网络:各种网络攻击
在了解分布式拒絕服務(wù)攻擊的原理之前,先要了解以下兩個關(guān)鍵的基礎(chǔ)原理
1.TCP餓死:
UDP這種傳輸方式不會控制自己在通信通道里的流量,可理解為不講道理的人。他們來到了一個熱鬧地區(qū)的KFC中,但是他們不買東西只排隊(duì)將所有食物的價格都問一遍,占滿所有的座位和過道。而常規(guī)的TCP服務(wù)通過自己的彈窗機(jī)制來控制流量,好比講道理的人,座位被占滿了,TCP自然會離開KFC導(dǎo)致正常的服務(wù)不能進(jìn)行。最終的結(jié)果就是UDP將整個通道打滿堵死。
?
2.TCP三次握手和四次斷開連接:
文字說不清楚,見下圖
TCP頭格式
seq:序列號;ack:確認(rèn)序列號
?
雙方均需要確認(rèn)才可斷開連接
關(guān)于雙方在整個過程中每個時間段的狀態(tài)名稱·
分析完以上的兩個原理便可繼續(xù)
DOS攻擊:一臺或多臺計(jì)算機(jī)對受攻擊服務(wù)器的某一個端口發(fā)送大量無關(guān)的UDP報(bào)文,導(dǎo)致整個通道內(nèi)的正常服務(wù)無法進(jìn)行。
DDOS攻擊:大量的肉雞對服務(wù)器的不同端口發(fā)送巨型流量的UDP報(bào)文,無法通過關(guān)閉端口的方式來進(jìn)行隔離,破壞力極強(qiáng),嚴(yán)重會造成服務(wù)器宕機(jī)。
根據(jù)攻擊的時間和方式又可分將DDOS為以下幾種
1.SYN Flood
2.ACK Flood
3.Connection Flood
4.HTTP Get Flood
對TCP餓死的應(yīng)對方案
1.增加帶寬,堵死了再買
2.CDN,各地部署子服務(wù)器,當(dāng)子服務(wù)遭受到攻擊時,其他地區(qū)的服務(wù)器和主服務(wù)器不會受到影響。
3.BGP流量清洗,通過BGP將通道內(nèi)的無用UDP報(bào)文清洗干凈再轉(zhuǎn)給服務(wù)器
1、SYN洪水攻擊
?要理解dos攻擊,首先要理解TCP連接的三次握手過程(Three-wayhandshake)。
?在TCP/IP協(xié)議中,TCP協(xié)議提供可靠的連接服務(wù),采用三次握手建立一個連接。?
? 第一次握手:建立連接時,客戶端發(fā)送SYN包((SYN=i)到服務(wù)器,并進(jìn)入SYN SEND狀態(tài),等待服務(wù)器確認(rèn);
? 第二次握手:服務(wù)器收到SYN包,必須確認(rèn)客戶的SYN (ACK=i+1 ),同時自己也發(fā)送一個SYN包((SYN=j)}即SYN+ACK包,此時服務(wù)器進(jìn)入SYN_RECV狀態(tài);[1]?
? 第三次握手:客戶端收到服務(wù)器的SYN+ACK包,向服務(wù)器發(fā)送確認(rèn)包ACK(ACK=j+1),此包發(fā)送完畢,客戶端和服務(wù)器進(jìn)入ESTABLISHED狀態(tài),完成三次握手,客戶端與服務(wù)器開始傳送數(shù)據(jù)。?
? 在上述過程中,還有一些重要的概念:[1]?
? 半連接:? 收到SYN包而還未收到ACK包時的連接狀態(tài)稱為半連接,即尚未完全完成三次握手的TCP連接。
? 半連接隊(duì)列:?? ?在三次握手協(xié)議中,服務(wù)器維護(hù)一個半連接隊(duì)列,該隊(duì)列為每個客戶端的SYN包(SYN=i )開設(shè)一個條目,該條目表明服務(wù)器已收到SYN包,并向客戶發(fā)出確認(rèn),正在等待客戶的確認(rèn)包。這些條目所標(biāo)識的連接在服務(wù)器處于SYN_ RECV狀態(tài),當(dāng)服務(wù)器收到客戶的確認(rèn)包時,刪除該條目,服務(wù)器進(jìn)入ESTABLISHED狀態(tài)。
?Backlog參數(shù):?? ?表示半連接隊(duì)列的最大容納數(shù)目。?
