拒绝服务攻击原理及解决方案

拒绝服务攻击的原理和解决方案 拒绝服务攻击的原理和解决方案。 txt是一只山狐狸，聊斋你说什么，站在离你最近的地方，看着你对别人的微笑，哪怕内心百般痛苦，只为看你的一举一动。 刺眼的白色，让我明白了什么是纯粹的伤害。 拒绝服务攻击原理及解决方案 互联网给全世界人民带来了无限活力，真正实现了无国界的地球村。 但是仍然有很多因素困扰着我们，比如IP地址短缺，大量带宽丢失，还有政府法规的限制和编程技能的缺乏。 现在，由于网络系统多年来积累的无数漏洞，我们将面临更大的威胁。 潜伏在网络中的好东西会以此为空隙对系统进行攻击，我们不得不为之前的疏忽付出代价。 更大的努力。 虽然大多数网络系统产品都打着安全的旗号，但就我们目前的网络协议和不完善的技术而言，危险无处不在。 拒绝服务攻击是一种遍及全球的系统漏洞。 黑客们痴迷于它的研究，无数的网络用户将成为这次攻击的受害者。 TribeFloodNetwork、tfn2k、smurf、targa……还有许多其他程序正在不断开发中。 这些程序像瘟疫一样在网络中蔓延，让我们的村庄变得更加脆弱，我们不得不寻找一套简单易用的安全解决方案来应对暗中的攻击。 2.安全环境因素中的一些非技术问题和我们必须克服的一些障碍。

3.如何识别产品推广者提供的一些谎言。 拒绝服务攻击原理及解决方案在正式进入这些问题的技术讨论之前，让我们先从现实生活中的实际角度来看一下这些困扰我们的问题。 在我们进入更详细的解决方案之前，让我们首先对问题有更深入的了解。 这些与安全相关的小问题，如果细说起来可以成为一大章，但是限于篇幅，我们只能先大概了解一下。 1. 软件漏洞是操作系统或应用程序中包含的与安全相关的系统缺陷，大多数是由于不正确的编程、粗心的源代码审查、不慎的副作用或某些不当的绑定造成的。 根据漏洞可以根据错误信息带来的不受限制或未经授权访问系统的程度分为不同的类别。 2、典型的拒绝服务攻击有以下两种形式：资源耗尽和资源过载。 当对资源的合理请求大大超过资源支付能力时（例如，向满载的 Web 服务器发出过多请求），就会发生拒绝服务攻击。拒绝服务攻击也可能是由于软件弱点或错误配置造成的程序损坏。 恶意拒绝服务攻击与非恶意服务过载的区别在于请求发起者对资源的请求是否过大，导致其他用户无法享受服务资源。 3.配置错误也会成为系统的安全隐患。 这些错误配置通常发生在硬件设备、系统或应用程序中。

如果网络中的路由器、防火墙、交换机等网络连接设备配置正确，这些错误发生的可能性就会降低。 如果发现此类漏洞，应咨询专业技术人员进行修复。 1. 配置错误。 错误配置主要是由于缺乏经验、不负责任的员工或错误的理论造成的。 开发者一般会通过简单的询问你，提取出一些主要的配置信息，然后由经过专业培训且知识相当丰富的专业人员来解决问题。 2. 软件弱点。 由于所使用的软件几乎完全依赖于开发商，因此软件造成的漏洞只能通过打补丁、安装hotfixes和Servicepacks来弥补。 当发现应用程序存在漏洞时，开发者会立即发布更新版本来修复漏洞。 3． 拒绝服务攻击。 拒绝服务攻击主要是由错误配置或软件漏洞引起的。 有些DoS攻击是由于开发协议的固有缺陷引起的，有些DoS攻击可以通过简单的补丁解决，而有些导致攻击的系统缺陷则难以弥补。 最后，还有一些非恶意拒绝服务攻击的案例。 这些情况一般是由带宽或资源过载导致的瓶颈引起的。 这个问题没有固定的解决方案。 深入DoS拒绝服务攻击原理及解决方案 DoS攻击的方法有很多种。 最基本的DoS攻击就是利用合理的服务请求占用过多的服务资源，导致服务过载而无法响应其他请求。 这些服务资源包括网络带宽、文件系统空间容量和打开的进程。 或内部联系。

