推荐日志

安防策略 即时剖解防范DOS攻击

[ 2007-03-25 03:33:36 | 作者: sun ]
字体大小: | |
意用户越来越猖獗的今天,网络中不再是风平浪静,作为一名保卫计算机安全的管理人员,了解恶意用户的攻击手段与原理是必然的,知已知彼方能更好将安全系数提升至另一个境界,而DOS、DDOS攻击类型方式的兴起,也让网管员再次忙活了起来……
DOS攻击原理详探
DOS攻击可以使被攻击目标达到无法正常访问并不能面对用户提供正常提供服务,其攻击方式是一对一式的通常称为点对点式,采用消耗资源、服务中止和物理破坏形式,但当被攻击机器的性能优越于攻击者机器时,DOS无明显效果。此时分布式拒绝服务攻击手法DDOS应运而生,此攻击是在DOS基础上利用大量计算机一起发动大规模攻击,从而导至目标机资淅耗尽而崩溃,因为DDOS式攻击可让恶意用户控制傀儡机进行跨机攻击,隐匿性非常强,所以受害机往往很难查出真正发起攻击的恶意用户到底是来自那个地区,后果非常糟糕也十分可怕。

常见DOS攻击及防范
目前网络中流行的其DOS类攻击有很多种,而下面的四种却是恶意用户最常用的攻击手法,其危害大、操作相对简单。

一、UDP Flood攻击
此种攻击方法也是让目标机产生拒绝服务的手段之一,此UDP连接无需任何协议技持即可进行远程数据传输,当恶意用户向目标机发送4字节的数据包时,此时将会产生UDP淹没攻击,目标计算机接收数据包的应用程序,并进行等待确定,一但发现端口中不存在等待连接的应用程序,此时将产生一个目的地址无法连接的ICMP数据包发送给该伪造的源地址,随着数据包往复发送的次数变多,此时目标机的处理能力慢慢变低,最终将导至计算机无法提供正常服务系统崩溃。

针对此种攻击的网络管理人员要充分利用硬件产品与计算机安全策略相互交错运行,禁用或者过滤监控和响应服务,并过滤或禁用其它的UDP服务,对指定的UDP服务可以通过其代理机制来实行网络访问。

二、SYN FLOOD攻击原理防法方案
此攻击方法利用了TCP协议中三次握手中的缺憾,并因此为传输依据向目标主机发送大量伪造的TCP连接请求,重复一次又一次的SYN报文后依次中断,让目标机接收的连接请求保存在一个有限空间缓存队列中,并越聚越多,从而使目标机出现CPU满载运行与内存资源耗尽,无法及时回应并处理正常的服务请求,导至服务器不停地处理大量虚假SYN包 ,使堆栈溢出陷入崩溃边缘,从而造成服务器的拒绝服务。

由于SYN Flood攻击的效果取决于目标机上的半连接数,这个值等于SYN攻击的频度乘以SYN Timeout,所以通过缩短SYN Timeout时间以确定报文无效并丢弃该连接即可抵御,其修改方法如下:首先在计算机运行项里输入regedit.exe调出注册表项,并依次展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\parameters键值,并在右侧窗体中建立DWORD值名为SynAttackProtect,设置其键值范围为2(提示:此值减少SYN攻击时采取的保护措施,0为无保护)并再次建立DWORD值命名为TcpMaxHalfOpen,此值的设置要根据实际情况进行设定,用以控制系统允许打开的半连接数,最后再次建立DWORD名为TcpMaxHalfOpenRetriec,此值决定系统于何种情况下自动打开SYN攻击保护,修改注册表键值将针对攻击频率不高的SYN Flood攻击产生效果。

三、ICMP Flood攻击原理及防法
ICMP攻击是通过Ping产生的大量数据包,使目标计算机的CPU占用率满载继而当机,此类的攻击方法更加简单,恶意用户只要在DOS窗体中输入ping -t -l 65500 IP地址即可实现向目标计算机发送一个65500的ICMP报文,此时目标用户即受到ICMP洪水攻击,计算机因此逐渐变慢,从而死机。

