拒绝服务攻击


  Share  
|


拒绝服务( DoS )攻击,据报事件反应小组,超过任何其他种类的攻击。 误解的拒绝服务攻击的比比皆是,但。 一个普遍的误解是,拒绝服务攻击,总是坠毁申请或主持人。 尽管大多数报道DoS攻击的确造成应用程序或主机当机, DoS攻击也可以导致系统或功能,以减缓或不能正常运转。 不善写CGI程序,例如,可以坠毁网络服务器,通过缓冲区溢出或其他条件,但它也可能造成CPU的过度,使受害人所在,麻木不仁。

几种类型的DoS攻击,现在几乎具有传奇色彩,因为他们已经发生太多次了:

  • 的SYN Flooding在一个SYN Flooding攻击,敌对的主机发出一个洪水顺包,一受害人所在。 顺包被送到由一个主机要开始一个TCP连接与另一个主机(我们会还呼吁"接受香港好客之道" ) 。 接收主机显示器的地位,连接尝试以及作为连接本身,如果一个连接建立。 监测现况需要资源。 当一个连接封闭时,所用的资源,在监管方面已不再需要。 随着越来越多的连接发生时,更多的资源分配到监控状态连线。 在正常条件下,在一个正常数量的连接方式均到位,接收主机有足够多的资源,以监测所有连接到它。

    但如果洪水顺包发送和接收主机,没有得到随后的数据包的一部分正常的过程中完成连接? 简而言之,接收主机耗尽的资源,使受害人所在,麻木不仁的情况下温和资源枯竭或造成它坠毁在案件更严重的资源枯竭。 因为的SYN Flooding攻击是容易发起,他们频频发生。 幸运的是,大多数厂商的作业系统都有解决问题,具备了操作系统下降局部开放连接。

  • 泪滴攻击。泪滴攻击是另一种类型的多attack.the IP协议是一个强有力的协议,旨在解决各种各样的设备,系统和类型的联网。 如果一个系统是要派人包通过,也就是说, 1公斤字节( 1024字节)的大小,网络设备,如路由器可能不能够处理的数据包,这是大的。 他们可能反而能够处理的数据包,只有一半大小。 在这种情况下, IP的自动划分原包成小的零件,而且能够做出自己的方式,通过网络设备无法处理较大的数据包,这个过程就是支离破碎。

    当零散包到达接收主机,这主reassembles他们纳入包发送东道国创立之初。 破碎包是有用的,因为它提供了一个实用而合理的有效率的方式,以交通数据通过网络调用,而仍保存数据的准确性。 攻击者可以滥用破碎过程中,然而,造成接收主机接收价值观包,它是不会在程序设计过程。 在泪滴攻击,一包破片,是放在另一以便当接收主机收到这一套包碎片,由此产生的价值(按偏移)出射程。 接收机器云时失去控制坠毁。

    还有很多变化,经典的泪滴攻击以及许多其他类型的数据包分割攻击。 攻击者可以,例如写程式划分包成了碎片在地,造成随后的包覆盖部分初始片段。

  • smurf攻击,但另一种拒绝服务攻击,是一个smurf攻击。 在这类型的攻击,目标主机受害的是当攻击者伪造( "伪装" )的起源或来源地址视为目标主机的地址。 攻击者(或者,是比较恰当的,运行的程序,对代表的攻击者) ,会释放出一个洪水平包或ICMP的回声请注定是为所有的主机对本地网络。 这是通过具有广播地址作为目的地。 一个网络广播地址的一个网络有一个特定IP地址是用来发送数据包的每一个主机内部的本地网络。

    当平或ICMP的回显请求包到达广播地址,这些数据包也被发送到其他主机。 他们的回应是在回答源地址,地址的有针对性的东道主。 泛滥的答复可以有几种影响,最有可能的,这是造成目标主机当机,或在一点点运气,也许放慢下来,一爬反而因具有处理这类接二连三的包。 大多数作业系统厂商已开发补丁程序更正这个问题,尽管网络过滤,限制广播流量,是一个可行方案。

