DoS攻擊原理及防御方法

DoS攻擊原理及防御方法及典型DoS攻擊軟件介紹四川交通職業(yè)技術(shù)學院高網(wǎng)03-1蔣虎Internet的出現(xiàn)和不斷強大讓通訊變得前所未有的便捷，也讓地球變成了一個村落。但是，在Internet開展壯大的同時，網(wǎng)絡(luò)系統(tǒng)也積下了無數(shù)的漏洞和缺陷，也正是這些缺陷和漏洞給今天的Internet留下了巨大的平安隱患，給予了破壞網(wǎng)絡(luò)的“黑客”們巨大的時機和誘惑，破壞網(wǎng)絡(luò)的攻擊方式和手段層出不窮，針對這些漏洞和缺陷的攻擊軟件更是起了“推波助瀾”的作用。雖然，一些漏洞和缺陷在Internet的壯大和完善的過程中被修補和完善，但是，還是有局部漏洞和缺陷隨著Internet的壯大而“壯大”，而且針對這些漏洞和缺陷的攻擊手段、方式和軟件也在不斷進步，基于Internet最核心的協(xié)議——TCP/IP協(xié)議的缺陷的DoS〔拒絕效勞攻擊〕就是其中一個。前言：1.1Dos攻擊及其實現(xiàn)方式：什么是DoS攻擊？

DoS是DenialofService的簡稱，即拒絕效勞，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網(wǎng)絡(luò)無法提供正常的效勞。早期的DoS攻擊常為攻擊者在自己的及其或者被其控制的單一計算機上安裝DoS攻擊軟件，對目標計算機或者效勞器進行拒絕效勞攻擊什么是DoS攻擊？

1.2DDoS攻擊及其實現(xiàn)方式：分布式拒絕效勞(DDoS:DistributedDenialofService)攻擊是指借助于客戶/效勞器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕效勞攻擊的威力。什么是DoS攻擊？

制造大流量無用數(shù)據(jù)，造成通往被攻擊主機的網(wǎng)絡(luò)擁塞，使被攻擊主機無法正常和外界通信。利用被攻擊主機提供效勞或傳輸協(xié)議上處理重復(fù)連接的缺陷，反復(fù)高頻的發(fā)出攻擊性的重復(fù)效勞請求，使被攻擊主機無法及時處理其它正常的請求。利用被攻擊主機所提供效勞程序或傳輸協(xié)議的本身實現(xiàn)缺陷，反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯誤的分配大量系統(tǒng)資源，使主機處于掛起狀態(tài)甚至死機。1.3攻擊原理

什么是DoS攻擊？

1.4攻擊手段

1.4.1Synflood：1.4.2Smurf：1.4.3Land-based：1.4.4PingofDeath：1.4.5Teardrop：1.4.6PingSweep：1.4.7Pingflood：該攻擊以多個隨機的源主機地址向目的主機發(fā)送SYN包，而在收到目的主機的SYNACK后并不回應(yīng)，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到ACK一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供效勞。該攻擊向一個子網(wǎng)的播送地址發(fā)一個帶有特定請求(如ICMP回應(yīng)請求)的包，并且將源地址偽裝成想要攻擊的主機地址。子網(wǎng)上所有主機都回應(yīng)播送包請求而向被攻擊主機發(fā)包，使該主機受到攻擊。攻擊者將一個包的源地址和目的地址都設(shè)置為目標主機的地址，然后將該包通過IP欺騙的方式發(fā)送給被攻擊主機，這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。根據(jù)TCP/IP的標準，一個包的長度最大為65536字節(jié)。盡管一個包的長度不能超過65536字節(jié)，但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大于65536字節(jié)的包時，就是受到了PingofDeath攻擊，該攻擊會造成主機的宕機。IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過發(fā)送兩段(或者更多)數(shù)據(jù)包來實現(xiàn)TearDrop攻擊。第一個包的偏移量為0，長度為N，第二個包的偏移量小于N。為了合并這些數(shù)據(jù)段，TCP/IP堆棧會分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機器的重新啟動。使用ICMPEcho輪詢多個主機。該攻擊在短時間內(nèi)向目的主機發(fā)送大量ping包，造成網(wǎng)絡(luò)堵塞或主機資源耗盡。什么是DoS攻擊？

1.3攻擊后果當目標主機受到DoS的成功攻擊后，通常會響應(yīng)速度變慢或停止響應(yīng)，連合法用戶都不能訪問該主機，嚴重的還會造成目標主機的重新啟動、死機甚至崩潰。2、典型DoS攻擊軟件介紹2.1HGOD：HGOD是在[命令提示行]中進行UDP/ICMP/IGMP各端口或端口段攻擊的DoS軟件，可以手工設(shè)定攻擊時間、攻擊目標端口〔支持多端口同時攻擊〕、攻擊時發(fā)送的數(shù)據(jù)包大小、包發(fā)送間隔時間、網(wǎng)絡(luò)速度、源IP變化范圍等參數(shù)2、典型DoS攻擊軟件介紹2.2DDoSer：DDoSer屬于分布式拒絕效勞攻擊軟件，采用的是與普通DDoS軟件不同的另一種結(jié)構(gòu)，軟件分為生成器(DDoSMaker.exe)與DDoS攻擊者程序(DDoSer.exe)兩局部。軟件在下載安裝后沒有DDoS攻擊者程序的(只有生成器DDoSMaker.exe)，DDoS攻擊者程序要通過生成器進行生成。生成時，可以自定義攻擊目標的域名或IP地址、端口等設(shè)置〔如右圖〕。DDoS攻擊者程序默認的文件名為DDoSer.exe，可以在生成時或生成后任意改名。3、DoS攻擊的防御DoS攻擊幾乎是從互聯(lián)網(wǎng)絡(luò)的誕生以來，就伴隨著互聯(lián)網(wǎng)絡(luò)的開展而一直存在也不斷開展和升級，而且DoS攻擊工具可以輕易地在互聯(lián)網(wǎng)上獲得，所以任何一個上網(wǎng)者都可能構(gòu)成網(wǎng)絡(luò)平安的潛在威脅。DoS攻擊給飛速開展的互聯(lián)網(wǎng)絡(luò)平安帶來重大的威脅。然而從某種程度上可以說，DoS攻擊永遠不會消失而且從技術(shù)上目前沒有根本的解決方法。但是，可以根據(jù)造成缺陷和漏洞的原因來預(yù)防和防止DoS攻擊：1．軟件弱點是包含在操作系統(tǒng)或應(yīng)用程序中與平安相關(guān)的系統(tǒng)缺陷安裝hotfix或者SP2．錯誤配置也會成為系統(tǒng)的平安隱患修改網(wǎng)絡(luò)/系統(tǒng)相關(guān)配置3．重復(fù)請求導(dǎo)致過載的拒絕效勞攻擊。當對資源的重復(fù)請求大大超過資源的支付能力時就會造成拒絕效勞攻擊。結(jié)語：由于30多年前制定的Internet的核心協(xié)議族——TCP/IP沿用至今，許多TCP/IP協(xié)議族中的固有缺陷和漏洞還將繼續(xù)存在，攻擊者也會繼續(xù)研究和利用這些漏洞、缺陷來攻擊網(wǎng)絡(luò)系統(tǒng)。加之，計算機軟硬件系統(tǒng)變得越來越復(fù)雜，不可防止地導(dǎo)致了由于人為疏忽出現(xiàn)的軟硬件漏洞，而且也正是因為這些協(xié)議本身和計算機系統(tǒng)的軟硬件的缺陷和漏洞給了攻擊者