设为首页 - 加入收藏
广告 1000x90
您的当前位置:12555主二肖com > 拒绝服务 > 正文

拒绝服务攻击?

来源:未知 编辑:admin 时间:2019-08-11

  可选中1个或多个下面的关键词,搜索相关资料。也可直接点“搜索资料”搜索整个问题。

  展开全部拒绝服务攻击是一种拒绝用户或客户端对特定的系统和网络资源进行访问的技术。

  其实现可以是利用操作系统或软件的漏洞,也可以在使用非常大数量的合法请求,其结果都会形成过多的资源消耗或使资源崩溃,以实现对资源的拒绝访问目的。

  ICMP报文是由系统内核或进程直接处理而不是通过端口,因此构造ICMP报文一向是攻击主机的最好方法之一。

  一个完整的IP数据包最大为65535Byte,如果底层协议的MTU小于上层IP数据包的大小,IP包就应该分片,并由接收者进行重组。

  典型的以太网的MTU为1500Byte。ICMP作为内嵌于IP中的协议,其容许的最大数据量应该是65535-20-8Byte。其中,20为IP头的大小,8为ICMP头的大小。

  在很多操作系统的早期版本中,对网络数据包的最大尺寸有限制。对单个IP报文的处理过程中通常要设置有一定大小的缓冲区,以应付IP分片的情况。接收数据包时,网络层协议要对IP分片进行重组,可是,如果重组后的数据报文长度超过了IP报文缓冲区的上限时,就会出现溢出现象,导致TCP/IP协议栈的崩溃。

  早期的Ping工具允许任意设置发送数据的字节数,于是,黑客只需要简单地利用ping工具就可以让目标主机拒绝服务。

  现在所有的标准TCP/IP实现都能够对付超大尺寸的包,例如Windows 2000中的Ping命令只允许发送65500Byte大小的数据,Linux则一律是84Byte,不分片。并且大多数防火墙能够自动过滤这些攻击。并且只有ping会造成这种问题。

  在早期的操作系统,如Windows NT 3.51或windows 95中,都存在这样的问题。 因此,Ping of Death对于仍在使用的早期未打补丁的操作系统仍然奏效。

  利用早期某些操作系统中TCP/IP协议栈对IP分片包进行重组时的漏洞。Windows 3.1/95/NT以及Linux 2.1.63以前的版本都存在这个问题。

  攻击者向目标主机发送两个分片的IP包。第一个IP包的数据偏移(offset)设为0,有效数据长度为N。第二个IP包的数据偏移设为K(KN),有效数据长度为S(K+SN)。

  操作系统需要将分片的IP包组合成一个完整的IP包,IP分片含有指示该分段包含的是原包的哪一段的信息。重组的时候,免不了出现一些重叠现象,需要对此进行处理。

  由于这种攻击使用的是正常的TCP网络服务都不会禁止的SYN类型数据包,而且数据包很小,很容易快速产生。最重要的是,黑客根本不需要得到目标主机的返回信息,所以他可以伪造数据包的源IP地址和源端口,让目标主机无法追查来源。

  如果黑客源源不断的发送这种SYN包,每一个源IP地址都是随机产生的一些虚假地址。导致受害者不能再进行IP过滤或追查攻击源,受害者的目标端口未完成队列就不断壮大,因为超时丢弃总没有新接收的速度快。所以,一直到该队列被拥塞满了为止,所有外来的连接请求不会再得到正常响应。

  所以这种攻击不容易防范。一般需要借助防火墙。例如,防火墙在接收到客户端的SYN请求后,并不立即转发给服务器,而是代表服务器建立了完整的TCP连接之后,才向服务器 转发真正的连接请求。如国内的天网防火墙。

  攻击者为接收设备伪造一个特定的数据包,在数据包的来源和目的地址域都包含接收设备的因特网地址,还包含了相同的来源和目的端口号。这种伪造的数据包使得设备试图向伪造的数据包中的目的地址和端口做出应答,而扰乱设备。

  在Smurf攻击中,攻击者发送一个ICMP echo请求包,并设置源地址为受攻击主机的IP地址,目的地址为广播地址。如果网段为10.2.1.0-24,那么广播地址为10.2.1.255。因此,大量的ICMP echo响应包会发送到被攻击主机,而消耗其网络带宽和CPU周期。同时,通向受攻击主机的路由器也会崩溃。

  之所以smurf攻击屡屡奏效,并非受害主机的操作系统或者网络协议有什么问题,而在于这种攻击的“借力”效果。黑客可以利用自己有限的带宽,同时找到一个高带宽的网络作为反弹攻击跳板,转而攻击一个有限带宽的受害系统。最终的结果,就好比一个宽敞的高速公路,却有一个极狭窄的出口,可是所有车辆都必须从这个出口通行,从而导致交通堵塞。更严重的是,这种攻击不仅能使被害主机拒绝服务,该主机所在网络也连带受害,所有与外界网络的通信都会受到影响

  DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小、网络带宽小时其效果明显。随着计算机处理能力增长,内存增加,出现千兆级别的网络,加强了对恶意攻击包的消化能力,加大了 DoS攻击的困难程度。例如攻击软件每秒钟可以发送3,000个攻击包,但主机和网络带宽每秒钟可以处理10,000个攻击包。如图所示,一个比较完善的DDoS攻击体系分成四大部分。第2和第3部分分别用做控制和实际发起攻击。对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。

本文链接:http://organikhijau.com/jujuefuwu/508.html

相关推荐:

网友评论:

栏目分类

现金彩票 联系QQ:24498872301 邮箱:24498872301@qq.com

Copyright © 2002-2011 DEDECMS. 现金彩票 版权所有 Power by DedeCms

Top