拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務,是駭客常用的攻擊手段之一。其實對網路頻寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機宕機,都屬於拒絕服務攻擊。拒絕服務攻擊問題也一直得不到合理的解決,究其原因是因為這是由於網路協議本身的安全缺陷造成的,從而拒絕服務攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊,實際上讓伺服器實現兩種效果:一是迫使伺服器的緩衝區滿,不接收新的請求;二是使用IP欺騙,迫使伺服器把合法使用者的連線復位,影響合法使用者的連線。
DoS
:
我們所說的
DoS (Denial of Service)
攻擊其中文含義是拒絕服務攻擊,
這種攻擊行動使網站
伺服器充斥大量要求回覆的資訊,消耗網路頻寬或系統資源,導致網路或系統不勝負荷以至於
癱瘓而停止提供正常的網路服務。
駭客不正當地採用標準協議或連線方法,
向攻擊的服務發出
大量的訊息,佔用及超越受攻擊伺服器所能處理的能力,使它當
(Down)
機或不能正常地為使用者
服務。
“
拒絕服務
”
是如何攻擊的透過普通的網路連線,使用者傳送資訊要求伺服器予以確定。伺服器
於是回覆使用者。使用者被確定後,就可登入伺服器。
的攻擊方式為:使用者傳送眾多要
求確認的資訊到伺服器,使伺服器裡充斥著這種無用的資訊。所有的資訊都有需回覆的虛假地
址,以至於當伺服器試圖回傳時,卻無法找到使用者。伺服器於是暫時等候,有時超過一分鐘,
然後再切斷連線。伺服器切斷連線時,駭客再度傳送新一批需要確認的資訊,這個過程周而復
始,最終導致伺服器無法動彈,癱瘓在地。
在這些
攻擊方法中,又可以分為下列幾種:
TCP SYN Flooding
Smurf
Fraggle
1.TCP Syn Flooding
由於
TCP
協議連線三次握手的需要,在每個
建立連線時,都要傳送一個帶
SYN
標記的資料
包,如果在伺服器端傳送應答包後,客戶端不發出確認,伺服器會等待到資料超時,如果大量
的帶
標記的資料包發到伺服器端後都沒有應答,會使伺服器端的
資源迅速枯竭,導致
正常的連線不能進入,甚至會導致伺服器的系統崩潰。這就是
SYN Flooding
攻擊的過程。
圖
1 TCP Syn
攻擊
Syn
攻擊是由受控制的大量客戶發出
請求但不作回覆,使伺服器資源被佔用,再也
無法正常為使用者服務。伺服器要等待超時
(Time
Out)
才能斷開已分配的資源。
2.Smurf
駭客採用
ICMP(Internet Control Message Protocol RFC792)
技術進行攻擊。常用的
ICMP
有
PING
。
首先駭客找出網路上有哪些路由器會迴應
請求。
然後用一個虛假的
IP
源地
址向路由器的廣播地址發出訊息,路由器會把這訊息廣播到網路上所連線的每一臺裝置。這些
裝置又馬上回應,這樣會產生大量訊息流量,從而佔用所有裝置的資源及網路頻寬,而回應的
地址就是受攻擊的目標。例如用
500K bit/sec
流量的
ICMP echo (PING)
包廣播到
100
臺裝置,
產生
個
迴應,便產生
50M bit/sec
流量。這些流量流向被攻擊的伺服器
,
便會使這服
務器癱瘓。
ICMP Smurf
的襲擊加深了
的泛濫程度,
導致了在一個數據包產生成千的
資料包傳送
到一個根本不需要它們的主機中去,傳輸多重資訊包的伺服器用作
的放大器。
2 Smurf
攻擊圖
3.Fraggle
基本概念及做法像
Smurf,
但它是採用
UDP echo
訊息。
如何阻擋
的攻擊
阻擋
的攻擊的常用方法之一是:
在網路上建立一個過濾器
(
filter
)
或偵測器
sniffer
,
在資訊到達網站伺服器之前阻擋資訊。過濾器會偵察可疑的攻擊行動。如果某種可疑行動經常
出現,過濾器能接受指示,阻擋包含那種資訊,讓網站伺服器的對外連線線路保持暢通。
DDoS
DDoS(Distributed Denial of Service)
其中文含義為分散式拒絕服務攻擊。
Distributed
是駭客控制一些數量的
PC
機或路由器,用這些
機或路由器發動
攻
擊。因為駭客自己的
機可能不足夠產生出大量的訊息,使遭受攻擊的網路伺服器處理能力
全部被佔用。
Spoofing
技術,令他自己的
地址隱藏,所以很難追查。如果是在
情況下,被追查出來的都是被駭客控制的使用者的
地址;他們本身也是受害者。