这种攻击会导致资源匮乏，无论计算机的处理速度有多快，内存容量有多大，网速有多快，都无法避免这种攻击带来的后果。 因为凡事都有一个限度，总能想办法让请求的值大于这个限度，从而使提供的服务资源饿死，好像无法满足需求。 不要以为如果你有足够的带宽，你就会有一个高效的网站。 拒绝服务攻击将使所有资源变得非常小。 传统上，攻击者面临的主要问题是网络带宽。 网络规模小，网速慢，无法让攻击者发送过多的请求。 然而，像“theping death”这样的攻击类型需要少量数据包才能破坏未打补丁的 UNIX 系统。 当然，大部分的DoS攻击还是需要相当大的带宽，但高带宽是大公司才有的，个人黑客很难享受。 为了克服这个缺点，恶意攻击者开发了分布式攻击。 这样，攻击者就可以利用工具聚集大量的网络带宽向同一个目标发送大量的请求。 由于程序员的错误编程，系统会不断建进程，最终资源耗尽，只能重启机器。 不同的系统平台会采取一定的方法来防止某些特殊用户占用过多的系统资源。 我们也建议尽可能使用资源拒绝服务攻击原理和解决方案来降低这种安全威胁。

还有一种情况是磁盘存储空间造成的。 如果一个用户有权存储大量的文件，那么他可能只会给系统留出很小的空间来存储日志文件等系统信息。 这是一个不好的操作习惯以太坊拒绝服务攻击检测，会给系统带来隐患。 在这种情况下应考虑系统配额。 从安全的角度来看，本地拒绝服务攻击可以相对容易地被追踪和消除。 而我们的文章主要针对网络环境下的DoS攻击。 接下来，我们将大致讨论一下比较常见的基于网络的拒绝服务攻击：Smurf（定向广播）。 广播信息可以通过一定的方式（通过广播地址或其他机制）发送给全网的机器。 当一台机器使用广播地址发送一个ICMPecho请求包（如PING）时，有些系统会以一个ICMPecho响应包作为响应，即发送一个包会收到很多响应包。 Smurf攻击就是利用这个原理进行的，当然它还需要一个伪造的源地址。 也就是说，发送一个源地址为被攻击主机地址，目的地址为网络中广播地址的数据包，会引起很多系统响应，向被攻击主机发送大量信息（因为他的地址是攻击者伪造的）。 利用网络发送数据包并引出大量响应的方法也称为“放大器”。 这些 smurf 放大器在网站上都有，一些无能和不负责任的网站仍然存在很多这样的漏洞。

SYNflooding 当一台机器在网络中进行通信时，首先需要建立一个TCP握手。 标准的 TCP 握手需要三个数据包交换才能建立。 服务器一旦收到客户端的SYN包，就必须回应一个SYN/ACK包，然后等待客户端回应一个ACK包进行确认，然后才真正建立连接。 但是，如果只发送初始SYN包，而没有发送ACK包给服务器确认，会导致服务器一直等待ACK包。 由于服务器在有限时间内只能响应有限数量的连接，这会导致服务器等待响应而无法响应其他机器建立的连接。 至于过载，通常这些网络流量是针对某个页面或链接产生的。 当然这种现象在访问量大的网站上也会正常出现，但是我们要将这些正常现象和拒绝服务攻击区分开来。 如果你的服务器突然变得人满为患，甚至无法响应更多的请求，你应该仔细检查这种资源饥饿现象，确认所有 10,000 次点击都是由合法用户进行的，或者是 5,000 次合法用户和 5000 次点击的拒绝服务通常是过载引起的，而过载通常是因为请求已经达到了限制。 TribeFlood Network (tfn) 和 tfn2k 引入了一个新概念：分布式。