?SYN-ACK重傳次數(shù):?? ?服務(wù)器發(fā)送完SYN-ACK包,如果未收到客戶確認(rèn)包,服務(wù)器進(jìn)行首次重傳,等待一段時間仍未收到客戶確認(rèn)包,進(jìn)行第二次重傳,如果重傳次數(shù)超過系統(tǒng)規(guī)定的最大重傳次數(shù),系統(tǒng)將該連接信息、從半連接隊(duì)列中刪除。注意,每次重傳等待的時間不一定相同。?
?半連接存活時間:?? ?是指半連接隊(duì)列的條目存活的最長時間,也即服務(wù)從收到SYN包到確認(rèn)這個報(bào)文無效的最長時間,該時間值是所有重傳請求包的最長等待時間總和。有時也稱半連接存活時間為Timeout時間、SYN_RECV存活時間。?
上面三個參數(shù)對系統(tǒng)的TCP連接狀況有很大影響。?
?SYN洪水攻擊屬于DoS攻擊的一種,它利用TCP協(xié)議缺陷,通過發(fā)送大量的半連接請求,耗費(fèi)CPU和內(nèi)存資源。SYN攻擊除了能影響主機(jī)外,還可以危害路由器、防火墻等網(wǎng)絡(luò)系統(tǒng),事實(shí)上SYN攻擊并不管目標(biāo)是什么系統(tǒng),只要這些系統(tǒng)打開TCP服務(wù)就可以實(shí)施。從圖4-3可看到,服務(wù)器接收到連接請求(SYN=i )將此信息加入未連接隊(duì)列,并發(fā)送請求包給客戶端( SYN=j,ACK=i+1),此時進(jìn)入SYN_RECV狀態(tài)。當(dāng)服務(wù)器未收到客戶端的確認(rèn)包時,重發(fā)請求包,一直到超時,才將此條目從未連接隊(duì)列刪除。配合IP欺騙,SYN攻擊能達(dá)到很好的效果,通常,客戶端在短時間內(nèi)偽造大量不存在的IP地址,向服務(wù)器不斷地發(fā)送SYN包,服務(wù)器回復(fù)確認(rèn)包,并等待客戶的確認(rèn),由于源地址是不存在的,服務(wù)器需要不斷的重發(fā)直至超時,這些偽造的SYN包將長時間占用未連接隊(duì)列,正常的SYN 請求被丟棄,目標(biāo)系統(tǒng)運(yùn)行緩慢,嚴(yán)重者引起網(wǎng)絡(luò)堵塞甚至系統(tǒng)癱瘓。過程如下:[1]?
?攻擊主機(jī)C(地址偽裝后為C')-----大量SYN包---->被攻擊主機(jī)? ?
? C'<-------SYN/ACK包----被攻擊主機(jī)?
?由于C’地址不可達(dá),被攻擊主機(jī)等待SYN包超時。攻擊主機(jī)通過發(fā)大量SYN包填滿未連接隊(duì)列,導(dǎo)致正常SYN包被拒絕服務(wù)。另外,SYN洪水攻擊還可以通過發(fā)大量ACK包進(jìn)行DoS攻擊。
?【防御方法】?? ?
?第一種是縮短SYN Timeout時間
?第二種方法是設(shè)置SYN Cookie,就是給每一個請求連接的IP地址分配一個Cookie,如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN報(bào)文,就認(rèn)定是受到了攻擊,以后從這個IP地址來的包會被一概丟棄。
?? >netstat -n -p tcp >result.txt
?【SYN Cookie】
?當(dāng)服務(wù)器收到一個SYN報(bào)文后,不立即分配緩沖區(qū),而是利用連接的信息生成一個cookie,并將這個cookie作為將要返回的SYN+ACK報(bào)文的初始序列號。
?當(dāng)客戶端返回一個ACK報(bào)文時,根據(jù)包頭信息計(jì)算cookie,與返回的確認(rèn)序列號(初始的序列號+1)的前24位進(jìn)行對比,如果相同,則是一個正常連接,然后,分配資源,建立連接。?? ?????? ?????
