拒絕服務(wù)攻擊與防范

1、使服務(wù)器的服務(wù)能力下降，所以當(dāng)你發(fā)現(xiàn) 你的CPU占用是100%時(shí)，一定要仔細(xì)看看Ri志，最常見的是查看防火墻的記錄，如果常見的黑客攻擊是征對(duì)WEB服務(wù)攻擊。那么你還可從你的WEBRi志中得到一些收獲的，從中仔細(xì)地分析出是什么原因造成的。下面我來說說最常見的，也是最早的一些拒絕服務(wù)。 1、報(bào)文洪水攻擊（FloodDoS） 這個(gè)是根據(jù)TCP/IP協(xié)議的規(guī)定，要完成一個(gè)TCP連接時(shí)，需要三次握手。首先客戶端發(fā)一個(gè)有SYN標(biāo)志的包給服務(wù)器，請(qǐng)求服務(wù)，然后服務(wù)端返回一個(gè)SYN+1的ACT響應(yīng)包?？蛻舳耸盏胶笤侔l(fā)一個(gè)確認(rèn)包給服務(wù)端。這時(shí)，客戶端與服務(wù)端建立連接成功，這樣就為進(jìn)行以后的通信作好了準(zhǔn)備工作。進(jìn)

2、行攻擊時(shí)，攻擊者就會(huì)利用只發(fā)偽造的包而不接收響應(yīng)（這里實(shí)質(zhì)是收不到，因?yàn)镮P是假的），從而讓服務(wù)器產(chǎn)生大量的“半開連接”，由于每個(gè)包服務(wù)器有一定的等待響應(yīng)時(shí)間，而且當(dāng)一定時(shí)間沒有收到響應(yīng)時(shí)，還會(huì)多次重發(fā)。因此服務(wù)器在重發(fā)與等待過程中形成大量的半開連接。從而攻擊者可通過多臺(tái)計(jì)算機(jī)。發(fā)送大量的虛假IP源地址的SYN數(shù)據(jù)包，造成服務(wù)器CPU的占用過渡，當(dāng)達(dá)到一定量時(shí)，就形成了拒絕服務(wù)。同時(shí)由于合法用戶的請(qǐng)求大多被攻擊包淹沒中，即使服務(wù)器此時(shí)沒有死機(jī)，也無力再響應(yīng)合法用戶的請(qǐng)求了。 對(duì)于這種攻擊，我們可以減少服務(wù)器重發(fā)包的次數(shù)和等待的時(shí)間，如WIN2K中可修改注冊(cè)表的相應(yīng)設(shè)置來防范這種洪水攻擊（由于內(nèi)

3、容過多，請(qǐng)參考相關(guān)資料）。 2、UDPflood拒絕服務(wù)攻擊 由于UDP協(xié)議是一種無連接的服務(wù)，在UDPFLOOD攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是，由于UDP協(xié)議是無連接性的，所以只要你開了一個(gè)UDP的端口提供相關(guān)服務(wù)的話，那么就可針對(duì)相關(guān)的服務(wù)進(jìn)行攻擊，如QQ就是基于UDP協(xié)議的，網(wǎng)上有種工具能進(jìn)行發(fā)送大量的包對(duì)目標(biāo)進(jìn)行攻擊，從而讓對(duì)方QQ被下線，如果是對(duì)其它的服務(wù)進(jìn)行的話，嚴(yán)重點(diǎn)的話，可能會(huì)讓服務(wù)器死機(jī)。 對(duì)這種攻擊，建議安上防炎墻，但由于你是開了這UDP端口提供相關(guān)服務(wù)的，所以也很難于防范。 3、Land攻擊。 這是利用TCP/IP的漏洞，進(jìn)行發(fā)送大量的源地址與目