平, "包互联网groper " ,是一项议定书,以决定是否或不是一个主持人是活着就网络(即,无论是运行和响应) 。 平传来的一组字,通常是一个相当小群(通常少于100字节) ,然后等待东道国已pinged作出回应。 其中一个最主要的用途是平决定是否某个特定的主机已坠毁。

  • 刘炳章的殊死攻击,但另一类典型的DOS攻击是平的殊死攻击。 这次攻击造成了缓冲区溢出的情况,这是由于过小的内存卡供来袭数据的处理。 具体方法,其中一个缓冲区溢出的条件是处理取决于多项因素,但其中一个可能的结果是耗尽内存导致应用程序或系统崩溃。

    伎俩上一个圆满平安的殊死攻击,是派平包超过最大尺寸,即64和TCP / IP协议。 接收主机可能不被编程为拒绝过大包,并可能因此进入一个缓冲区溢出的情况。 这个问题,主要是(但不完全)的影响,微软的操作系统产品,其中大部分是坠毁与臭名昭著的蓝屏死机( bsod )出庭。 幸运的是,这些程序能解决这个问题,现在经常可以和通常纳入作业系统的产品,都容易受到伤害,只有几年前。

  • 对地攻击,一个对地攻击,利用对事实性质的包通常遵循一定的约束。 一般情况下,例如,同步包不具有同一来源地和目的地的IP地址,也不是来源及目的地港口通常是一样的。 如果攻击者发送同步包说,有这些或其他特征,在对地攻击中,接收主机可能进入某种不正常的状态,使之崩溃。

  • winnuke攻击。 winnuke攻击利用的一个弱点,在TCP / IP协议的执行情况,在某些版本的Windows NT 。 在这次袭击中,一名肇事者送出的范围输入(也就是输入参数不符合远程接收主机预计) ,以被害人主机通过一个连接建立在TCP端口139 。 大量超额配售的CPU在处理这种不正常状态的原因,受害人主机当机。 这个问题,这是固定在Windows NT 4.0 Service Pack 3和更高,是因为不检查是否投入,是一个预期的范围内。

  • 分布式拒绝式服务( DDoS )攻击,虽然类似,在许多方面,以常规的拒绝服务攻击, DDoS攻击是不同的,主要是因为他们要求接管主机,然后分派各种角色,在即将进行DDoS攻击( )通过安装特别的,恶意软件。 还注意到,但是, DDoS攻击可以开始从一个自己的系统,过分的。 DDoS攻击涉及师父,处理程序,以及僵尸主办单位:

    • 僵尸代理商说,其实释放洪水的包说,把主持人,也被网络陷入瘫痪。 僵尸不采取行动,对自己的,不过,他们释放出一个包洪水,如果只指示这样做的另一个东道国,即处理程序(见下子弹) 。

    • 处理人员实在是没有什么比中间的机器,无论是主动进攻,也没有释放包,洪水受害者的网络。 反而演出任务,如确认代理软件已安装在主机(僵尸)在整个网络,并正在准备工作。 处理人员因此质疑僵尸,在指定的时间间隔。 操作者还可以收到信号,从主,另一主持人通常不会被置于内部网络,其中DDoS攻击是发生时,发起DDoS攻击给代理商。 处理程序反过来则发出了一个信号,给僵尸释放接二连三的包。

    • 第三共犯在一个DDoS攻击,是师父。 主人是东道国,它通常直接领导下的攻击者的控制范围内。 它是用来直接任何处理,把指挥释放洪水的包向僵尸。

      DDoS攻击,在1999年和2000年造成了重大的经济损失和/或中断,为一些机构,包括美国明尼苏达大学,业内机构,易趣,电子商务信任, amazon.com等。 主要的威胁是一个长期停电,虽然成本调查东道主的证据妥协的DDoS工具和恢复的完整性,这些系统还可以非常高。 许多类型的DDoS攻击工具已经得到确定。 一,骨干,甚至是建立在其自身的检测机制,使之既避免被检测到入侵侦测程式。 额外的DDoS工具,已确定包括trin00 ,部落洪水网络( TFN号码) , tfn2k , slice3 , stacheldracht和等。

文章提交由托马斯gregovich

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions