创旗管理系统服务中心
创旗管理系统服务中心

DOS攻击

DoS攻击示意图
Dos攻击示意图
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求
目录

[显示全部]

简介编辑本段回目录

海啸DOS攻击器
海啸DOS攻击器
有些比较阴险的攻击者会单独使用DOS攻击,破坏服务器。通常,DOS攻击会被作为一次入侵的一部分,比如,绕过入侵检测系统的时候,通常从用大量的攻击出发,导致入侵检测系统日志过多或者反应迟钝,这样,入侵者就可以在潮水般的攻击中混骗过入侵检测系统。
具体表现如:
试图FLOOD服务器,阻止合法的网络通讯
破坏两个机器间的连接,阻止访问服务
阻止特殊用户访问服务
破坏服务器的服务或者导致服务器死机

原理编辑本段回目录

Smurf 攻击图
Smurf 攻击图
Synflood: 该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。

Smurf:该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。

Land-based:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。

SYN Flooding攻击的过程
SYN Flooding攻击的过程
Ping of Death:根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。

Teardrop:IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。

PingSweep:使用ICMP Echo轮询多个主机。

Pingflood: 该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。

方式编辑本段回目录

DOS攻击时间趋势分析
DOS攻击时间趋势分析
通过消耗网络带宽实施的拒绝服务攻击,这种DOS攻击实质上就是两个方式:
一,迫使服务器的缓冲区满,不接收新的请求。
二,使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接

1、SYN FLOOD
利用服务器的连接缓冲区(Backlog Queue),利用特殊的程序,设置TCP的Header,向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中。
如果你的SYN请求超过了服务器能容纳的限度,缓冲区队列满,那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。可以持续你的SYN请求发送,直到缓冲区中都是你的只有SYN标记的请求。
   
2、IP欺骗DOS攻击
这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。
攻击时,伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务。

3、带宽DOS攻击
如果连接带宽足够大而服务器又不是很大,可以发送请求,来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了,配合上SYN一起实施DOS,威力巨大。不过是初级DOS攻击。

4、自身消耗的DOS攻击
这是一种老式的攻击手法。说老式,是因为老式的系统有这样的自身BUG。比如Win95 (winsock v1), Cisco IOS v.10.x, 和其他过时的系统。
这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同,发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快把资源消耗光。直接导致当机。这中伪装对一些身份认证系统还是威胁巨大的。

上面这些实施DOS攻击的手段最主要的就是构造需要的TCP数据,充分利用TCP协议。这些攻击方法都是建立在TCP基础上的。其实这种消耗性的拒绝服务攻击本身就是非常难对付的,理论上这是没有办法克服的安全问题,任何主机的网络资源都是有限的,只要这些有限的资源被消耗掉,总是能够造成网络堵塞,正常访问要么速度缓慢,要么根本就没有办法访问。

5、利用服务漏洞
很多软件或者服务都能被造成拒绝服务,比如,最近的UPnP 拒绝服务漏洞。这样的拒绝服务漏洞,很容易造成主机内存消耗、CPU消耗,轻则速度缓慢,重则当机。

利用路由器内置的“防火墙”防止Dos攻击
利用路由器内置的“防火墙”防止Dos攻击
6、日志DOS
不管是什么,防火墙也好、系统本身也好,为了安全就必须记录日志。可以构造大量的错误信息发送出来,服务器记录这些错误,可能就造成日志文件非常庞大,甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志,甚至就不能发现入侵者真正的入侵途径。

7、塞垃圾邮件
发送垃圾邮件。一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。破坏者可以发送大量的垃圾邮件,这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中,直到邮箱被撑破或者把硬盘塞满。如果这样,那么邮件就拒绝服务了。

8、塞满硬盘
通常,如果服务器可以没有限制地执行写操作,那么都能成为塞满硬盘造成DOS攻击的途径,比如:向匿名FTP塞垃圾文件。这样也可以塞满硬盘空间。

9、合理利用策略
一般服务器都有关于帐户锁定的安全策略,比如,某个帐户连续3次登陆失败,那么这个帐号将被锁定。这点也可以被破坏者利用,他们伪装一个帐号去错误登陆,这样使得这个帐号被锁定,而正常的合法用户就不能使用这个帐号去登陆系统了。登录开始拒绝服务。

其实拒绝服务真的很难对付,还有很多其他的办法可以满足拒绝服务的需要。就是一个思想“有限的资源就只能提供有限访问”。

解决方案编辑本段回目录

巴哈姆特DoS攻击事件
巴哈姆特DoS攻击事件
一直以来全球无数网络安全专家都在着力开发DoS攻击的解决办法,但到目前为止收效不大,这是因为DoS攻击利用了TCP协议本身的弱点。DoS攻击使用相对简单的攻击方法, 可以使目标系统完全瘫痪,甚至破坏整个网络。因此Extreme Networks认为,只有从网络的全局着眼,在网间基础设施的各个层面上采取应对措施,包括在局域网层面上采用特殊措施,及在网络传输层面上进行必要的安全设置,并安装专门的DoS识别和预防工具,才能最大限度地减少DoS攻击所造成的损失。

建立这样一个全面系统的网络安全体系,网络的基础架构必须是以三层交换和路由为核心的智能型网络,并在此基础上,提供完善的三层以上的安全策略管理工具,并提供对专业的安全管理软件支持的能力。Extreme Networks 一直是三层及多层交换技术的领导者,在为用户提供强大的带宽和速度的同时,也具备一套非常完善的网络管理工具,特别是针对DoS最难以解决的流量型攻击, Extreme Ware管理套件提供了有效的识别机制和强硬的控制手段。

