江苏龙网

  1. 主页 > 生活百科 > >

常见网络攻击以及防御方法( 二 )

网络攻击


常见拒绝服务攻击行为特征与防御方法
 
拒绝服务攻击是最常见的一类网络攻击类型 。
在这一攻击原理下,它又派生了许多种不同的攻击方式 。
正确了解这些不同的拒绝攻击方式,就可以为正确、系统地为自己所在企业部署完善的安全防护系统 。
入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为 。
要有效的进行反攻击,首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生 。

常见网络攻击以及防御方法

文章插图
 
 
下面我们针对几种典型的拒绝服务攻击原理进行简要分析,并提出相应的对策 。
死亡之Ping( Ping of death)攻击
由于在早期的阶段,路由器对包的最大大小是有限制的,许多操作系统TCP/IP栈规定ICMP包的大小限制在64KB 以内 。
在对ICMP数据包的标题头进行读取之后,是根据该标题头里包含的信息来为有效载荷生成缓冲区 。
当大小超过64KB的ICMP包,就会出现内存分配错误,导致TCP/IP堆栈崩溃,从而使接受方计算机宕机 。
这就是这种“死亡之Ping”攻击的原理所在 。
根据这一攻击原理,黑客们只需不断地通过Ping命令向攻击目标发送超过64KB的数据包,就可使目标计算机的TCP/IP堆栈崩溃,致使接受方宕机 。
防御方法:
现在所有的标准TCP/IP协议都已具有对付超过64KB大小数据包的处理能力,并且大多数防火墙能够通过对数据包中的信息和时间间隔分析,自动过滤这些攻击 。
windows 98 、Windows NT 4.0(SP3之后)、Windows 2000/XP/Server 2003 、linux 、Solaris和mac OS等系统都已具有抵抗一般“Ping of death ”拒绝服务攻击的能力 。
此外,对防火墙进行配置,阻断ICMP 以及任何未知协议数据包,都可以防止此类攻击发生 。
泪滴( teardrop)攻击
对于一些大的IP数据包,往往需要对其进行拆分传送,这是为了迎合链路层的MTU(最大传输单元)的要求 。
比如,一个6000 字节的IP包,在MTU为2000的链路上传输的时候,就需要分成三个IP包 。
在IP 报头中有一个偏移字段和一个拆分标志(MF) 。
如果MF标志设置为1,则表面这个IP包是一个大IP包的片断,其中偏移字段指出了这个片断在整个 IP包中的位置 。
例如,对一个6000字节的IP包进行拆分(MTU为2000),则三个片断中偏移字段的值依次为:0,2000,4000 。
这样接收端在全部接收完IP数据包后,就可以根据这些信息重新组装没正确的值,这样接收端在收后这些分拆的数据包后就不能按数据包中的偏移字段值正确重合这些拆分的数据包,但接收端会不断偿试,这样就可能致使目标计算朵操作系统因资源耗尽而崩溃 。
泪滴攻击利用修改在TCP/IP 堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击 。
IP分段含有指示该分段所包含的是原包的哪一段的信息,某些操作系统(如SP4 以前的 Windows NT 4.0 )的TCP/IP 在收到含有重叠偏移的伪造分段时将崩溃,不过新的操作系统已基本上能自己抵御这种攻击了 。
防御方法:
尽可能采用最新的操作系统,或者在防火墙上设置分段重组功能,由防火墙先接收到同一原包中的所有拆分数据包,然后完成重组工作,而不是直接转发 。
因为防火墙上可以设置当出现重叠字段时所采取的规则 。
TCP SYN 洪水(TCP SYN Flood)攻击
TCP/IP栈只能等待有限数量ACK(应答)消息,因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的 。
如果这一缓冲区充满了等待响应的初始信息,则该计算机就会对接下来的连接停止响应,直到缓冲区里的连接超时 。
TCP SYN 洪水攻击正是利用了这一系统漏洞来实施攻击的 。
攻击者利用伪造的IP地址向目标发出多个连接(SYN)请求 。
目标系统在接收到请求后发送确认信息,并等待回答 。
由于黑客们发送请示的IP地址是伪造的,所以确认信息也不会到达任何计算机,当然也就不会有任何计算机为此确认信息作出应答了 。
而在没有接收到应答之前,目标计算机系统是不会主动放弃的,继续会在缓冲区中保持相应连接信息,一直等待 。
当达到一定数量的等待连接后,缓区部内存资源耗尽,从而开始拒绝接收任何其他连接请求,当然也包括本来属于正常应用的请求,这就是黑客们的最终目的 。


推荐阅读


上一篇:苹果145元擦屏布已卖光怎么回事

下一篇:加湿器可以放在床头旁边吗 加湿器不能放在墙边上吗