确保网络安全 认识解析DDoS攻击手段

互联网 | 编辑: 黄蔚 2011-04-04 00:00:00转载 一键看全文

暴力攻击

同样,大部分最新的操作系统和防火墙都可以防御同步攻击。这里有一种简单的方法,可以对防火墙进行设置,以防止所有包含已知错误源网络IP地址的传入数据包。该列表中包含了下列仅在内部使用的保留网络IP地址:10.0.0.0到10.255.255.255,127.0.0.0到127.255.255.255,172.16.0.0到172.31.255.255以及192.168.0.0到192.168.255.255。

但是,如果可以方便地直接摧毁系统,还为什么要担心偷偷摸摸躲在窗后的敌人呢?地址欺骗攻击以及利用用户数据报协议(UDP)过度使用的洪水攻击就属于这样的情况。

在地址欺骗攻击中,攻击者会向路由器发送过量的网际消息控制协议(ICMP) 回送请求数据包,这是一种特殊的ping包。每个数据包的目的网络IP地址也是网络中的广播地址,这会导致路由器将ICMP数据包广播给网络中的所有主机。不用说,在一张大型网络中,这将迅速导致出现大量数据传输堵塞的情况。此外,类似内地攻击,如果黑客将两种模式结合到一起的话,事情就会变得更糟。

防范地址欺骗攻击的最简单方法就是关闭路由器或者交换机的地址广播功能,或者在防火墙中进行设置拒绝ICMP回送请求数据包。管理员还可以对服务器进行设置,这样的话,在遇到发送给广播网络IP地址的ICMP数据包时,就不会进行响应。由于很少有应用需要网络IP地址广播功能,所以这些调整不会对网络的正常运行带来影响。

对于采用UDP洪水模式的DDoS攻击来说,就不是那么容易处理了。原因很简单,类似域名系统(DNS)和简单网络管理协议(SNMP),很多应用都需要UDP协议的支持。在UDP洪水攻击中,攻击者通过欺骗手段连接到系统的UDP 字符发生器服务上,在接受到数据包后,字符发生器将会针对另一台系统发送回送服务包。结果就是,系统之间来自字符发生器的半随机字符泛滥,导致带宽迅速被充满,常规应用的使用受到了影响。

防范UDP攻击的一种方法是禁用或者过滤所有针对主机的UDP服务请求。只要容许被服务型的UDP请求,需要使用UDP或作为备份数据传输协议的普通应用,将可以继续正常工作。

暴力攻击

看起来,有这些多种方法都可以用来阻止DDoS攻击,因此,有人可能会认为这不会比垃圾邮件更难处理。但可惜的是,这种想法是完全错误的。在任何心存不满的人都可以纠集从数百到数万台计算机对网站进行DDoS攻击的时间,防范工作将会是非常困难的。他们所要做的工作仅仅是从网络上对可能存在的信息进行了解,就可以迅速进行所需要的攻击。

恶意软件将数以十万计的Windows系统变成了潜在攻击者可以使用的武器。由此导致的直接攻击浪潮不会被寥寥无几的防御措施所阻挡。防御者所能依靠的只有服务器,这也是为什么维基解密试图选择亚马逊网络服务或者大量增加网络托管主机的资源才能防止洪水攻击的原因。

我担心,实际上,并且确信,在未来会看到更多这种类型的DDoS攻击。随着互联网范围的进一步扩大,越来越多的使用者通过宽带接入,为攻击者提供了更多未受保护的Windows系统来进行控制。更糟的是,在类似低轨道离子加农炮之类工具的帮助下,只要获得一些志同道合朋友的帮助,任何中型网站都可以被摧毁。

请不要忘记,使用这些工具的话,可能会被跟踪,并可能会面临刑事指控。最近,一名大学生就因为利用DDoS攻击工具攻击保守派的网站被判入狱30个月。

不过,即使这样的威胁笼罩在攻击者的头上,我也没有看到丝毫停止的迹象。DDoS攻击,一定会变得越来越普遍。

提示:试试键盘 “← →” 可以实现快速翻页 

总共 2 页< 上一页12
一键看全文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