拒绝服务攻击及预防措施
拒绝服务攻击及预防措施
拒绝服务攻击及预防措施
作者：冰盾防火墙　网站：　日期：
三、拒绝服务攻击及预防措施&在拒绝服务攻击中，攻击者加载过多的服务将对方资源全部使用，使得没有多余资源供其他用户无法使用。SYN Flood攻击是典型的拒绝服务攻击。&SYN Flood常常是源IP地址欺骗攻击的前奏，又称半开式连接攻击，每当我们进行一次标准的TCP连接就会有一个三次握手的过程，而SYN Flood在它的实现过程中只有三次握手的前两个步骤，当服务方收到请求方的SYN并回送SYN-ACK确认报文后，请求方由于采用源地址欺骗等手段，致使服务方得不到ACK回应，这样，服务方会在一定时间内处于等待接收请求方ACK报文的状态，一台服务器可用的TCP连接是有限的，如果恶意攻击方快速连续的发送此类连接请求，则服务器的系统可用资源、网络可用带宽急剧下降，将无法向其它用户提供正常的网络服务。&为了防止拒绝服务攻击，我们可以采取以下的预防措施：&（1） 建议在该网段的路由器上做些配置的调整，这些调整包括限制Syn半开数据包的流量和个数。&（2）要防止SYN数据段攻击，我们应对系统设定相应的内核参数，使得系统强制对超时的Syn请求连接数据包复位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的Syn请求数据包。&（3）建议在路由器的前端做必要的TCP拦截，使得只有完成TCP三次握手过程的数据包才可进入该网段，这样可以有效地保护本网段内的服务器不受此类攻击。&（4）对于信息淹没攻击，我们应关掉可能产生无限序列的服务来防止这种攻击。比如我们可以在服务器端拒绝所有的ICMP包，或者在该网段路由器上对ICMP包进行带宽方面的限制，控制其在一定的范围内。&总之，要彻底杜绝拒绝服务攻击，最好的办法是惟有追根溯源去找到正在进行攻击的机器和攻击者。 要追踪攻击者可不是一件容易的事情，一旦其停止了攻击行为，很难将其发现。惟一可行的方法是在其进行攻击的时候，根据路由器的信息和攻击数据包的特征，采用逐级回溯的方法来查找其攻击源头。这时需要各级部门的协同配合方可有效果。&四、其他网络攻击行为的防范措施&协议攻击和拒绝服务攻击是黑客惯于使用的攻击方法，但随着网络技术的飞速发展，攻击行为千变万化，新技术层出不穷。下面将阐述一下网络嗅探及缓冲区溢出的攻击原理及防范措施。&1、针对网络嗅探的防范措施&网络嗅探就是使网络接口接收不属于本主机的数据。计算机网络通常建立在共享信道上，以太网就是这样一个共享信道的网络，其数据报头包含目的主机的硬件地址，只有硬件地址匹配的机器才会接收该数据包。一个能接收所有数据包的机器被称为杂错节点。通常账户和口令等信息都以明文的形式在以太网上传输，一旦被黑客在杂错节点上嗅探到，用户就可能会遭到损害。&对于网络嗅探攻击，我们可以采取以下措施进行防范：&（1）网络分段 一个网络段包括一组共享低层设备和线路的机器，如交换机，动态集线器和网桥等设备，可以对数据流进行限制，从而达到防止嗅探的目的。&（2）加密 一方面可以对数据流中的部分重要信息进行加密，另一方面也可只对应用层加密，然而后者将使大部分与网络和操作系统有关的敏感信息失去保护。选择何种加密方式这就取决于信息的安全级别及网络的安全程度。&（3）一次性口令技术 口令并不在网络上传输而是在两端进行字符串匹配，客户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串并将之返回给服务器。在服务器上利用比较算法进行匹配，如果匹配，连接就允许建立，所有的Challenge和字符串都只使用一次。&（4）禁用杂错节点 安装不支持杂错的网卡，通常可以防止IBM兼容机进行嗅探。&2、缓冲区溢出攻击及其防范措施&缓冲区溢出攻击是属于系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。当然，随便往缓冲区中填东西并不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其它命令。如果该程序具有root权限的话，攻击者就可以对系统进行任意操作了。&缓冲区溢出对网络系统带来了巨大的危害，要有效地防止这种攻击，应该做到以下几点：&（1）程序指针完整性检查 在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针，由于系统事先检测到了指针的改变，因此这个指针将不会被使用。&（2）堆栈的保护 这是一种提供程序指针完整性检查的编译器技术，通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节，而在函数返回时，首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击，那么这种攻击很容易在函数返回前被检测到。但是，如果攻击者预见到这些附加字节的存在，并且能在溢出过程中同样地制造他们，那么他就能成功地跳过堆栈保护的检测。&（3）数组边界检查 所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内进行。最直接的方法是检查所有的数组操作，通常可以采用一些优化技术来减少检查次数。