确保网络安全 认识解析DDoS攻击手段

互联网 | 编辑: 黄蔚 2011-04-04 00:00:00转载 一键看全文

TCP/IP协议栈实现中存在的漏洞

通常情况下,人们对DDOS的认识是知道它可以利用无用流量占据网络中的所有带宽,导致出现数据拥塞,从而无法进行正常工作的情况。当然,这确实属于DDoS攻击中的一类,不过,这一概念里实际上也包含了可以通过攻击占据服务器资源的其它类型。这就意味着,由于针对的是服务器资源,所以,不管网络带宽有多大,DDoS攻击也是有可能获得成功的。为了真正确保网络不受到类似攻击,互联网连接和服务器都需要进行防护。

通常情况下,DDoS攻击针对的是网络中的TCP/IP基础设施。这些攻击可以分为三种类型:一种是利用TCP/IP协议栈中存在的已知缺陷;一种是针对TCP/ IP的漏洞;最后一种就是尝试并进行真正的暴力攻击。

由于僵尸网络在Windows系统中蔓延,这样的攻击变得更简单,也更普遍。将敌人网站淹没在无用数据的海洋中,不是一件非常快乐的事情么?

实际上,现在攻击者甚至不需要利用任何黑客的支持就可以发动拒绝服务攻击。有消息显示,只要8.94美元每小时的价格,就可以从犯罪分子那里租用一张僵尸网络。

利用傻瓜软件就可以发动DDoS攻击的话,为什么还要付费呢?来自系统管理、网络和安全协会互联网风暴中心的消息显示,在这波针对商业公司发起的DDoS攻击浪潮中,人们开始使用低轨道离子加农炮,一种开源的DoS攻击工具来对卡或者维萨卡网站的端口进行攻击。使用者要做的事情仅仅就是用鼠标点击一下,攻击就正式开始了。

如果希望了解DDoS攻击是如何进行攻击的话,下面就是我对DDoS攻击技术的全面介绍。

TCP/IP协议栈实现中存在的漏洞

对于利用TCP/IP协议中存在漏洞进行攻击的模式来说,典型的例子就是死亡之Ping攻击。利用这一漏洞,攻击者可以创建一个超过IP标准最大限制65536字节的IP数据包。当该巨型数据包进入使用存在漏洞的TCP/ IP协议栈和操作系统的系统时,就会导致崩溃。

所有的最新操作系统和协议栈都可以防范采用死亡之Ping模式的攻击,但是,时不时的,我就会发现有人还在运行无法防范死亡之Ping攻击的系统。这种情况告诉我们,大家都应该及时对网络设备和软件进行更新。仅仅因为它依然可以运行,并不等于这样的情况是安全的。

对TCP/IP运行中的漏洞进行攻击的另一种方式是撕毁模式,它利用的是系统对IP数据包分片进行重新组合时间存在的漏洞。由于网络是四通八达的,所以,IP数据包可能被分解成更小的分片。所有这些部分都包含了来自原始IP数据包的报头,以及一个偏移字段来标识里面包含哪些字节来自原始数据包。有了这些信息,在出现网络中断的情况下,被破坏的普通数据包就可以在目的地重新组合起来。而在撕毁攻击中,服务器将遭到来自包含了含有重叠偏移的伪造分片数据包的攻击。如果服务器或者路由器不能忽略这些分片,并尝试对他们进行重新组合的话,就会导致系统崩溃的情况很快出现。但如果系统及时进行了更新,或者拥有可以防范撕毁攻击的防火墙的话,就不用担心这类问题了。

TCP/IP协议中的漏洞

另一种古老而有效的DDoS攻击模式是同步攻击。同步的工作是用来在两个互联网应用之通过协议建立握手。它的实现方法是通过一个应用程序发送一个TCP SYN(同步)数据包到另一个程序来启动会话过程。对应的应用程序将返回一个TCP SYN-ACK(同步确认)包;原始程序接下来就利用个ACK(确认)响应。一旦程序间建立了会话过程,就可以实现协同工作了。

同步攻击的方式是发送大量TCP SYN数据包。每个SYN数据包都会迫使目标服务器产生一个SYN-ACK响应,并等待合适的应答。这样很快就导致在SYN-ACK的背后都积压一堆其他注册的队列。当积压队列爆满,系统就将停止确认收到SYN请求。

如果同步攻击发送的同步数据包中包含了错误的网络源IP地址的话,攻击的效果就会更好。在这种情况下,由于SYN-ACK发送出去后,ACK不再返回。通常情况下,迅速满溢的积压队列就会将合法程序发送的SYN请求结束。

内地攻击就是采用欺骗同步数据包模式攻击的新变种,它可以将网络地址伪装成为来自网络内部的情况。现在,同步攻击针对的似乎主要是防火墙,给管理者制造麻烦。

提示:试试键盘 “← →” 可以实现快速翻页 

总共 2 页12
一键看全文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