?【缺陷】
?SYN Cookies 的使用不與任何協(xié)議定義沖突,照理來說它該和所有的 TCP 實(shí)現(xiàn)兼容。然而,當(dāng) SYN Cookies 使用的時候,會發(fā)生兩種值得注意的變化:
?首先,服務(wù)器只能編碼八種 MSS 數(shù)值,因?yàn)橹挥?3 位二進(jìn)制空間可用。
?其次,這個服務(wù)器必須拒絕所有的TCP 選用項(xiàng),例如大型窗口和時間戳,因?yàn)榉?wù)器會在信息被用其他方式存儲時丟棄 SYN 隊(duì)列條目。?
?盡管這些限制將不可避免地導(dǎo)致一個不如最佳的體驗(yàn),它們的效果很少被客戶端注意到——這些改變只在被攻擊時值得注意。在這樣的情況下,犧牲 TCP 選項(xiàng)來保護(hù)連接一般被認(rèn)為是合乎情理的。?
?Linux內(nèi)核從 2.6.26 版本開始為 TCP 選用項(xiàng)加入了有限的支持,通過把它們編碼在時間戳內(nèi)實(shí)現(xiàn)。?
?較新的TCP Cookie 傳輸(TCPCT)標(biāo)準(zhǔn)被設(shè)計(jì)用來克服 SYN Cookies 的這些問題,并且在各種方面改進(jìn)這套機(jī)制。不像 SYN Cookies,TCPCT 是一個 TCP 拓展并且要求兩端點(diǎn)都支持 TCPCT。 ?
?? ?
2、ACK Flood攻擊
?在TCP連接建立之后,所有的數(shù)據(jù)傳輸TCP報(bào)文都是帶有ACK標(biāo)志位的,主機(jī)在接收到一個帶有ACK標(biāo)志位的數(shù)據(jù)包的時候,需要檢查該數(shù)據(jù)包所表示的連接四元組是否存在,如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法,然后再向應(yīng)用層傳遞該數(shù)據(jù)包。如果在檢查中發(fā)現(xiàn)該數(shù)據(jù)包不合法,例如該數(shù)據(jù)包所指向的目的端口在本機(jī)并未開放,則主機(jī)操作系統(tǒng)協(xié)議棧會回應(yīng)RST包告訴對方此端口不存在。通常狀態(tài)檢測防火墻所做的事情與此類似,只不過防火墻只攔截非法的數(shù)據(jù)包,而不主動回應(yīng)。
?對比主機(jī)以及防火墻在接收到ACK報(bào)文和SYN報(bào)文時所做動作的復(fù)雜程度,顯然ACK報(bào)文帶來的負(fù)載要小得多。所以在實(shí)際環(huán)境中,只有當(dāng)攻擊程序每秒鐘發(fā)送ACK報(bào)文的速率達(dá)到一定的程度,才能使主機(jī)和防火墻的負(fù)載有大的變化。當(dāng)發(fā)包速率很大的時候,主機(jī)操作系統(tǒng)將耗費(fèi)大量的精力接收報(bào)文、判斷狀態(tài),同時要主動回應(yīng)RST報(bào)文,正常的數(shù)據(jù)包就可能無法得到及時的處理。這時候客戶端(以IE為例)的表現(xiàn)就是訪問頁面反應(yīng)很慢,丟包率較高。但是狀態(tài)檢測的防火墻通過判斷ACK報(bào)文的狀態(tài)是否合法,借助其強(qiáng)大的硬件能力可以較為有效的過濾攻擊報(bào)文。當(dāng)然如果攻擊流量非常大(特別是千兆線路上,我們曾經(jīng)觀察到200~300Mbps左右的ACK Flood),由于需要維護(hù)很大的連接狀態(tài)表同時要檢查數(shù)量巨大的ACK報(bào)文的狀態(tài),防火墻也會不堪重負(fù)導(dǎo)致全網(wǎng)癱瘓。
3、死亡之ping (pingofdeath)
?ICMP(InternetControlMessageProtocol,Internet控制信息協(xié)議)在Internet上用于錯誤處理和傳遞控制信息。最普通的ping程序就是這個功能。而在TCP/IP的RFC文檔中對包的最大尺寸都有嚴(yán)格限制規(guī)定,許多操作系統(tǒng)的TCP/IP協(xié)議棧都規(guī)定ICMP包大小為64KB,且在對包的標(biāo)題頭進(jìn)行讀取之后,要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)。"PingofDeath"就是故意產(chǎn)生畸形的測試Ping(PacketInternetGroper)包,聲稱自己的尺寸超過ICMP上限,也就是加載的尺寸超過64KB上限,使未采取保護(hù)措施的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)內(nèi)存分配錯誤,導(dǎo)致TCP/IP協(xié)議棧崩潰,最終接收方宕機(jī)。
?【防御方法】
?1、用高級設(shè)置法預(yù)防Ping
?2、用網(wǎng)絡(luò)防火墻阻隔Ping
?? 使用防火墻來阻隔Ping是最簡單有效的方法,現(xiàn)在基本上所有的防火墻在默認(rèn)情況下都啟用了ICMP過濾的功能。
?3、啟用IP安全策略防Ping
?4、修改TTL值防Ping???