4、的地址相同的包，從而造成服務(wù)器解析Land包時(shí)占用大量的處理資源，當(dāng)收到的包達(dá)到一定程度時(shí)，就會(huì)形成拒絕服務(wù)攻擊。 對(duì)這類攻擊的防范可由防火墻解決，當(dāng)收到這類包時(shí)，主動(dòng)把它丟掉，不作處理，這就是簡(jiǎn)單的FIREWALL的包過濾功能，另外要打上最新的補(bǔ)丁。 4、Smurf攻擊。 放大效果是黑客常利用的一種方法，這會(huì)使網(wǎng)絡(luò)的效果以許多倍數(shù)遞增，所以 效果也相當(dāng)?shù)暮?，攻擊者偽裝成為受攻擊者發(fā)包給該網(wǎng)絡(luò)上的廣播設(shè)備，然后廣播 設(shè)備再把請(qǐng)求發(fā)給網(wǎng)絡(luò)上的多個(gè)設(shè)備，從而多個(gè)設(shè)備對(duì)這個(gè)被攻擊者進(jìn)行回復(fù)響應(yīng)，如果該網(wǎng)絡(luò)上的響應(yīng)設(shè)備足夠的多的話，就是讓被攻擊者收到大量的包，從而受到拒絕服務(wù)攻擊。 對(duì)這種攻擊，我認(rèn)為

5、可以采取一些隔離設(shè)備。使之不能進(jìn)行廣播。進(jìn)行網(wǎng)絡(luò)的多個(gè)劃分，形成多個(gè)小“局域網(wǎng)”來解決這樣的攻擊。主要的思路就是防止計(jì)算機(jī)對(duì)IP廣播請(qǐng)求做出響應(yīng)。 5、死Ping。 Ping是通過發(fā)送ICMP報(bào)文來判斷主機(jī)是否存活。我們利用這個(gè)命令就能發(fā)動(dòng)一次攻擊，當(dāng)發(fā)送超大型這種包時(shí)，也就是發(fā)送的包超過65535字節(jié)會(huì)造成服務(wù)器重組包時(shí)發(fā)生緩沖區(qū)溢出，從而讓服務(wù)器崩潰發(fā)生拒絕服務(wù)。 對(duì)這類攻擊的防范現(xiàn)在比較容易，如一般安裝了防火墻的都不會(huì)響應(yīng)Ping命令的，都會(huì)把這樣的包擋下，也可在系統(tǒng)里邊設(shè)置，如WIN2K可在IP安全策略中設(shè)定把ICMP的包過濾掉，這樣就解決了。另外就是要打上補(bǔ)丁。 二、分布式拒絕服務(wù)攻

6、擊與防范 還是先來看看它的英語是什么吧，英文全稱是DistributedDenialofService，在這種攻擊 主要有四種角色，黑客，主控端，攻擊端，被攻擊目標(biāo)。它們的數(shù)量大體有以下的情況： 黑客（一個(gè)以上）>主控端(較多)>攻擊端(很多個(gè))>被攻擊目標(biāo)(一個(gè)) 在攻擊的前期，黑客會(huì)花大量的時(shí)間來尋找大量的肉機(jī)來充當(dāng)主控端與攻擊端，并且為攻擊作好準(zhǔn)備工作，也就是安裝各種拒絕服務(wù)后門程序，如我們國(guó)內(nèi)比較有名的獨(dú)裁者，它與木馬相似，分為客戶端與服務(wù)端。必須大量的植入服務(wù)端程序，以便以后發(fā)起攻擊。（在這以前我也曾寫過拒絕服務(wù)獨(dú)裁者后門的手工清除的文章，可以參考一下，不要讓自己的

7、計(jì)算機(jī)充當(dāng)了為攻擊者服務(wù)的工具）在這種攻擊中，黑客若對(duì)一個(gè)大型目標(biāo)進(jìn)行攻擊時(shí)，可能采取多方聯(lián)合，就是把一般的那些拒絕服務(wù)攻擊方式都可能用上，這樣才能達(dá)到攻擊效果明顯，盡早讓被攻擊目標(biāo)陷入癱瘓狀態(tài)中。這里為何多個(gè)主控端呢？主要是黑客在攻擊時(shí)，被攻擊目標(biāo)可能會(huì)進(jìn)行查找攻擊源，這樣的話就能夠更好的隱藏，并且一般來說，黑客是用虛假的IP源地址來控制主控端的，黑客不會(huì)讓主控端返回任響應(yīng)。同樣主控端與攻擊者間的通信控制也是采取這樣方式，這樣就大大的減少了暴露出黑客自己的可能性。 對(duì)這類攻擊是很難防范的，這里不僅是被攻擊者的，還有網(wǎng)絡(luò)中的各計(jì)算機(jī)都要時(shí)刻注意的，有時(shí)也許你的計(jì)算機(jī)無意中就充當(dāng)了一個(gè)攻擊者的角

