DOS攻击类型和防护D.docVIP

DDOS各类攻击和防患 DDoS攻击类型 1 基于IcMP协议的DDoS攻击 IcMP协议用于错误处理和传递控制信息，它的主要功能是用于主机之间的联络。它通过发送一个“回复请求”(echo request)信息包请求主机响应，以判断与主机之间的连接是否正常。大多数系统将TcP/IP协议簇中的ICMP的数据报的数量规定为64k字节左右，例如Windows2000系统规定的最大值是65527字节，当数据报的数釜超过最大值时，系统将会产生内存分配错误。攻击者可以利用系统的这个漏洞，伪造目标主机的IP地址向局域网内主机发布广播分组，当局域网内的主机接受到广播分组后，都会向目标主机发送echo响应信息包，而目标主机在处理ICMP时将会被大量的信息包淹没。这种攻击可以摧毁目标服务器，阻塞目标网络，致使合法用户无法登录网络。ping洪水攻击软件和smurf攻击软件就是典型基于IcMP协议的攻击软件。 2 基于UDP协议的DDoS攻击uDP协议是用来定义在网络环境中提供数据包交换的计算机通信协议，处在TCP/IP协议中IP(网络)层的上层。它为用户程序之间的信息传输提供了简便的协议机制，但不提供提交和复制的保护功能。UDP模块必须能够决定源主机和目标主机的网络地址，而且必须能够从报头中获得所使用的协议类型。可能的方式就是返回整个数据报，包括接收操作返回的数据报头，还应该允许UDP向IP传送带完整报头的数据报用于IP传送，由IP来确定数据的一致性和计算校验码。由于uDP不会脸证其发送的数据报是否被正确接收就会发送新的数据报，因此，就可以伪造大量的数据报用于攻击目标主机。UDPnooder是基于该协议的攻击软件。 3 基于TcP协议的DDoS攻击TCP与UDP不同，它是基于连接的协议。TCP协议要求在传送数据前必须在服务器与客户机之间建立连接。而建立代P连接必须经过“三次握手”，即:第一次:客户机发送带灯N的连接请求。sYN(Synchronize)是同步的意思，同步连接将指出客户建立连接使用的端口号和TcP连接的初始序号。第二次:服务器在接收到sYN报文后，将响应一个SYN+ACK(Acknowledgement)的报文，表示接受请求，同时TCP序号加1。第三次:客户端接收到服务器的确认信息后，同样返回一个ACK报文给服务器，同样TcP序号加1，至此，TCP连接建立。 而在建立TCP连接的过程中，如果在第二次握手以后，由于客户端或网路出现故障以及其它原因，致使服务器没有接收到来自客户端的第三次握手信息，服务器一般会重新发送SYN+ACK报文给客户端，并在等待一段时间后丢弃这个没有建立连接的请求。 值得注意的是:服务器的用于等待来自客户机的ACK信息包的TCP/IP堆栈是有限的，如果缓冲区被等待队列充满，它将拒绝下一个连接请求。那么，攻击者就可以利用这个漏洞，在瞬间伪造大量的SYN数据报，而又不回复服务器的sYN+AcK信息包，就可实现攻击企图。这类攻击软件有SYNn flood攻击软件等。此外，还有利用应用程序的漏洞实施的拒绝服务攻击，如Telnet漏洞等。 参考文献：《DoS和DDoS攻击的实现原理及防范研究》。王春水， 刘航 DDoS 攻击主要种类 受害主机在 DDoS 攻击下，明显特征就是大量的不明数据报文流向受害主机，受害主机的网络接入带宽被耗尽，或者受害主机的系统资源(存储资源和计算资源)被大量占用，甚至发生死机。前者可称为带宽消耗攻击，后者称为系统资源消耗攻击。两者可能单独发生，也可能同时发生。 1 带宽消耗攻击 DDoS带宽消耗攻击主要为直接洪流攻击。 直接洪流攻击采取了简单自然的攻击方式，它利用了攻击方的资源优势，当大量代理发出的攻击流汇聚于目标时，足以耗尽其 Internet 接入带宽。通常用于发送的攻击报文类型有：TCP报文(可含TCP SYN报文)，UDP报文，ICMP报文，三者可以单独使用，也可同时使用。 1.1 TCP洪流攻击 在早期的DoS攻击中，攻击者只发送TCP SYN报文，以消耗目标的系统资源。而在 DDoS 攻击中，由于攻击者拥有更多的攻击资源，所以攻击者在大量发送TCP SYN报文的同时，还发送ACK, FIN, RST报文以及其他 TCP 普通数据报文，这称为 TCP 洪流攻击。该攻击在消耗系统资源(主要由 SYN，RST 报文导致)的同时，还能拥塞受害者的网络接入带宽。由于TCP协议为TCP/IP协议中的基础协议，是许多重要应用层服务(如WEB 服务，FTP 服务等)的基础，所以TCP洪流攻击能对服务器的服务性能造成致命的影响。据研究统计，大多数DDoS攻击通过TCP洪流攻击实现。 1.2 UDP 洪流攻击 用户数据报协议(UDP)是一个无连接协议。当数据包经由UDP