NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 病毒安全 .: DOS攻击简述

DOS攻击简述

DoS(Denial of Service,拒绝服务)攻击广义上是指任何导致被攻击目标不能正常提供服务的攻击。此攻击就像泼到被攻击目标上的一杯水或者被攻击目标的网线被拔下等等现象,最终的结果是正常用户不能使用其所提供的服务。DoS攻击的后果会使用我们无法通过CRM、ERP、办公自动化软件极大的提高了工作的效率,无法通过网络可以找到各种工作、学习资料,无法通过网络交纳电话费,查看银行帐户,无法上网交友娱乐。并且,如果某个DNS服务器或者路由器、防火墙的遭到DoS攻击甚至会导致整个网络的拒绝服务。DoS攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。了解DoS攻击的方法,对于有效预防攻击和遇到攻击进行相关处理有很大帮助。DoS攻击的方法有很多,但大多都可以分为以下几类:
  一、利用软件实现的缺陷
  OOB攻击(常用工具:Winnuke)、Teardrop攻击(常用工具:teardrop.c、boink.c、bonk.c)、land攻击、IGMP碎片包攻击、Jolt攻击、Cisco 2600路由器IOS version 12.0(10)远程拒绝服务攻击等等,这些攻击都是利用了被攻击软件的实现上的缺陷完成DoS攻击的。通常这些攻击工具向被攻击系统发送特定类型的一个或多个报文。这些攻击一般都是致命的,都是一击致死。而且很多这种类型的攻击是可以伪造源地址的,所以即使通过IDS(入侵检测系统)或者嗅探器(Sniffer)软件记录到攻击报文也不能找到攻击者。由于此类型的攻击多是特定类型的、非常短暂的少量几个报文,因此,如果攻击者伪造源IP地址,追查工作几乎是不可能。
  产生这种攻击的原因通常是由于软件开发过程中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文运行出现异常,致使软件崩溃甚至系统崩溃。下面结合几个具体实例解释一下这种攻击的成因。
  1997年5月7日,有人发布了一个winnuke.c。首先建立一条到Windows 95/NT主机的TCP连接,然后发送TCP紧急数据,导致对端系统崩溃。TCP的139端口是Windows 95/NT系统最常见的侦听端口,所以winnuke.c使用了该端口。之所以称这种攻击为OOB攻击,是因为MSG_OOB标志,实际应该是TCP紧急数据攻击。
  原始Teardrop.c只构造了两种碎片包,每次同时发送这两种UDP碎片包。如果指定发送次数,将完全重复先前所发送出去的两种碎片包。它可以伪造源IP并跨越路由器进行远程攻击,影响的系统包括Linux、Windows NT和Windows 95。使用的方法是:
  teardrop 源IP 目的IP [-s 源端口] [-d 目的端口] [-n 次数]
  较新的一种DoS攻击是基于Windows的SMB实现的攻击,2002年8月发布。其攻击方法是先和目标系统建立一个连接,然后发送一个特定的请求,目标系统就会蓝屏。发布的测试工具SMBdie.exe是一个图形界面工具,输入目标NETBIOS名称即可。只要允许匿名连接的Windows系统就可以对其进行远程攻击,强烈建议Windows用户打相应的补丁。
  从上面的讨论可以看出,这种攻击行为威力很大,而且难于侦察。但真实情况下它的危害仅现于漏洞发布后的不长的时间段内,相关厂商会很快发布补丁修补这种漏洞。因此,上面提到的几种较老的攻击在现实的环境中,通常是无效的。不过最新的攻击方法还是让我们不寒而栗,所以应该及时关注安全漏洞的发布,打上新的补丁。
  二、利用协议的漏洞
  如果说上面所述漏洞危害的时间不是很长,那么这种攻击的生存能力却非常强。为了能够在网络上进行互通、互联,所有的软件实现都必须遵循既有的协议,而如果这种协议存在漏洞,所有遵循此协议的软件都会受到影响。
  最经典的攻击是SYN Flood攻击,它利用TCP/IP协议的漏洞完成攻击。通常一次TCP连接的建立包括3个步骤:客户端发送SYN包给服务器端;服务器分配一定的资源给这里连接并返回SYN/ACK包,并等待连接建立的最后的ACK包;最后客户端发送ACK报文,这样两者之间的连接建立起来,并可以通过连接传送数据了。而攻击的过程就是疯狂的向攻击目标发送SYN报文,而不返回ACK报文,导致服务器占用过多资源,没有能力响应别的操作,或者不能响应正常的网络请求。
  这个攻击是经典的以小搏大的攻击,自己使用少量资源占用对方大量资源。一台基于Intel奔腾IV处理器的Linux系统大约能承受30-40Mbps的64字节SYN Flood报文,而一台普通的服务器接收到20Mbps的SYN Flood报文就基本没有任何响应了(包括鼠标、键盘)。SYN Flood不仅可以远程进行,而且可以伪造源IP地址,给追查造成很大困难,要进行查找,所有骨干网络运营商必须都参与,一级一级路由器地向上查找。因此,对于伪造源IP的SYN Flood攻击,除非攻击者和被攻击的系统之间所有的路由器的管理者都配合查找,否则很难追查。当前一些防火墙产品声称有抗DoS的能力,但通常他们能力有限,包括国外的硬件防火墙,大多100M防火墙的抗SYN Flood的能力通常只达到对抗20-30Mbps的64字节的SYN Flood报文。
  由于TCP/IP协议相信报文的源地址,另一种攻击方式是反射拒绝服务攻击。此外,还可以利用广播地址和组播协议辅助反射拒绝服务攻击。不过大多数路由器都禁止广播地址和组播协议的地址。
  此类攻击方式的另外一种是使用大量符合协议的正常服务请求,由于每个请求耗费很大系统资源,导致正常服务请求不能成功。如攻击者针对HTTP协议构造大量搜索请求,这些请求耗费大量服务器资源,导致DoS。但是这种方式攻击比较好处理,由于是正常请求,暴露了正常的源IP地址,禁止这些IP即可。

  三、进行资源比拼
  这种攻击方式属于无赖打法,凭借着手中丰富的资源,发送大量的垃圾数据侵占完目标系统的资源,导致DoS。例如ICMP flood、mstream flood、Connection flood等都属于这种类型的攻击。为了获得比目标系统更多资源,攻击者通常会发动DDoS(Distributed Dos 分布式拒绝服务),即控制多个攻击傀儡发动攻击,这样才能产生预期的效果。


这篇文章对你多有用?

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited