻击，但其实不能完全消除这类攻击。

“粘住”攻击

很多Unix系统中的TCP/IP实现程序，存在被滥用的可能。TCP连接通过3次握手来建立1个连接。假设攻击者发出多个连接要求，初步建立了连接，但又没有完成其后的连接步骤，接收者便会保存很多这类半连接，占用很多资源。通常，这些连接要求使用捏造的源地址，系统就没有办法往跟踪这个连接，只有等待这个连接由于超时而开释。对付这类攻击，最好的办法是拒尽防火墙外面的未知主机或网络的连接要求，或对使用的协议增加限制，但是任何固定的限制都是不适当的。用户可以修改操纵系统的源码，使之有1个超时值，在拒尽新到来的连接之前，对同时存在的半连接数目有1个限制，但是修改操纵系统的源码其实不轻易进行。

SYN-Flooding攻击

在SYN-Flooding攻击中，攻击者使用假装地址向目标计算机尽可能多地发送要求，以到达多占用目标计算机资源的目的。当目标计算机收到这样的要求后，就会使用系统资源来为新的连接提供服务，接着回复1个肯定答复SYN-ACK。由于SYN-ACK被返回到1个假装的地址，因此没有任何响应，因而目标计算机将继续想法发送SYN-ACK。1些系统都有缺省的回复次数和超时时间，只有回复1定的次数，或超时时，占用的资源才会被开释。Windows NT 3.5x和4.0缺省设置可以重复发送SYN-ACK5次。每次重新发送后，等待时间翻番。用户可使用Netstat命令来检查连接线路的目前状态，查看是否是处于SYN-Flood攻击中。只要在命令行中，输进Netstat-n-ptop，就显示出机器的所有连接状态。假设有大量的连接线路处于SYN-RECEIVED状态下，系统可能正遭受此类攻击。实行这类攻击的黑客没法取得系统中的任何访问权。但是对大多数的TCP/IP协议栈，处于SYN-RECEIVED状态的连接数目非常有限。当到达端口的极限时，目标计算机通常作出响应，重新设置所有的额外连接要求，直到分配的资源被开释出来。

评论加载中... 内容： 评论者： 验证码：