1   1  /  1  页   跳转

再谈DoS攻击

再谈DoS攻击

昨天写了一个DDoS攻击的,突然发现有点跳跃了,DoS攻击还没说,于是再补一篇。
      DoS不是通常所说的那个黑乎乎的操作系统DOS,而是Denial Of Service,拒绝服务,DoS是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。
      今天最常见的DoS攻击有对计算机网络的带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。

      最常见和最明显的DOS攻击类型发生在攻击者用如洪水般的信息冲击一个网络的时候。当您在浏览器的地址栏里键入某个网站的URL地址的时候,您是在向这个网站的计算机服务器发送一个浏览网页的请求。服务器只能同时处理一定数量的请求,因此如果一个攻击者向服务器发出了超出其负荷量的请求,该服务器便不能再处理您的请求。因为您无法进入这个网站,所以这就是”拒绝服务攻击”。
      攻击者可以利用垃圾邮件信息对您的email账号发起相类似的攻击。无论您的电子邮件账号是您的老板为您提供的,还是您使用的是Yahoo或Hotmail这样的提供免费服务的账号,您都被分配了一个具体的空间额度,这个额度限定了您在任何时间在账号中可保存的数据总量。通过向您的账号发送大量的或容量大的文件,攻击者就能消耗掉您的账号空间,以阻止您接收到合法的信息。
      无论是DoS还是DDoS,都有一个共同点,就是其根本目的是使受害主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求。其具体表现方式有以下几种:
1.制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信。
2.利用被攻击主机提供服务或传输协议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它正常的请求。 3.利用被攻击主机所提供服务程序或传输协议的本身实现缺陷,反复发送畸形的攻击数据引发系统错误的分配大量系统资源,使主机处于挂起状态甚至死机。
      简单的说其实就是断网和死机。
      DoS具有代表性的攻击手段包括Ping of Death、TearDrop、UDP flood 、SYN flood、Land Attack、IP Spoofing DoS等。
      现在并没有特别有效的途径可以避免成为DoS和DDoS的受害者,但是我们可以采取一些措施来使自己被攻击的可能性减小,例如:
      安装和持续使用杀毒软件,这个是必须的吧,呵呵,要是“裸奔”的话很容易就被攻击的。
      安装防火墙,并进行配置,实现对外界攻击的隔离。
      遵循良好的安全操作发布您的电子邮件地址,申请电子邮件过滤器可以帮助您管理有害流量。

有事出去了,回来继续

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
分享到:
gototop
 

回复: 再谈DoS攻击

抵御DoS攻击,理想的状态时交换机和路由器受到攻击时能够有所反应,屏蔽攻击IP以及端口。每个事件都立即反应并记录在日志中,同时他们也能识别并对蠕虫攻击做出反应。基于角色的管理给予管理员最低程序的许可来完成任务,允许分派任务,提供检查及平衡,只有受信任的连接才能管理倔们。管理权限可赋予设备或其他主机,例如管理权限可授予一定IP地址及特定的TCP/UDP端口。控制管理权限的最好办法是在授权进入前分权限,可以通过认证和账户服务器,例如远程接入服务,终端服务,或LDAP服务。

      建立登陆控制可以减少攻击的可能性,设定尝试登录的次数,可以做出反应。详细的日志在发现尝试密码破解以及端口扫描时是非常有效的。防火墙可以控制网络之间的访问,路由过滤措施也可以基于源/目标交换槽或端口,源/目标VLAN,源/目标IP,或TCP/UDP端口,ICMP类型,或MAC地址。当未知的源地址要求连入已知的内部目标时是有用的。

再转载一个防御DoS/DDoS攻击的几种方法:

      1.确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。
      2.确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在运行什么?谁在使用主机?哪些人可以访问主机?不然,即使黑客侵犯了系统,也很难查明。
  3.确保从服务器相应的
目录或文件数据库中删除未使用的服务如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统——甚至是受防火墙保护的系统。
  4.确保运行在Unix上的所有服务都有TCP封装程序,限制对主机的访问权限。
  5.禁止内部网通过Modem连接至PSTN系统。否则,黑客能通过电话线发现未受保护的主机,即刻就能访问极为机密的数据。
  6.禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传送口令,而Telnet和Rlogin则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。此外,在Unix上应该将.rhost和hosts.equiv文件删除,因为不用猜口令,这些文件就会提供登录访问!
  7.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。
  8.确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。
  9.在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以定要认真检查特权端口和非特权端口。
  10.检查所有网络设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更,几乎可以肯定:相关的主机安全受到了危胁。
  11.利用DDoS设备提供商的设备。
  遗憾的是,目前没有哪个网络可以免受DDoS攻击,但如果采取上述几项措施,能起到一定的预防作用。

可能还会继续更新……
gototop
 

回复: 再谈DoS攻击

最常见的DoS攻击,分为计算机网络带宽攻击和连通性攻击,有以下几种:。
synflood: 伪IP发送Syn,专门针对TCP的,它试图侵占所有可能的网络连接,从而拒绝对网络服务合法的访问
smurf:  向一个子网广播地址发一个带回应请求的包,将源地址伪装成想要攻击的主机地址。
Land-based :将一个包的源地址和目的地址设为目标主机地址,使其陷入死循环。
Ping of death: 主机受到长于65536字节的包而崩溃,长度过长的包会在未加保护的系统中造成或引发网络问题。
Teardrep: 数据包分成小片段,TCP/IP堆栈会分配大量的资源,造成机器重启。
Pingflood: 向目的主机发送大量的PING包
PingSweep :使用iCMP Echo进行轮询多个主机。
Zombies :是指受到攻击者破坏并被其用于攻击(或被其准备用于攻击)的计算机。

      很多个人或是企业在受到攻击之前,并没有意识到自己在dos方面存在的缺陷,一旦遇到就为时已晚。所以我们必须要提前去做一些事,以减少系统所存在的脆弱性。装一台好的防火墙是关键,但是并不是装了之后就OK,我们需要一台好的、我们充分了解的防火墙,而且我们能够自己对它进行正确的配置和使用。
      现在好的防火墙都配置为拒绝所有的数据流,从而将问题缩小到明确允许通过的数据流上。或是同时采取另一些安全措施,比如电子邮件过滤器和病毒检测软件,将他们布置在防火墙后面会很有用。
      拥有基准网络传输流数据可以帮助将合法传输多媒体文件造成的数据流激增与黑客产生的数据流增加区分开来。 
      软件方面,保持应用程序和操作系统补丁的最新状态,对补丁程序进行测试,确保补丁不会造成系统的不稳定,一旦成功,就需要立即对设备进行升级。保持消息的灵通,时时关注最新的情况,是做好防御的关键。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT