数字报
DoS拒绝服务攻击简述
分享到

微信

微博

0
分享到-微信
X

DoS攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。对它的总体了解,成为有效避免,查找原因,制订对策提供有用的帮助。

DoS(Denial of Service)拒绝服务攻击广义上可以指任何导致你的服务器不能正常提供服务的攻击。这种攻击可能就是泼到你服务器上的一杯水,或者网线被拔下,或者网络的交通堵塞等等,最终的结果是正常用户不能使用他所需要的服务了,不论本地或者是远程。我们这里比较关心远程的,通过网络进行的DoS攻击。

网络应用的普及使我们的工作生活越来越离不开网络。CRM、ERP、办公自动化软件极大的提高了我们工作的效率;通过网络可以找到各种工作、学习资料;我们上网交电话费,查看银行帐户;我们上网交友娱乐。DoS攻击直接的后果可能就是你不能访问这些服务了,对某个DNS服务器或者路由器、防火墙的攻击甚至导致对整个网络的拒绝服务。下面,就来看看这种攻击方式如何远程达到DoS的目的。

具体DoS攻击方法很多,但大多都可以分为以下几类:

1.利用软件实现的缺陷

OOB攻击,teardrop攻击,land攻击,IGMP碎片包攻击,jolt攻击,Cisco 2600路由器IOS version 12.0(10)远程拒绝服务攻击等等,这些攻击都是利用了被攻击软件的实现上的缺陷完成DoS攻击的。通常这些攻击工具向被攻击系统发送特定类型的一个或多个报文,这些攻击通常都是致命的,一般都是一击致死,而且很多攻击是可以伪造源地址的,所以很难找到谁发动的攻击,而且此类型的攻击多是特定类型的几个报文,非常短暂的少量的报文,如果伪造源IP地址的话,使追查工作几乎是不可能。

那么如何造成这些攻击的?通常是软件开发过程中对某种特定类型的报文、或请求没有处理,导致软件遇到这种类型的报文运行出现异常,导致软件崩溃甚至系统崩溃。下面结合几个具体实例解释一下这种攻击的成因。

比较新的一个DoS攻击是Windows的SMB实现中的DoS攻击,2002年8月发布,只要允许匿名连接的windows系统就可以进行远程攻击,强烈建议Windows用户打相应的补丁。它的方法就是先和目标系统建立一个连接,然后发送一个特定的请求,目标系统就会蓝屏。发布的测试工具是图形界面工具,输入目标地址NETBIOS名称即可。

从上面的例子可以看出,这种攻击行为威力很大,而且难于侦察。但真实情况下它的危害仅现于漏洞发布后的不长的时间段内,相关厂商会很快发布补丁修补这种漏洞。所以上面提到的几种较老的攻击在现实的环境中,通常是无效的。不过最新的攻击方法还是让我们不寒而栗,我们可以做的就是关注安全漏洞的发布,及时打上新的补丁。如果你想偷懒的话,购买专业安全服务公司的相关服务应该是个更好的选择。

2.利用协议的漏洞

如果说上面那种漏洞危害的时间不是很长,那么这种攻击的生存能力却非常强。为了能够在网络上进行互通、互联,所有的软件实现都必须遵循既有的协议,而如果这种协议存在漏洞的话,所有遵循此协议的软件都会受到影响。

最经典的攻击是SYNflood攻击,它利用TCP/IP协议的漏洞完成攻击。通常一次TCP连接的建立包括3个步骤,客户端发送SYN包给服务器端,服务器分配一定的资源给这里连接并返回SYN/ACK包,并等待连接建立的最后的ACK包,最后客户端发送ACK报文,这样两者之间的连接建立起来,并可以通过连接传送数据了。而攻击的过程就是疯狂发送SYN报文,而不返回ACK报文,服务器占用过多资源,而导致系统资源占用过多,没有能力响应别的操作,或者不能响应正常的网络请求。