目前主要有这几种检查方法：Compaq C编译器、Jones & Kelly C数组边界检查、Purify存储器存取检查等。&未来的竞争是信息竞争，而网络信息是竞争的重要组成部分。其实质是人与人的对抗，它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力，必须充分理解系统内核及网络协议的实现，真正做到洞察对方网络系统的&细枝末节&，同时应该熟知针对各种攻击手段的预防措施，只有这样才能尽最大可能保证网络的安全。&（4）利用公开的工具软件 像审计网络用的安全分析工具SATAN、Internet的电子安全扫描程序IIS等一些工具对整个网络或子网进行扫描，寻找安全方面的漏洞。&3、建立模拟环境，进行模拟攻击&根据前面两小点所得的信息，建立一个类似攻击对象的模拟环境，然后对此模拟目标进行一系列的攻击。在此期间，通过检查被攻击方的日志，观察检测工具对攻击的反应，可以进一步了解在攻击过程中留下的&痕迹&及被攻击方的状态，以此来制定一个较为周密的攻击策略。&4、具体实施网络攻击&入侵者根据前几步所获得的信息，同时结合自身的水平及经验总结出相应的攻击方法，在进行模拟攻击的实践后，将等待时机，以备实施真正的网络攻击。
最新内容：
相关内容：
合作伙伴：信息技术类信息安全岗试题3_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
信息技术类信息安全岗试题3
上传于||暂无简介
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
下载文档到电脑，查找使用更方便
还剩2页未读，继续阅读
你可能喜欢2013年信息安全复习题_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
2013年信息安全复习题
上传于||暂无简介
阅读已结束，如果下载本文需要使用2下载券
想免费下载本文？
下载文档到电脑，查找使用更方便
还剩6页未读，继续阅读
你可能喜欢利用HTTP进行拒绝服务攻击的一些构思
利用HTTP进行拒绝服务攻击的一些构思
　　由于HTTP协议是基于请求/响应范式的（相当于客户机/服务器）。一个客户机与服务器建立连接后，发送一个请求给服务器，请求方式的格式为：统一资源标识符(URL)、协议版本号，后边是MIME信息包括请求修饰符、客户机信息和可能的内容。服务器接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容。 　　　　留意这行文字：“服务器接到请求后，给予相应的响应信息，其格式为一个状态行”，这是HTTP协议的一个重要特性，我们可以做个实验： 　　用TELNET或任何一个能建立HTTP连接的程序连接到某服务器的80端口，手工输入： 　　GET / HTTP/1.0（必须确保这个工具能自动产生两个换行符，否则服务器会认为你没有输入完全！） 　　如果存在，你会看到类似以下的报文： 　　　　HTTP/1.1 200 OK 　　Server: Microsoft-IIS/5.0 　　Content-Location:
　　Date: Sat, 20 Jul :03 GMT 　　Content-Type: text/html 　　Accept-Ranges: bytes 　　Last-Modified: Wed, 03 Jul :05 GMT 　　ETag: "8e2ba" 　　Content-Length: 3292 　　&html> 　　&head> 　　&title>青涩宝贝主题站－－SG fans的世界！！！&/title> 　　&meta http-equiv="Content-Type" content="text/ charset=gb2312"> 　　&link rel="stylesheet"
type="text/css"> 　　....... 　　　　这是正常的访问方法，但是如果我们胡乱输入请求呢？看： 　　　　HTTP/1.1 400 Bad Request 　　Server: Microsoft-IIS/5.0 　　Date: Sat, 20 Jul :59 GMT 　　Content-Type: text/html 　　Content-Length: 87 　　　　&html>&head>&title>Error&/title>&/head>&body>The parameter is incorrect. &/body>&/html> 　　　　呵呵，HTTP 400 - 错误请求，其实就是HTTP语法错误，服务器老老实实给我们返回了。 　　可以得出结论：无论你输入了什么，服务器根据HTTP协议，总会返回信息 　　　　通常用得最多的DOS方法主要有SYN、Smurf、Land、TearDrop等，其中SYN的资料如下（抄来的资料~~呵呵） 　　　　假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。 　　　　而Smurf、TearDrop等是利用ICMP报文来Flood和IP碎片攻击的。 　　但是以上的DOS方法的目的无非都是让服务器大量消耗资源和超时连接，那么除了超时连接，能不能用“正常连接”的方法来产生拒绝服务攻击呢？ 　　　　