这些程序可以让分散在互联网各处的机器共同完成对一台主机的攻击操作，使该主机看起来像是受到了位于不同地点的多台主机的攻击。 这些分散的机器由几台主控机器操作，进行各种类型的攻击，如UDP flood、SYN flood。 操作系统和网络设备的缺陷不断被黑客发现和利用，进行恶意攻击。 如果我们知道 认识到这一点，我们应该使用以下两个步骤来防止网络攻击并尽可能地保护我们的网络： 我们先讨论 B)。 在B)中，我们面临的主要问题是如何识别那些恶意攻击主机，尤其是使用拒绝服务攻击的机器。 因为这些机器隐藏了自己的地址，所以它们会冒充受害者的地址。 攻击者使用了数千个恶意伪造的数据包来破坏我们的主机。 “tfn2k”的原理和上面说的一样简单，只是提供了一个可视化的界面。 如果您遭到分布式拒绝服务攻击，那真的很难对付。 解决这类问题的一些专业手段——包过滤和其他路由设置有一些简单的手段可以防止拒绝服务攻击。 最常用的方法当然是密切关注安全信息，以期找到最佳方法。 管理员应订阅安全信息报告，实时关注所有安全问题的发展。 第二步是应用包过滤技术，主要是过滤开放的端口。

这些拒绝服务攻击原理和解决方案的方法主要是为了防止伪造地址的攻击，使外部机器无法伪造内部机器的地址对内部机器发起攻击。 我们可以使用CiscoIOS来查看路由器的详细设置。 当然，不局限于Cisco设备，但是由于Cisco设备在网络中占有越来越多的市场份额（83%），我们还是以它为例。 ，如果有人有其他示例，我们将非常乐意提供您的宝贵信息。 登录到要配置的路由器，在配置访问控制列表前初始化：c3600(config)#access-list100 permit ip 207.22。 212.0 0.0.0.255 any c3600(config)#access-list100 deny ip any any 那么我们假设在路由器的S0口设置了ACL，我们进入S0口，进入配置状态：c3600(config)#intser c3600(config-if)#ipaccess-group 100 out 通过显示access-list确认访问权限已经生效：c3600#shoaccess-lists 100 ExtendedIP access list 100 permitip 207.22.

212.0 0.0.0.255 any matc 拒绝服务攻击原理及解决方案 hes) denyip any any (25202匹配) 一直以来都争论到底是使用内向包过滤还是外向包过滤。 RFC 2267 推荐在全球互联网上使用向内过滤机制，但这会带来很多麻烦。 在中级路由器上使用访问控制列表不会造成太大的麻烦，但在满载的骨干路由器上，如果 ISP 使用出站数据包过滤措施，则会将过载的流量转移到一些不太繁忙的设备上。 技术。 当然，这种过滤技术并不是万无一失的以太坊拒绝服务攻击检测，它取决于管理员使用的过滤机制。 我们经常从设备销售或集成商那里听到这样的借口，他们总是说使用ACL会导致路由器和网络性能下降。 ACL 确实会降低路由器的性能，增加 CPU 的负载，但这是微乎其微的。 我们在Cisco 2600和3600系列路由器上做过实验：TestSpeed ACL (Mbps) ACL (Mbps) (totaltime) ACL (total time) Cisco2600 100Mbps 100Mbps 36.

17 Mbps 5.46Mbps 88.5 90.2 2.50% 拒绝服务攻击原理及解决方案 Cisco3600 10Mbps 10Mbps7.95 Mbps 8.0Mbps 397 395 0.30% Cisco3640（64MB RAM，R4700处理器，IOS v12.0.5T） Cisco2600（128MB RAM，MPC860处理器，OSv12 .0.5T) 从表中可以看出，使用ACL前后对路由器性能的影响不是很大。 可能大家还抱有侥幸心理，认为网络给我们带来了无数的麻烦。 随着路由器数据包过滤、网络协议升级到 IPv6 或随时进行远程响应，DoS 漏洞可能会变得越来越不重要。 但从一个负责任的网络管理员的角度来看，我们的目标不仅仅是防止拒绝服务攻击，而是要调查攻击的原因和操作者。 当网络中有人使用伪造源地址的工具（如tfn2k）时，虽然我们没有现成的工具来确认其合法性，但我们可以通过DNS分析：拒绝服务攻击原理及解决方案 如果 的攻击者选择目标，首先要发送一个DNS请求来解析域名，通常那些攻击工具会自己执行这一步，调用gethostbyn ame()函数或者相应的应用程序接口，即在攻击事件中DNS 请求的发生将为我们提供一个相关列表，我们可以使用它来定位攻击。 使用现成的工具或手动读取DNS请求日志来读取DNS可疑请求列表是可行的，但其主要存在三个缺点： 攻击者通常以本地DNS为起点解析查询地址，所以我们发现的DNS请求的发起者可能不是攻击者本人，而是他请求的本地DNS服务器。