这个攻击是经典的以小搏大的攻击,自己使用少量资源占用对方大量资源。一台P4的Linux系统大约能发到30-40M的64字节的SYNflood报文,而一台普通的服务器20M的流量就基本没有任何响应了(包括鼠标、键盘)。而且SYNflood不仅可以远程进行,而且可以伪造源IP地址,给追查造成很大困难,要查找必须所有骨干网络运营商,一级一级路由器的向上查找。

对于伪造源IP的SYNflood攻击,除非攻击者和被攻击的系统之间所有的路由器的管理者都配合查找,否则很难追查。当前一些防火墙产品声称有抗DoS的能力,但通常他们能力有限,包括国外的硬件防火墙大多100M防火墙的抗SYNflood的能力只有20-30Mbps(64字节SYN包),这里涉及到它们对小报文的转发能力,再大的流量甚至能把防火墙打死机。

由于TCP/IP协议相信报文的源地址,另一种攻击方式是反射拒绝服务攻击,另外可以利用还有广播地址,和组播协议辅助反射拒绝服务攻击效果更好。不过大多数路由器都禁止广播地址和组播协议的地址。

另一类攻击方式是使用大量符合协议的正常服务请求,由于每个请求耗费很大系统资源,导致正常服务请求不能成功。如HTTP协议是无状态协议,攻击者构造大量搜索请求,这些请求耗费大量服务器资源,导致DoS。这种方式攻击比较好处理,由于是正常请求,暴露了正常的源IP地址,禁止这些IP就可以了。

3.进行资源比拼

这种攻击方式属于无赖打法,黑客凭借着手中的资源丰富,发送大量的垃圾数据侵占完你的资源,导致DoS。比如,ICMP flood,mstream flood,Connection flood。为了获得比目标系统更多资源,通常攻击者会发动DDoS(Distributed Dos 分布式拒绝服务)攻击者控制多个攻击傀儡发动攻击,这样才能产生预期的效果。前两类攻击是可以伪造IP地址的,追查也是非常困难,第3种攻击由于需要建立连接,可能会暴露攻击傀儡的IP地址,通过防火墙禁止这些IP就可以了。对于难于追查,禁止的攻击行为,我们只能期望专用的抗拒绝服务产品了。

通过上面的分析,我们对DoS的攻击有了简单的印象,希望为以后遇到攻击进行相关的处理提供基本的概念和防护理念。

西江日报、西江网版权与免责声明

1.
凡本网“西江日报”电子报,以及注明来源“西江日报”、“西江网”的所有文字、图片、视频及多媒体形式的新闻、信息版权均属西江网所有。凡是未经书面授权,不得以任何形式转载、链接、转贴、编辑或其它方式发布。已经被本网授权的,使用时必须做到:(1)注明来源“来源:西江日报”、作者信息“西江日报记者***”、相关图片和视频的出处及作者。(2)如修改标题,必须注明原标题。(3)如果从其他平台间接转载本作品,仍须注明来源“来源:西江日报”。
2.
本网未注明“来源:西江网”或“来源:西江日报”的作品信息均为转载稿,本网转载并不意味着认同其观点或真实性,如其它媒体、网站或个人使用,必须保留本网注明的“稿件来源”,并自行负法律责任。擅自使用西江网名义转载或盗用西江网名义发布信息,本网将追究其法律责任。
3.
如本网转载内容涉及版权、名誉权等问题,请尽快与本网联系。
联系人:罗小姐、涂先生(电话:0758—2722284)
详细请浏览:http://www.xjrb.com/about/copyright.shtml

关于我们| 广告服务| 版权声明| 联系我们| 友情链接| 事业单位

互联网新闻信息服务许可证 44120180040| 粤ICP备09102757号

本网站由肇庆市西江报业文化传播有限公司(西江网版权所有),未经授权禁止复制或者建立镜像 Powered by CmsTop