?? 許多入侵者喜歡用TTL值來判斷操作系統(tǒng),他們首先會Ping一下你的機(jī)子,如看到TTL值為128就認(rèn)為你的系統(tǒng)為Windows NT/2000,如果TTL值為32則認(rèn)為目標(biāo)主機(jī)操作系統(tǒng)為Windows 95/98,
?? 如果為TTL值為255/64就認(rèn)為是UNIX/Linux操作系統(tǒng)。既然入侵者相信TTL值所反應(yīng)出來的結(jié)果,那么我們不妨修改TTL值來欺騙入侵者,達(dá)到保護(hù)系統(tǒng)的目的
?5、防火墻在處理Ping of Death攻擊報(bào)文時,是通過判定數(shù)據(jù)包的大小是否大于65535字節(jié),如果數(shù)據(jù)包大于65535字節(jié),則判定為攻擊報(bào)文,直接丟棄。
4、UDP泛洪
?UDPflood攻擊:如今在Internet上UDP(用戶數(shù)據(jù)包協(xié)議)的應(yīng)用比較廣泛,很多提供WWW和Mail等服務(wù)設(shè)備通常是使用Unix的服務(wù)器,它們默認(rèn)打開一些被黑客惡意利用的UDP服務(wù)。如echo服務(wù)會顯示接收到的每一個數(shù)據(jù)包,而原本作為測試功能的chargen服務(wù)會在收到每一個數(shù)據(jù)包時隨機(jī)反饋一些字符。UDPflood假冒攻擊就是利用這兩個簡單的TCP/IP服務(wù)的漏洞進(jìn)行惡意攻擊,通過偽造與某一主機(jī)的Chargen服務(wù)之間的一次的UDP連接,回復(fù)地址指向開著Echo服務(wù)的一臺主機(jī),通過將Chargen
?和Echo服務(wù)互指,來回傳送毫無用處且占滿帶寬的垃圾數(shù)據(jù),在兩臺主機(jī)之間生成足夠多的無用數(shù)據(jù)流,這一拒絕服務(wù)攻擊飛快地導(dǎo)致網(wǎng)絡(luò)可用帶寬耗盡。?
?【防御方法】
??UDP協(xié)議與TCP 協(xié)議不同,是無連接狀態(tài)的協(xié)議,并且UDP應(yīng)用協(xié)議五花八門,差異極大,因此針對UDP Flood的防護(hù)非常困難。其防護(hù)要根據(jù)具體情況對待:
?判斷包大小,如果是大包攻擊則使用防止UDP碎片方法:根據(jù)攻擊包大小設(shè)定包碎片重組大小,通常不小于1500.在極端情況下,可以考慮丟棄所有UDP碎片。
?攻擊端口為業(yè)務(wù)端口:根據(jù)該業(yè)務(wù)UDP最大包長設(shè)置UDP最大包大小以過濾異常流量。
?攻擊端口為非業(yè)務(wù)端口:一個是丟棄所有UDP包,可能會誤傷正常業(yè)務(wù);一個是建立UDP連接規(guī)則,要求所有去往該端口的UDP包,必須首先與TCP端口建立TCP連接。不過這種方法需要很專業(yè)的防火墻或其他防護(hù)設(shè)備支持。
?? ??? ?
5、Land(LandAttack)攻擊
?在Land攻擊中,黑客利用一個特別打造的SYN包--它的原地址和目標(biāo)地址都被設(shè)置成某一個服務(wù)器地址進(jìn)行攻擊。此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息,結(jié)果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接,每一個這樣的連接都將保留直到超時,在Land攻擊下,許多UNIX將崩潰,NT變得極其緩慢(大約持續(xù)五分鐘)。?
?【防御方法】
?防火墻在處理Land攻擊報(bào)文時,通過檢查TCP報(bào)文的源地址和目的地址是否相同,或者TCP報(bào)文的源地址是否為環(huán)回地址,如果是則丟棄。
?