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務,是駭客常用的攻擊手段之一。其實對網路頻寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機宕機,都屬於拒絕服務攻擊。拒絕服務攻擊問題也一直得不到合理的解決,究其原因是因為這是由於網路協議本身的安全缺陷造成的,從而拒絕服務攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊,實際上讓伺服器實現兩種效果:一是迫使伺服器的緩衝區滿,不接收新的請求;二是使用IP欺騙,迫使伺服器把合法使用者的連線復位,影響合法使用者的連線。
DoS
:
我們所說的
DoS (Denial of Service)
攻擊其中文含義是拒絕服務攻擊,
這種攻擊行動使網站
伺服器充斥大量要求回覆的資訊,消耗網路頻寬或系統資源,導致網路或系統不勝負荷以至於
癱瘓而停止提供正常的網路服務。
駭客不正當地採用標準協議或連線方法,
向攻擊的服務發出
大量的訊息,佔用及超越受攻擊伺服器所能處理的能力,使它當
(Down)
機或不能正常地為使用者
服務。
“
拒絕服務
”
是如何攻擊的透過普通的網路連線,使用者傳送資訊要求伺服器予以確定。伺服器
於是回覆使用者。使用者被確定後,就可登入伺服器。
“
拒絕服務
”
的攻擊方式為:使用者傳送眾多要
求確認的資訊到伺服器,使伺服器裡充斥著這種無用的資訊。所有的資訊都有需回覆的虛假地
址,以至於當伺服器試圖回傳時,卻無法找到使用者。伺服器於是暫時等候,有時超過一分鐘,
然後再切斷連線。伺服器切斷連線時,駭客再度傳送新一批需要確認的資訊,這個過程周而復
始,最終導致伺服器無法動彈,癱瘓在地。
在這些
DoS
攻擊方法中,又可以分為下列幾種:
TCP SYN Flooding
Smurf
Fraggle
1.TCP Syn Flooding
由於
TCP
協議連線三次握手的需要,在每個
TCP
建立連線時,都要傳送一個帶
SYN
標記的資料
包,如果在伺服器端傳送應答包後,客戶端不發出確認,伺服器會等待到資料超時,如果大量
的帶
SYN
標記的資料包發到伺服器端後都沒有應答,會使伺服器端的
TCP
資源迅速枯竭,導致
正常的連線不能進入,甚至會導致伺服器的系統崩潰。這就是
TCP
SYN Flooding
攻擊的過程。
圖
1 TCP Syn
攻擊
TCP
Syn
攻擊是由受控制的大量客戶發出
TCP
請求但不作回覆,使伺服器資源被佔用,再也
無法正常為使用者服務。伺服器要等待超時
(Time
Out)
才能斷開已分配的資源。
2.Smurf
駭客採用
ICMP(Internet Control Message Protocol RFC792)
技術進行攻擊。常用的
ICMP
有
PING
。
首先駭客找出網路上有哪些路由器會迴應
ICMP
請求。
然後用一個虛假的
IP
源地
址向路由器的廣播地址發出訊息,路由器會把這訊息廣播到網路上所連線的每一臺裝置。這些
裝置又馬上回應,這樣會產生大量訊息流量,從而佔用所有裝置的資源及網路頻寬,而回應的
地址就是受攻擊的目標。例如用
500K bit/sec
流量的
ICMP echo (PING)
包廣播到
100
臺裝置,
產生
100
個
PING
迴應,便產生
50M bit/sec
流量。這些流量流向被攻擊的伺服器
,
便會使這服
務器癱瘓。
ICMP Smurf
的襲擊加深了
ICMP
的泛濫程度,
導致了在一個數據包產生成千的
ICMP
資料包傳送
到一個根本不需要它們的主機中去,傳輸多重資訊包的伺服器用作
Smurf
的放大器。
圖
2 Smurf
攻擊圖
3.Fraggle
:
Fraggle
基本概念及做法像
Smurf,
但它是採用
UDP echo
訊息。
如何阻擋
“
拒絕服務
”
的攻擊
阻擋
“
拒絕服務
”
的攻擊的常用方法之一是:
在網路上建立一個過濾器
(
filter
)
或偵測器
(
sniffer
)
,
在資訊到達網站伺服器之前阻擋資訊。過濾器會偵察可疑的攻擊行動。如果某種可疑行動經常
出現,過濾器能接受指示,阻擋包含那種資訊,讓網站伺服器的對外連線線路保持暢通。
DDoS
:
DDoS(Distributed Denial of Service)
其中文含義為分散式拒絕服務攻擊。
Distributed
DoS
是駭客控制一些數量的
PC
機或路由器,用這些
PC
機或路由器發動
DoS
攻
擊。因為駭客自己的
PC
機可能不足夠產生出大量的訊息,使遭受攻擊的網路伺服器處理能力
全部被佔用。
駭客採用
IP
Spoofing
技術,令他自己的
IP
地址隱藏,所以很難追查。如果是在
Distributed
DoS
情況下,被追查出來的都是被駭客控制的使用者的
IP
地址;他們本身也是受害者。