當前位置 : 首頁>軟件學院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

詳解拒絕服務(wù)攻擊的成因和實現(xiàn)

http://www.yibo1263.com　2009-7-8 8:19:40 　來源:東北IT網(wǎng) 　編輯:葉子

“SYNFlood”則專門針對TCP協(xié)議棧在兩臺主機間初始化連接握手的過程進行DoS攻擊，其在實現(xiàn)過程中只進行前兩個步驟：當服務(wù)方收到請求方的SYN-ACK確認消息后，請求方由于采用源地址欺騙等手段使得服務(wù)方收不到ACK回應(yīng)，于是服務(wù)方會在一定時間處于等待接收請求方ACK消息的狀態(tài)。而對于某臺服務(wù)器來說，可用的TCP連接是有限的，因為只有有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會對接下來的連接停止響應(yīng)，直至緩沖區(qū)里的連接企圖超時。

如果惡意攻擊方快速連續(xù)地發(fā)送此類連接請求，該服務(wù)器可用的TCP連接隊列將很快被阻塞，系統(tǒng)可用資源急劇減少，網(wǎng)絡(luò)可用帶寬迅速縮小，長此下去，除了少數(shù)幸運用戶的請求可以插在大量虛假請求中間得到應(yīng)答外，服務(wù)器將無法向用戶提供正常的合法服務(wù)。

（5）Land（LandAttack）攻擊：在Land攻擊中，黑客利用一個特別打造的SYN包 ——它的源地址和目標地址都被設(shè)置成某一個服務(wù)器地址進行攻擊。此舉將導致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時，在Land攻擊下，許多UNIX將崩潰，NT變得極其緩慢。

（6）IP欺騙DoS攻擊：這種攻擊利用TCP協(xié)議棧的RST位來實現(xiàn)，使用IP欺騙，迫使服務(wù)器把合法用戶的連接復位，影響合法用戶的連接。假設(shè)現(xiàn)在有一個合法用戶（100.100.100.100）已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為100.100.100.100，并向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段；而服務(wù)器接收到這樣的數(shù)據(jù)后，認為從100.100.100.100發(fā)送的連接有錯誤，就會清空緩沖區(qū)中已建立好的連接。這時，合法用戶100.100.100.100再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接，該用戶就被拒絕服務(wù)而只能重新開始建立新的連接了。

自從互聯(lián)網(wǎng)絡(luò)誕生以來，DoS攻擊就伴隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展而一直存在，也不斷發(fā)展和升級。值得一提的是，要找DoS的工具一點不難，黑客群居的網(wǎng)絡(luò)社區(qū)都有共享黑客軟件的傳統(tǒng)，并會在一起交流攻擊的心得經(jīng)驗，可以很輕松地從互聯(lián)網(wǎng)上獲得這些工具，像以上提到的這些DoS攻擊軟件都是可從網(wǎng)上隨意找到的公開軟件。

所以任何一個上網(wǎng)者都可能構(gòu)成網(wǎng)絡(luò)安全的潛在威脅。DoS攻擊給飛速發(fā)展的互聯(lián)網(wǎng)絡(luò)安全帶來重大的威脅。然而從某種程度上可以說，DoS攻擊永遠不會消失而且從技術(shù)上目前還沒有根本的解決辦法。

面對兇多吉少的DoS險灘，該如何應(yīng)對隨時出現(xiàn)的黑客攻擊呢？首先分析一下DoS攻擊的如下一些原因：

（1）軟件弱點是包含在操作系統(tǒng)或應(yīng)用程序中與安全相關(guān)的系統(tǒng)缺陷，這些缺陷大多是由于錯誤的程序編制、粗心的源代碼審核、無心的副效應(yīng)或一些不適當?shù)慕壎ㄋ斐傻摹Ｓ捎谑褂玫能浖䦷缀跬耆蕾囉陂_發(fā)商，所以對于由軟件引起的漏洞只能依靠打補丁，安裝Hotfixes和Servicepacks來彌補。當某個應(yīng)用程序被發(fā)現(xiàn)有漏洞存在時，開發(fā)商會立即給出一個更新的版本來修正這個漏洞。而由開發(fā)協(xié)議固有的缺陷導致的DoS攻擊，則可以通過簡單的補丁來加以彌補。

（2）錯誤配置也會成為系統(tǒng)的安全隱患。這些錯誤配置通常發(fā)生在硬件裝置、系統(tǒng)或者應(yīng)用程序中，大多是由于一些沒經(jīng)驗的、無責任員工或者錯誤的理論所導致的。如果對網(wǎng)絡(luò)中的路由器、防火墻、交換機以及其他網(wǎng)絡(luò)連接設(shè)備都進行正確的配置，則會減小這些錯誤發(fā)生的可能性，因此這種漏洞應(yīng)當請教專業(yè)的技術(shù)人員來修正這些問題。

（3）重復請求導致過載的拒絕服務(wù)攻擊。當對資源的重復請求大大超過資源的支付能力時就會造成拒絕服務(wù)攻擊（例如，對已經(jīng)滿載的Web服務(wù)器進行過多的請求使其過載）。

要避免系統(tǒng)免受DoS攻擊，從前兩點來看，網(wǎng)絡(luò)管理員要積極謹慎地維護系統(tǒng)，確保無安全隱患和漏洞；而針對第三點的惡意攻擊方式則需要安裝UTM等安全設(shè)備過濾DoS攻擊，同時強烈建議網(wǎng)絡(luò)管理員應(yīng)當定期查看安全設(shè)備的日志，以便及時發(fā)現(xiàn)對系統(tǒng)的安全威脅行為。

本新聞共3頁,當前在第2頁 1 2 3

【收藏】【打印】【進入論壇】

相關(guān)文章：

·解析拒絕服務(wù)攻擊的攻擊技術(shù)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费