用户或管理人员可以通过在运行菜单中输入regedit.exe调出注册表,打开HKEY_LOCAL_Machine/System/CurrentControlSt/Services?TCPIP/Paramters键值并在其右窗口中创建DWORD键值命名为EnableICMPRedirects键值数为0,此时即可禁止计算机响应ICMP得定向报文,以达保护目的,而还有一种方法是通过修改注册表禁止响应ICMP路由通告报文,来守护此类攻击,依次打开注册表如下键值HKEY_LOCAL_Machine/System/CurrentControlSt/Services?TCPIP/Paramters/Interfaces在右侧窗体中创建DWORD值命名为PerformRouterDiscovery其键值为0即可停止响应。

DDOS攻击
DDoS是英文Distributed Denial of Service的缩写(网络统称为:分布式拒绝服务)。其原理是主攻击利用所控制的N台中间人计算机(傀儡主机)一起向目标机器发送大量看似合法的数据包,造成目标机网络阻塞或服务器资源耗尽而导致拒绝服务产生,导至合法的网络数据包被虚假的网络数据包淹没而无法到达主机,形成合法用户无法正常访问,也可以通过大量的攻击数据包导至主机的CPU满裁、内存耗尽造成目标机也无法对正常用户提供网络服务,威力更加庞大。

了解了DOS及DDOS的几类攻击手法后,那么用户或管理人员如何才能做到有效地防备呢?首先要安装专业抗DDOS防火墙,安装完成对利用端口扫描软件对本机进行扫描,发现高危端口时使用新建防火墙规则,对其进行拦截或过滤某些特定的数据包,在系统安全上要经常打上最新的安全补丁程序,建立备份机制删除多余用户,禁止不必要的网络服务,并建立路由器、防火墙等负载均衡设备策略,当网络被恶意用户DDOS时最先崩溃的是路由器,此时当一台路由器被攻击死机时,另一台则马上进行工作,而内部计算机在其保护之下完好无损,崩溃的路由器经重启很快便于能进入替补角色,从而最大程度的削减了DDOS的攻击,做到防危滴漏!

防御后记
网络用户在以后的网络中遇上此类攻击,相信在了解其原理的情况下,能即时应对所发生的突发事件,在情节处理上要做到稳而不乱,忙而能静的攻守原则,在硬件上下下功夫做好防火墙与策略的把关工作,定能大事化小小事化了
评论Feed 评论Feed: http://www.lziss.com/blog/feed.asp?q=comment&id=316
UTF-8 Encoding 引用链接: http://www.lziss.com/blog/trackback.asp?id=316

浏览模式: 显示全部 | 评论: 1 | 引用: 0 | 排序 | 浏览: 1256
引用 bfk034*
[ 2007-11-04 13:10:36 ]
上海派爱商务咨询有限公司
经营范围:商务咨询、企业管理咨询、投资咨询、市场策划、展览展示服务、劳动服务。
并可以为贵公司提供高质量网站建设及网站优化、产品推广服务


公司本次发布信息内容:食品、饮料、酒类、调味品等企业。如果有需要本公司进行产品投放市场前期
的策划,寻找代理商家,可以与我公司联系。

在本月10日以前联系的公司将可以安排贵公司产品参加11月份的华联超市全国订货会。

联系方式:电话 021--51021055-3
E-mail: sh-pai@hotmail,com.

联 系 人:邵先生

发表
表情图标
[1] [2] [3] [4]
[5] [6] [7] [8]
[9] [10] [11] [12]
[13] [14] [15] [16]
[17] [18] [19] [20]
[21] [22] [23] [24]
[25] [26] [27] [28]
[29] [30] [31] [32]
[33] [34] [35]
UBB代码
转换链接
表情图标
悄悄话
用户名:   密码:   注册?