再来看看19端口的定义： 　　　　字符产生器协议（Character Generator Protocol） 　　字符产生器服务器一个有用的调试工具。无论接收到的是什么，它都返回特定的数据。 　　　　基于TCP的字符产生器服务 　　此服务可以是一个基于TCP的服务，TCP端口19是用于此服务的。一旦连接建立，服务器会传送一个字符流。接收到的信息会被抛弃。字符流会在用户请求下中止。用户可能会非正常中止一个连接，因此此服务必须准备处理这种情况。传输的速度会由TCP流控制机制负责，用户不必关心数据太快，而用户来不及处理。 　　　　　　19端口在早期已经有人用来做Chargen攻击了，即Chargen_Denial_of_Service，但是！他们用的方法是在两台Chargen服务器之间产生UDP连接，让服务器处理过多信息而DOWN掉，那么，干掉一台WEB服务器的条件就必须有2个：1.有Chargen服务 2.有HTTP服务 　　实际上，现在是无法找到这么多同时开放两个这两个服务的服务器的。 　　看看开头的HTTP协议特性，和Chargen比较一下，你发现了什么？哈哈~~~没错！一个是无论接收到什么报文都会回应，一个是一旦连接建立就会发送报文，看看示意图： 　　　　发送请求-------------------------------------> 　　客户端----------------------------------------------------------服务器 　　&-------------------------------------------回应 　　　　如果把客户端改为Chargen，就是以下情况： 　　　　字符流---------------------------------------> 　　Chargen----------------------------------------------------------服务器 　　&-----------------------------------400 Bad Request 　　　　也就是说，这两者会产生利害冲突，可以这样比喻：两个人吵架，你骂一句，他还一句，这就是循环过程，除非有一方停止或第三者干涉，否则这将是个Do...Loop循环！ 　　搬到HTTP和Chargen来说，就是因为这两者的特性正好天生一对，那好，就从这里下手： 　　攻击者伪造源IP给N台Chargen发送连接请求（Connect），如有必要还可以发送（Send）个“Fuck you”报文过去，Chargen接收到连接后就会返回每秒72字节的字符流（实际上根据网络实际情况，这个速度更快）给服务器，HTTP协议处理这个报文时当然会识别为400 Bad Request而返回一条错误说明给它，接下来的情况嘛………………自己发挥想像力，别问我。 　　　　我用自己的机器（640 kbps ADSL）+VB Winsock程序做测试，只用了3秒钟，程序就因为内存溢出而崩溃了（主要是TextBox的问题，它接受文本的最大范围为64KB），就是说，3秒钟内Chargen就发送了大于64KB的字符流！如果用大于10台的Chargen一起发起攻击，其速度足以大量消耗服务器资源和带宽
&&&主编推荐
H3C认证Java认证Oracle认证
基础英语软考英语项目管理英语职场英语
.NETPowerBuilderWeb开发游戏开发Perl
二级模拟试题一级模拟试题一级考试经验四级考试资料
港口与航道工程建设工程法规及相关知识建设工程经济考试大纲矿业工程市政公用工程通信与广电工程
操作系统汇编语言计算机系统结构人工智能数据库系统微机与接口
软件测试软件外包系统分析与建模敏捷开发
法律法规历年试题软考英语网络管理员系统架构设计师信息系统监理师
高级通信工程师考试大纲设备环境综合能力
路由技术网络存储无线网络网络设备
CPMP考试prince2认证项目范围管理项目配置管理项目管理案例项目经理项目干系人管理
Powerpoint教程WPS教程
电子政务客户关系管理首席信息官办公自动化大数据
职称考试题目
就业指导签约违约职业测评
招生信息考研政治
网络安全安全设置工具使用手机安全
3DMax教程Flash教程CorelDraw教程Director教程
Dreamwaver教程HTML教程网站策划网站运营Frontpage教程
生物识别传感器物联网传输层物联网前沿技术物联网案例分析
互联网电信IT业界IT生活
Java核心技术J2ME教程
Linux系统管理Linux编程Linux安全AIX教程
Windows系统管理Windows教程Windows网络管理Windows故障
组织运营财务资本
视频播放文件压缩杀毒软件输入法微博
数据库开发Sybase数据库Informix数据库
&&&&&&&&&&&&&&&
希赛网 版权所有 & &&CISM题库-答案_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
CISM题库-答案
上传于||文档简介
&&C​I​S​M​题​库
阅读已结束，如果下载本文需要使用2下载券
想免费下载本文？
下载文档到电脑，查找使用更方便
还剩34页未读，继续阅读
你可能喜欢}