6、淚滴攻擊???
?對于一些大的IP數(shù)據(jù)包,往往需要對其進(jìn)行拆分傳送,這是為了迎合鏈路層的MTU(最大傳輸單元)的要求。比如,一個6 000字節(jié)的IP包,在MTU為2 000的鏈路上傳輸?shù)臅r候,就需要分成3個IP 包。在IP報(bào)頭中有一個偏移字段和一個拆分標(biāo)志(MF)。如果MF標(biāo)志設(shè)置為1,則表示這個IP包是一個大IP包的片段,其中偏移字段指出了這個片段在整個IP包中的位置。例如,對一個6 000字節(jié)的IP包進(jìn)行拆分(MTU為2 000),則3個片段中偏移字段的值依次為0,2 000,4 000。這樣接收端在全部接收完IP數(shù)據(jù)包后,就可以根據(jù)這些信息重新組裝這幾個分次接收的拆分IP包。在這里就有一個安全漏洞可以利用了,就是如果黑客們在截取IP數(shù)據(jù)包后,把偏移字段設(shè)置成不正確的值,這樣接收端在收到這些分拆的數(shù)據(jù)包后,就不能按數(shù)據(jù)包中的偏移字段值正確組合這些拆分的數(shù)據(jù)包,但接收端會不斷嘗試,這樣就可能致使目標(biāo)計(jì)算機(jī)操作系統(tǒng)因資源耗盡而崩潰。
?【防御方法】
?檢測這類攻擊的方法是對接收到的分片數(shù)據(jù)包進(jìn)行分析,計(jì)算數(shù)據(jù)包的片偏移量(Offset)是否有誤。反攻擊的方法是添加系統(tǒng)補(bǔ)丁程序,丟棄收到的病態(tài)分片數(shù)據(jù)包并對這種攻擊進(jìn)行審計(jì)。盡可能采用最新的操作系統(tǒng),或者在防火墻上設(shè)置分段重組功能,由防火墻先接收到同一原包中的所有拆分?jǐn)?shù)據(jù)包,然后完成重組工作,而不是直接轉(zhuǎn)發(fā)。因?yàn)榉阑饓ι峡梢栽O(shè)置當(dāng)出現(xiàn)重疊字段時所采用的規(guī)則。
?
7、IP地址掃描攻擊
?IP地址掃描攻擊是攻擊者運(yùn)用ICMP報(bào)文(如Ping和Tracert命令)探測目標(biāo)地址,或者使用TCP/UDP報(bào)文對一定地址發(fā)起連接,通過判斷是否有應(yīng)答報(bào)文,以確定哪些目標(biāo)系統(tǒng)確實(shí)存活著并且連接在目標(biāo)網(wǎng)絡(luò)上。
?【防御方法】
??防火墻對收到的TCP、UDP、ICMP報(bào)文進(jìn)行檢測,當(dāng)某源IP地址連續(xù)發(fā)送報(bào)文的目的IP地址與前一個報(bào)文的目的IP地址不同時,則記為一次異常,當(dāng)異常次數(shù)超過預(yù)定義的閾值時,則認(rèn)為該源IP的行為為IP地址掃描行為,防火墻會將該源IP地址加入黑名單。
?? ??? ?
?? ?????