即便如此，如果攻击者隐藏在具有本地 DNS 的组织中，我们可以将该组织作为查询的起点。 攻击者可能已经知道了目标的IP地址，或者通过其他方式（host，ping）知道了目标的IP地址，或者攻击者在查询到IP地址很久之后才开始攻击，那么我们可以有无法从 DNS 请求的时间段告诉攻击者（或他们的本地服务器）。 DNS 对不同的域名有固定的生存时间，因此攻击者可以利用 DNS 缓存中存储的信息来解析域名。 为了更好的详细解析记录，可以减少DNS节省的TTL时间，但是这样会造成更多的DNS查询，增加网络带宽的使用。 在很多情况下，只要你有足够的磁盘空间，记录所有 DNS 拒绝服务攻击原理和解决方案并不是一种有害的做法。 在BIND8.2中记录，可以在named.conf中写入如下几行： channelrequestlog file "dns.log"; categoryqueries 使用ngrep 应对tfn2k 攻击根据使用DNS 跟踪tfn2k 驻留程序的原理，现在出现了一个名为ngrep 的实用程序。 修改后的ngrep（见附录）可以侦听大约五种类型的tfn2k拒绝服务攻击（targa3、SYN flood、UDP flood、ICMP flood DNS和ICMP请求。如果ngrep检测到攻击，它会将缓存的内容打印出来并继续记录 ICMP 回应请求。

如果攻击者通过 ping 目标主机来确定目标，那么在攻击期间或之后记录 ICMP 回显请求是一种抓住粗心攻击者的方法。 由于攻击者很可能会使用其他服务来验证其攻击的效果（比如web），所以其他标准服务也应该有尽可能详细的日志记录。 还需要注意的是，ngrep使用的是监控网络的方式，所以ngrep不能在切换环境下使用。 不过修改后的ngrep不需要和你的DNS在同一个网段，但是必须在一个可以监听到所有DNS请求位置的网络中。 修改后的ngrep也不关心目标地址，你可以把它放在DMZ网段，这样它就可以跨网络检查tfn2k攻击了。 理论上，它也可以很好地检测出 Outgoing tfn2k 攻击。 运行 ngrep，您将看到：[root@lughnasadngrep]#。 /ngrep TFN 检测修改 wiretrip WatchingDNS 服务器：10.0.0.8 接口：eth0 (10.0.0.0/255.255.0.0) 从这里开始，ngrep 将监控 tfn2k 攻击，如果检测到攻击，ngrep 将显示在屏幕上 打印于：SunJan 17 :30:012000 检测到 TFN2KUDP 攻击！ Ｌａst（５000) DNS ｒequesｔｓ： madeDＮS requesｔs， uｐ DNＳ＿REQＵEＳT_MＡＸ leｎgtｈ》 Last（１00０） IＣMP ecｈo reｑuesｔs （piｎｇs）: madeICMP ｅcho requestｓ， uｐ ICMＰ_REQUＥST_MAXｌｅngth》 Ｉnｃomingｒealtimｅ ICMP ecｈo ｒｅqueｓts （piｎgs）: 拒绝服务攻击原理及解决方法《allICMP ｅchｏ上面的请求列表不是唯一的，可以调整为不仅显示请求的人，还显示请求的次数、频率等。如果是 ICMP 洪水事件，响应请求的 ICMP 的报告将不包括属于 tfn2k flood 的 ICMP 数据包。Ngrep 还可以报告检测到的除 smurf 之外的攻击类型（TARG UDP、SYN、ICMP 等）。

