拒绝服务入侵机制及处理办法(一)

拒绝服务入侵机制及处理办法(一),标签：电脑网络知识,网络基础知识,http://www.5ijcw.com
　　·　由于程序员对程序错误的编制，导致系统不停的建立进程，最终耗尽资源，只能重新启动机器。不同的系统平台都会采取某些方法可以防止一些特殊的用户来占用过多的系统资源，我们也建议尽量采用资源管理的方式来减轻这种安全威胁。
　　·　还有一种情况是由磁盘存储空间引起的。假如一个用户有权利存储大量的文件的话，他就有可能只为系统留下很小的空间用来存储日志文件等系统信息。这是一种不良的操作习惯，会给系统带来隐患。这种情况下应该对系统配额作出考虑。
　　从安全的角度来看，本地的拒绝服务攻击可以比较容易的追踪并消除。而我们这篇文章主要是针对于网络环境下的DoS攻击。下面我们大体讨论一下较为常见的基于网络的拒绝服务攻击：
　　·　Smurf　(directed　broadcast)。广播信息可以通过一定的手段（通过广播地址或其他机制）发送到整个网络中的机器。当某台机器使用广播地址发送一个ICMP　echo请求包时（例如PING），一些系统会回应一个ICMP　echo回应包，也就是说，发送一个包会收到许多的响应包。Smurf攻击就是使用这个原理来进行的，当然，它还需要一个假冒的源地址。也就是说在网络中发送源地址为要攻击主机的地址，目的地址为广播地址的包，会使许多的系统响应发送大量的信息给被攻击主机（因为他的地址被攻击者假冒了）。使用网络发送一个包而引出大量回应的方式也被叫做"放大器"，这些smurf放大器可以在www.netscan.org网站上获得，一些无能的且不负责任的网站仍有很多的这种漏洞。
　　·　SYN　flooding　一台机器在网络中通讯时首先需要建立TCP握手，标准的TCP握手需要三次包交换来建立。一台服务器一旦接收到客户机的SYN包后必须回应一个SYN/ACK包，然后等待该客户机回应给它一个ACK包来确认，才真正建立连接。然而，如果只发送初始化的SYN包，而不发送确认服务器的ACK包会导致服务器一直等待ACK包。由于服务器在有限的时间内只能响应有限数量的连接，这就会导致服务器一直等待回应而无法响应其他机器进行的连接请求。
　　·　Slashdot　effect　这种攻击手法使web服务器或其他类型的服务器由于大量的网络传输而过载，一般这些网络流量是针对某一个页面或一个链接而产生的。当然这种现象也会在访问量较大的网站上正常发生，但我们一定要把这些正常现象和拒绝服务攻击区分开来。如果您的服务器突然变得拥挤不堪，甚至无法响应再多的请求时，您应当仔细检查一下这个资源匮乏的现象，确认在10000次点击里全都是合法用户进行的，还是由5000个合法用户和一个点击了5000次的攻击者进行的。
　　拒绝服务一般都是由过载导致的，而过载一般是因为请求到达了极限。
　　拒绝服务攻击的发展
　　由于我们防范手段的加强，拒绝服务攻击手法也在不断的发展。
　　Tribe　Flood　Network　(tfn)　和tfn2k引入了一个新概念：分布式。这些程序可以使得分散在互联网各处的机器共同完成对一台主机攻击的操作，从而使主机看起来好象是遭到了不同位置的许多主机的攻击。这些分散的机器由几台主控制机操作进行多种类型的攻击，如UDP　flood,　SYN　flood等。
　　操作系统和网络设备的缺陷在不断地被发现并被 www.5ijcw.com 黑客所利用来进行恶意的攻击。如果我们清楚的认识到了这一点，我们应当使用下面的两步尽量阻止网络攻击来保护我们的网络：　
　　A）尽可能的修正已经发现的问题和系统漏洞。
　　B）识别，跟踪或禁止这些令人讨厌的机器或网络对我们的访问。
　　我们先来讨论一下B），在B）中我们面临的主要问题是如何识别那些恶意攻击的主机，特别是使用拒绝服务攻击的机器。因为这些机器隐藏了他们自己的地址，而冒用被攻击者的地址。攻击者使用了数以千计的恶意伪造包来使我们的主机受到攻击。"tfn2k"的原理就象上面讲的这么简单，而他只不过又提供了一个形象的界面。假如您遭到了分布式的拒绝服务攻击，实在是很难处理。
　　解决此类问题的一些专业手段----包过滤及其他的路由设置
　　有一些简单的手法来防止拒绝服务式的攻击。最为常用的一种当然是时刻关注安全信息以期待最好的方法出现。管理员应当订阅安全信息报告，实时的关注所有安全问题的发展。：）

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]  下一页

上一篇：解决“正在连接”无线的故障