8、Smurf攻擊
?Smurf攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請求(ping)數(shù)據(jù)包,來淹沒受害主機(jī),最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對此ICMP應(yīng)答請求做出答復(fù),導(dǎo)致網(wǎng)絡(luò)阻塞。更加復(fù)雜的Smurf將源地址改為第三方的受害者,最終導(dǎo)致第三方崩潰。
?攻擊的過程是這樣的:Woodlly Attacker向一個具有大量主機(jī)和因特網(wǎng)連接的網(wǎng)絡(luò)的廣播地址發(fā)送一個欺騙性Ping分組(echo 請求),這個目標(biāo)網(wǎng)絡(luò)被稱為反彈站點(diǎn),而欺騙性Ping分組的源地址就是Woolly希望攻擊的系統(tǒng)。
?這種攻擊的前提是,路由器接收到這個發(fā)送給IP廣播地址(如206.121.73.255)的分組后,會認(rèn)為這就是廣播分組,并且把以太網(wǎng)廣播地址FF:FF:FF:FF:FF:FF:映射過來。這樣路由器因因特網(wǎng)上接收到該分組,會對本地網(wǎng)段中的所有主機(jī)進(jìn)行廣播。
?讀者肯定能夠想到下面會發(fā)生什么情況。網(wǎng)段中的所有主機(jī)都會向欺騙性分組的IP地址發(fā)送echo響應(yīng)信息。如果這是一個很大的以太網(wǎng)段,可以會有500個以上的主機(jī)對收到的echo請求進(jìn)行回復(fù)。
?由于多數(shù)系統(tǒng)都會盡快地處理ICMP傳輸信息,Woodlly Attacker把分組的源地址設(shè)置為目標(biāo)系統(tǒng),因此目標(biāo)系統(tǒng)都很快就會被大量的echo信息吞沒,這樣輕而易舉地就能夠阻止該系統(tǒng)處理其它任何網(wǎng)絡(luò)傳輸,從而引起拒絕為正常系統(tǒng)服務(wù)。
?這種攻擊不僅影響目標(biāo)系統(tǒng),還影響目標(biāo)公司的因特網(wǎng)連接。如果反彈站點(diǎn)具有T3連接(45Mbps),而目標(biāo)系統(tǒng)所在的公司使用的是租用線路(56Kbps),則所有進(jìn)出該公司的通訊都會停止下來。
這種攻擊現(xiàn)在已經(jīng)很少見,大多數(shù)的網(wǎng)絡(luò)已經(jīng)對這種攻擊免疫了.
【防御方法】
?配置路由器禁止IP廣播包進(jìn)網(wǎng)
?配置網(wǎng)絡(luò)上所有計(jì)算機(jī)的操作系統(tǒng),禁止對目標(biāo)地址為廣播地址的ICMP包響應(yīng)。
?被攻擊目標(biāo)與ISP協(xié)商,有ISP暫時阻止這些流量。
?對于從本網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包,本網(wǎng)絡(luò)應(yīng)該將其源地址為其他網(wǎng)絡(luò)的這部分?jǐn)?shù)據(jù)包過
?
9、Fraggle攻擊
?類似于Smurf,使用UDP應(yīng)答消息而非ICMP。UDP端口7(ECHO)和端口19(Chargen)在收到UDP報(bào)文后,都會產(chǎn)生回應(yīng)。在UDP的7號端口收到報(bào)文后,會回應(yīng)收到的內(nèi)容,而UDP的19號端口在收到報(bào)文后,會產(chǎn)生一串字符流。它們都同ICMP一樣,會產(chǎn)生大量無用的應(yīng)答報(bào)文,占滿網(wǎng)路帶寬。攻擊者可以向子網(wǎng)廣播地址發(fā)送源地址為受害網(wǎng)絡(luò)或受害主機(jī)的UDP包,端口號用7或19.子網(wǎng)絡(luò)啟用了此功能的每個系統(tǒng)都會向受害者的主機(jī)做出響應(yīng),從而引發(fā)大量的包,導(dǎo)致受害網(wǎng)絡(luò)的阻塞或受害主機(jī)的崩潰;子網(wǎng)上沒有啟動這些功能的系統(tǒng)將產(chǎn)生一個ICMP不可達(dá)的消息,因而仍然消耗帶寬。也可將源端口改為Chargen。目的端口為ECHO,這樣會自動不停地產(chǎn)生回應(yīng)報(bào)文,其危害性更大。?
【防御方法】?
?檢查進(jìn)入防火墻的UDP報(bào)文,若目的端口號為7或19,則直接拒絕,并將攻擊記錄到日志,否則允許通過。
?
10、電子郵件炸彈?
?電子郵件炸彈是最古老的匿名攻擊之一,通過設(shè)置一臺機(jī)器不斷的大量的向同一地址發(fā)送電子郵件,攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬。?
【防御方法】?
對郵件地址進(jìn)行配置,自動刪除來自同一主機(jī)的過量或重復(fù)的消息。?
11、畸形消息攻擊?
?各類操作系統(tǒng)上的許多服務(wù)都存在此類問題,由于這些服務(wù)在處理信息之前沒有進(jìn)行適當(dāng)正確的錯誤校驗(yàn),在收到畸形的信息可能會崩潰。?
【防御方法】
?打最新的服務(wù)補(bǔ)丁。
總結(jié)
- 上一篇: 网络:浏览器静态资源缓存机制
- 下一篇: 自定义注解和拦截器,实现接口限流防刷