默认情况下，混合攻击表现为 ICMP 攻击，除非您阻止入站 ICMP 回显请求，因此它表现为 UDP 或 SYN 攻击。 这些攻击的结果基本相似。 tfn2kdetection，下面的代码应该在使用前更改一些参数 #defineDNS_REQUEST_MAX 5000 #defineICMP_REQUEST_MAX 1000 通知 ngrep 请求跟踪的最大数量（在检测攻击之前）。 传输比较繁忙的网站应该加大这个值（网络流量比较繁忙的网站DNS请求数最好是10000，而ICMP请求是2000-3000） #defineFLOOD_THRESHOLD 20 10秒内使用多少同类型的攻击包确认为真正的攻击。 数字拒绝服务攻击原理及解决方案 设计越大，程序越不容易被攻击。 如果你不断收到误报，你应该增加这个值。 #defineDNS_SERVER_IP "10.0.0.8" Ngrep 通过监视 DNS 服务器端口 53 上的 UDP 数据包来跟踪传入的 DNS 请求（仅限 UDP）。 因此，ngrep 需要知道您的 DNS 服务器的 IP 地址。 我们的设备可能有多个 DNS 服务器，但我们相信支持一个 DNS 服务器就足以展示这项技术的能力。

#defineTTL_THRESHOLD 150 tfn2kSYN 洪水攻击通常使用 200-255 范围内的 TTL 值。 估计攻击者和目标主机之间有50多跳，所以我们只能寻找TTL时间大于150的数据包。如果你认为攻击者在50跳左右，那么你可以修改为TTL 限制。 编译修改后的ngrep 此代码仅在RedHat6.1 和Mandrake 6.5 Linux 上测试过 首先你需要下载ngrep，我们测试了1.35 然后下载libpcap 我们使用0.40 tarxvzf libpcap。 柏油。 Z cdlibpcap-0.4； 。/配置; 制作; 安装； make install-incl 如果遇到困难，请参阅 libpcap-0.4 目录中的 READ ME 或 INSTALL 文件。 根据我们的实验经验，如果linux系统中不存在/usr/local/include/net目录，就会安装失败。 如果在安装过程中遇到pcap.h bpf.h错误，可以运行mkdir /usr/local/include； mkdir /usr/local/include/net 并重新运行“make install—incl”。 然后我们需要编译 ngrep（使用我们修改过的版本）。 首先解压 tarxvzf ngrep-1。

35. 焦油。 广州 cdngrep; . /configure 拒绝服务攻击原理和解决方案然后把ngrep。 c 复制到 ngrep 目录。 您可以覆盖或备份原始的 ngrep。 c文件。 在这里，您应该查看修改后的ngrep.c中的配置，至少您应该将DNS_SERVER_IP更改为您正在使用的DNS的地址。 进行更改后，您可以运行“make”，它会构建 ngrep 应用程序。 Modifiedngrep.c 源代码从 $Id:ngrep 下载。 c，v １.３5 １９99／10／13 １6:44:1６ jｐ r５ Eｘp ＴＦNdeｔeｃtiｏn cｏdｅ ａdded RainFoｒｅsｔ NｉghｔAxis ＴFNdeｔectｉｏn dｅｆineｓ hoｗmａｎy DNS ICＭＰrｅqueｓts ＃defineDＮＳ＿RＥQUＥSＴ＿MAX 500０ #defｉnｅIＣMP＿REＱＵESＴ＿ＭＡX 1０00 拒绝服务攻击原理及解决方法floodｔhｒesｈｏｌd matｃhｅsper 1０ sｅcoｎｄs #dｅfｉｎeＦLOOD_ＴHRESＨOＬD 2０ yｏurDNS server #defineDNS_SERVER_IP "10.9.100.8" TFNsyn使用200—255之间的ttl。 假设少于 50 跳，flagstuff TTL_THRESHOLD(other crit ra #defineTTL_THRESHXOLD L if L 150