DoS (Denial of Service)攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
Dos攻击的方法很多,但它们都具有一些共同的典型特征,例如:使用欺骗的源地址、使用网络协议的缺陷、使用操作系统或软件的漏洞、在网络上产生大量的无用数据包消耗服务资源等。因此,要防御dos攻击,就必须从这些攻击的特征入手,分析其特征,制定合适的策略和方法。
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
Smurf攻击的特征描述
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
Smurf攻击是根据它的攻击程序命名的,是一种ICMP echo flooding攻击。
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
在这样的攻击中,ping包中包含的欺骗源地址指向的主机是最终的受害者,也是主要的受害者;而路由器连接的广播网段成为了攻击的帮凶(类似一个放大器,使网络流量迅速增大),也是受害者。
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
防御Smurf攻击的方法
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
根据Smurf攻击的特征,可以从两个方面入手来防御Smurf的攻击:一是防止自己的网络成为攻击的帮凶即第一受害者 ;二是从最终受害者的角度来防御Smurf攻击。下面就从这两个方面来讨论防御的的测路和方法。
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
一、拒绝成为攻击的帮凶
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
Smurf要利用一个网络作为“流量放大器”,该网络必定具备以下特征:
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
1、路由器允许有IP源地址欺骗的数据包通过 ;
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
2、路由器将定向广播(发送到广播地址的数据包)转换成为第二层(MAC层)的广播并向连接网段广播 ;
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
3、广播网络上的主机允许对ping广播作出回应 ;
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
4、路由器对主机回应的ping数据流量未做限制 ;
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
所以,可以根据以上四点来重新规划网络,以使自己的网络不具备会成为“流量放大器”的条件 。
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
防止IP源地址欺骗
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
IP源地址欺骗可以应用在多种不同的攻击方式中,例如:TCP SYN flooding、UDP flooding、ICMP flooding等。
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
伪造的源地址可以是不存在(不允许在公网上发布)的地址,或者是最终攻击目标的地址。
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
在UDP flooding中,攻击者则是通过连接目标系统的changen端口到伪造源地址指向的主机的echo端口,导致changen端口产生大量的随机字符到echo端口,而echo端口又将接收到的字符返回,最后导致两个系统都因耗尽资源而崩溃。
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
注意:为了防御UDP flooding,我们必须防止路由器的诊断端口或服务向管理域之外的区域开放,如果不需要使用这些端口或者服务,应该将其关闭。
7VM海岸线网络安全资讯站
7VM海岸线网络安全资讯站
防止IP源地址欺骗的最有效方法就是验证源地址的真实性,在C