8、色，所以 ，你要盡可能的打上最新補(bǔ)丁，檢查自己計(jì)算機(jī)的漏洞，不要讓黑客在你的計(jì)算機(jī)中植入了攻擊程序。如獨(dú)裁者的服務(wù)端會(huì)開一個(gè) 8535的端口等待連接，隨時(shí)在待命攻擊中一樣,并且當(dāng)攻擊行動(dòng)發(fā)生時(shí)，你的計(jì)算機(jī)若是充當(dāng)了攻擊端的話，會(huì)明顯感覺到你在處理另外的工作時(shí)速度突然變慢，在WINDOW操作系統(tǒng)下我看了一下，CPU利用率會(huì)達(dá)到100%，所以說，是相當(dāng)嚴(yán)重的。但有些攻擊程序也沒有客戶端，對(duì)這種情況，黑客一般是早已就計(jì)劃好了對(duì)某個(gè)目標(biāo)的攻擊的，他們?cè)缇桶压舫绦蚺渲坪昧说?，只?duì)特定的目標(biāo)進(jìn)行攻擊。對(duì)于被攻擊者，當(dāng)受到攻擊時(shí)，要及時(shí)的調(diào)整防火墻的策略。要與骨干網(wǎng)絡(luò)運(yùn)營(yíng)商做好溝通，就是每家運(yùn)營(yíng)商在自己的

9、出口路由器上進(jìn)行源IP地址的驗(yàn)證，如果在自己的路由表中沒有這個(gè)數(shù)據(jù)包源IP的路由，就丟掉這個(gè)包。這種方法可以一定程度上阻止黑客利用偽造的源IP來進(jìn)行DDoS攻擊。不過同樣，這樣做會(huì)降低路由器的效率，這也是骨干運(yùn)營(yíng)商非常關(guān)注的問題，所以這種做法真正采用起來還很困難。另外就是要與ISP進(jìn)行聯(lián)系，請(qǐng)求提供幫助。 三、反射式分布拒絕服務(wù)攻擊。 同樣它的英語是DistributedReflectionDenialofService這是DDoS攻擊的變形，它與DDoS的不同之處就是DrDoS不需要在實(shí)際攻擊之前占領(lǐng)大量的傀儡機(jī)。這種攻擊也是在偽造數(shù)據(jù)包源地址的情況下進(jìn)行的，從這一點(diǎn)上說與Smurf攻擊一樣

10、，而DrDoS是可以在廣域網(wǎng)上進(jìn)行的。其名稱中的"r"意為反射，就是這種攻擊行為最大的特點(diǎn)。黑客同樣利用特殊的發(fā)包工具，首先把偽造了源地址的SYN連接請(qǐng)求包發(fā)送到那些被欺騙的計(jì)算機(jī)上，根據(jù)TCP三次握手的規(guī)則，這些計(jì)算機(jī)會(huì)向源IP發(fā)出SYN+ACK或RST包來響應(yīng)這個(gè)請(qǐng)求。同Smurf攻擊一樣，黑客所發(fā)送的請(qǐng)求包的源IP地址是被害者的地址，這樣受欺騙的計(jì)算機(jī)就都會(huì)把回應(yīng)發(fā)到受害者處，造成該主機(jī)忙于處理這些回應(yīng)而被拒絕服務(wù)攻擊。 對(duì)于這種攻擊是很難進(jìn)行防范的，因?yàn)檫@類包的IP雖然是不真實(shí)的，但卻是合法的。 四、新型DoS(偽造TCP連接進(jìn)行數(shù)據(jù)傳輸?shù)腄oS)攻擊。 這里是從近幾天重慶網(wǎng)絡(luò)安全工程師俱樂部的LionD8寫的一篇文章中談的，這種拒絕服務(wù)攻擊主要在它要先建立TCP連接，然后才發(fā)動(dòng)攻