DOS攻擊概念
DOS:Denial of Serivce 拒絕服務攻擊
內因:網絡安全協議的安全缺陷
外因:利益驅使的蓄意行爲 偶然的
DOS攻擊原理
攻擊原理:利用合理的請求佔用過多的服務資源,使得服務超載,無法響應正常的服務請求.
- 網絡帶寬
- 文件系統的空間容
- 開放的進程
- 允許的連接
DOS攻擊方法
1.耗盡計算機資源,如帶寬,內存,磁盤空間,處理器時間.
2.破壞配置信息,如路由信息.
3.破壞狀態信息,如TCP鏈接中斷.
4.破壞網絡硬件.
5.破壞通信介質,阻擋正常通信.
DOS攻擊技術
拒絕服務攻擊的幾種主要技術:
SYN Flood
SYN Flood是一種利用TCP協議缺陷,發送大量僞造的TCP連接請求,使被攻擊方資源好近的攻擊方式.
SYN Flood之TCP三次握手:
SYN Flood
實施這種攻擊有兩種方法:①阻斷應答②僞裝不在線的IP地址
防禦:
- 縮短SYN Timeout時間
- 設置SYN Cookie
- 設置半開連接數
ICMP Flood
Smurf Flood攻擊
防禦:配置路由器禁止IP廣播包進網
Ping of Death
攻擊:死亡之Ping,發送一些尺寸超大(大於64K)的ICMP包.
防禦:最有效的防禦方式時禁止ICMP報文通過網絡安全設備.
Land攻擊
Local Area Network Denial attack(LAND attack)局域網拒絕服務攻擊
方式:發送具有相同源地址和目標地址的欺騙數據包.
防禦:防火牆攔截,操作系統修復漏洞,配置路由器.
TearDrop Attacks
淚滴攻擊:是基於UDP的病態分片數據包的攻擊方法.
現象:對於Windows系統會導致藍屏死機,並顯示STOP 0x0000000A錯誤.
防禦:添加系統補丁程序,丟棄收到的病態分片數據包並對這種攻擊進行審計.