将最先进的三层交换技术和多层安全防范体系结合起来,是认真考虑抵抗DoS攻击的用户的最佳选择。而且在进行网络的设计阶段,就应该从局域网层面和网络传输层面进行合理的布置。

局域网层面问题

在局域网层面上,系统管理员可以采取大量的预防措施,防止DoS攻击带来的服务不能效应。这些预防措施包括:保持坚实的整体管理和安全程序,针对各类DoS攻击,实施特定的防卫措施等等。与特定DoS攻击类型有关的其它方法可以包括:关闭或限制可能被损坏或暗中破坏的特定服务。遗憾的是,这些限制措施还必须与其可能给合法应用(如采用UDP作为传输机制的 Real Audio) 带来的影响进行权衡。如果攻击者能够胁迫受害人不使用有益的。
IP服务或合法应用,那么在一定程度上,这些黑客已经达到了自己的目标。

网络传输层问题

在网络的网关位置防范DoS攻击
在网络的网关位置防范DoS攻击
尽管局域网管理员采取的措施在防止和抗击DoS攻击的基础工作中发挥着关键作用,但它们还必须在网络传输层实现某些完善的措施,以对基础工作进行有效补充。

保护网络数据流量

有效地保护网络数据流量涉及大量的互补战略,包括采用多层交换,实现独立于层的访问控制;利用可定制的过滤和“信任邻居”标准;控制非授权用户的网络登录访问。

独立于层的线速服务质量(QoS)和访问控制选项

带有可配置智能软件、独立于层的QoS和访问控制功能的线速多层交换系统的出现,大大改善了网络传输设施保护数据流量完整性的能力。

在基于传统路由器的网络设施中,认证机制如滤除带有内部地址的假冒分组,要求流量到达路由器边缘,并与特定访问控制列表中的标准相符。由于要维护访问控制列表,这一过程不仅耗时巨大,而且给整体路由器性能带来了重大开销。

相比之下,使用线速多层交换系统允许灵活实现各种基于策略的访问控制标准,它使用许多相同的机制,这些机制对在整个复杂网络设施中有效地实现QoS标准至关重要。

尽管这些多层交换系统在第二层执行线速交换功能,但它们能够从第一层到第四层及其它信源无缝地采用QoS和访问控制标准。

这种独立于层的访问控制能力实现了内置灵活性,把安全决策与网络结构决策完全分开,从而允许网络管理员有效地部署DoS预防措施,而不必采用次优的路由或交换拓扑。结果,网络管理员和服务供应商现在能够把整个城域网、数据中心或企业网环境中基于策略的控制标准无缝地集成起来,而不管其采用的是复杂的基于路由器的核心服务,还是相对简单的第二层交换本地环路。此外,线速处理标准查表和数据流量认证决策,可以在后台有效执行DoS应对措施,而很少或没有性能延迟。

可以定制的过滤和“信任邻居”机制

内外网的DOS攻击防护
内外网的DOS攻击防护
智能多层访问控制的另一优点是,它能够简便地实现定制过滤操作,如根据特定标准定制对系统响应的控制力度。通过这种方式,可以防止网络受到DoS攻击的影响,同时降低因疏忽丢弃合法流量的危险。独立于层的访问控制的另一个优点是,它能够定制路由访问策略,支持具体系统之间“信任邻居”关系,从而管理和优化系统间的数据流量。此外,多层交换技术提供了多种选项,可以防止未经授权使用内部路由策略,及防止潜在的破坏活动。

Extreme Networks(r)公司的Extreme Ware(tm)套装软件允许映射和覆盖IEEE802.1p和DiffServ标记,实现外部看不到的DiffServ功能。通过使用这些策略机制,系统管理员可以针对来自特定相邻系统的流量,调整内部路由控制策略,而不是在内部强制广播实际策略。

由于能够灵活地区分内部和外部DiffServ和IEEE802.1p标准,ExtremeWare为防止新一轮潜在DoS攻击(称为QoS攻击)提供了有效的工具。

Extreme Ware能够维护不可视的内部DiffServ处理策略,使得所有Extreme交换机都能够简便地忽略、观察或处理从可能“不信任的邻居”收到的任何DiffServ标记。

内外网的DOS攻击防护
防范Dos攻击
定制网络登录配置操作

网络登录机制的采用在减少DoS攻击漏洞中发挥着关键作用。网络登录采用惟一的用户名和口令,在用户获准进入或传送分组流量前认证用户身份,从而防止认证前发生DoS攻击的危险。

通过利用DHCP模拟拨号技术采用PPP的方式,网络登录可以终止网络边缘的非法访问,减轻给网络设施带来的任何消极影响。

Extreme Networks公司的技术团队成员参与编写了IEEE802.1草案,通过利用其中包含的规范中已有的标准,这些网络登录机制可以控制用户对交换机的访问,最大限度地降低直接DoS攻击的危险。同时,网络登录为管理和跟踪企业或服务供应商网络内部的用户连接和交易提供了一种强健的机制。

保护网络基础设施

除保护网络数据流量外,防止网络基础设施受到DoS攻击、确保可靠性和容错能力也同样重要。保护基础设施的关键是维护独立的访问列表,紧密管理转发控制和负载均衡功能,及进行严格的设计测试,以确保系统容错能力。

相关词条编辑本段回目录

参考资料编辑本段回目录

附件列表

文章内容仅供参考,如果您需要解决具体问题建议您提交有问必答。 0

标签: DOS攻击

收藏到: Favorites  

同义词: 暂无同义词

文章信息
客服导航
如果您在使用我们的产品中遇到问题,建议您首先在“常见问题”中查询解决方法;
如果没有找到该问题的解决方法,您可以在“问题搜索”中进行搜索;
如果搜索后没有找到满意答案,您可以“在线提问”,我们会在1个工作日内给您答复。