拒绝服务攻击原理及解决方法(2)

2016-01-29 16:39 11 1 收藏

拒绝服务攻击原理及解决方法(2),拒绝服务攻击原理及解决方法(2)

【 tulaoshi.com - 防火墙的作用 】

3、拒绝服务攻击的发展

  由于我们防范手段的加强,拒绝服务攻击手法也在不断的发展。

  Tribe Flood Network (tfn) 和tfn2k引入了一个新概念:分布式。这些程序可以使得分散在互连网各处的机器共同完成对一台主机攻击的操作,从而使主机看起来好象是遭到了不同位置的许多主机的攻击。这些分散的机器由几台主控制机操作进行多种类型的攻击,如UDP flood, SYN flood等。

  操作系统和网络设备的缺陷在不断地被发现并被黑客所利用来进行恶意的攻击。如果我们清楚的认识到了这一点,我们应当使用下面的两步来尽量阻止网络攻击保护我们的网络:

  A)尽可能的修正已经发现的问题和系统漏洞。

  B)识别,跟踪或禁止这些令人讨厌的机器或网络对我们的访问。

  我们先来讨论一下B),在B)中我们面临的主要问题是如何识别那些恶意攻击的主机,特别是使用拒绝服务攻击的机器。因为这些机器隐藏了他们自己的地址,而冒用被攻击者的地址。攻击者使用了数以千记的恶意伪造包来使我们的主机受到攻击。"tfn2k"的原理就象上面讲的这么简单,而他只不过又提供了一个形象的界面。假如您遭到了分布式的拒绝服务攻击,实在是很难处理。

  解决此类问题的一些专业手段----包过滤及其他的路由设置

  有一些简单的手法来防止拒绝服务式的攻击。最为常用的一种当然是时刻关注安全信息以期待最好的方法出现。管理员应当订阅安全信息报告,实时的关注所有安全问题的发展。:)

  第二步是应用包过滤的技术,主要是过滤对外开放的端口。这些手段主要是防止假冒地址的攻击,使得外部机器无法假冒内部机器的地址来对内部机器发动攻击。

  我们可以使用Cisco IOS来检查路由器的详细设置,当然,它也不仅限于Cisco的设备,但由于现在Cisco设备在网络中占有了越来越多的市场份额(83%),所以我们还是以它为例子,假如还有人有其他的例子,我们也非常高兴你能提出您的宝贵信息。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com)

登陆到将要配置的路由器上,在配置访问控制列表之前先初始化一遍:

c3600(config)#access-list 100 permit ip 207.22.212.0 0.0.0.255 any
c3600(config)#access-list 100 deny ip any any
然后我们假设在路由器的S0口上进行ACL的设置,我们进入S0口,并进入配置状态:
c3600(config)#int ser 0
c3600(config-if)#ip access-group 100 out
通过显示access-list来确认访问权限已经生效:
c3600#sho access-lists 100
Extended IP access list 100
permit ip 207.22.212.0 0.0.0.255 any (5 matches)
deny ip any any (25202 matches)

  对于应该使用向内的包过滤还是使用向外的包过滤一直存在着争论。RFC 2267建议在全球范围的互连网上使用向内过滤的机制,但是这样会带来很多的麻烦,在中等级别的路由器上使用访问控制列表不会带来太大的麻烦,但是已经满载的骨干路由器上会受到明显的威胁。

  另一方面,ISP如果使用向外的包过滤措施会把过载的流量转移到一些不太忙的设备上。 ISP也不关心消费者是否在他们的边界路由器上使用这种技术。当然,这种过滤技术也并不是万无一失的,这依赖于管理人员采用的过滤机制。

  我们经常会听到设备销售或集成商这样的推脱之词,他们总是说使用ACL会导致路由器和网络性能的下降。ACL确实会降低路由器的性能并加重CPU的负载,但这是微乎其微的。我们曾经在Cisco 2600 和3600系列路由器上作过实验:

  以下是不使用和使用ACL时的对照表:

Test Speed w/o ACL (Mbps) w/ ACL (Mbps) w/o ACL (total time) w/ ACL (total time) % change
Cisco 2600 100Mbps - 100 Mbps File transfers 36.17 Mbps 35.46 Mbps 88.5 90.2 2.50%
Cisco 3600 10Mbps - 10Mbps File transfers 7.95 Mbps 8.0Mbps 397 395 0.30%

  使用的路由器配置如下:

  2 Cisco 3640 (64MB RAM, R4700 processor, IOS v12.0.5T)
  2 Cisco 2600 (128MB RAM, MPC860 processor, IOS v12.0.5T)

  由表我们可以看出,在使用ACL前后对路由器性能的影响并不是很大。

  4、使用DNS来跟踪匿名攻击

  也许大家仍旧保存着侥幸心理,认为这些互连网上给我们带来无数麻烦DoS漏洞或许随着路由器包过滤,网络协议升级到IPv6或者随时的远程响应等手段变得越来越不重要。但从一个具有责任感的网管的观点来看,我们的目标并不是仅仅阻止拒绝服务攻击,而是要追究到攻击的发起原因及操作者。

  当网络中有人使用假冒了源地址的工具(如tfn2k)时,我们虽然没有现成的工具来确认它的合法性,但我们可以通过使用DNS来对其进行分析:

  假如攻击者选定了目标www.technotronic.com,他必须首先发送一个DNS请求来解析这个域名,通常那些攻击工具工具会自己执行这一步,调用gethostbyname()函数或者相应的应用程序接口,也就是说,在攻击事件发生

来源:http://www.tulaoshi.com/n/20160129/1499235.html

延伸阅读
标签: 服务器
DDoS攻击服务器的原理 在服务器遭遇的攻击中,DDoS(DistributedDenialofService,分布式拒绝服务)攻击是一种非常可伯的黑客行为,它可以让一个大型服务器群也能很快地出现访问故障。随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布,DDOS拒绝服务攻击的实施越来越容易,DDOS攻击事件正在成上升趋势。很多IDC托管机房、商业站...
MySQL+PHP产生乱码原因: ◆ MySQL数据库默认的编码是utf8,如果这种编码与你的PHP网页不一致,可能就会造成MySQL乱码; ◆ MySQL中创建表时会让你选择一种编码,如果这种编码与你的网页编码不一致,也可能造成MySQL乱码; ◆ MySQL创建表时添加字段是可以选择编码的,如果这种编码与你的网页编码不一致,也可能造成MySQL乱码; ...
《英雄连2》跳出的原因及解决方法 跳出的原因及解决方法: 注意虚拟内存所在分区容量是否有足够大小的剩余空间 内存是4G的话全开低,8G不要开高,关抗锯 16G的就不用说了 打破解补丁,再安汉化。不要装升级档。如果汉化还有问题请还原,目前汉化可能还有问题。 阅读延伸: 《英雄连2》游戏资料详细整理大全 《英雄连2》公测版游戏内...
(四)一些问题的讨论 前面几章的内容都是服务的一些通用的编写原理,但里面隐含着一些问题,编写简单的服务时看不出来,但碰到复杂的应用就会出现一些问题,所以本章就是用来分析、解决这些问题的,适用于高级应用的开发人员。我这一章的内容都是经过实验得到的,很有实际意义。 我在第一章里面就说过,是由一个服务...
标签: 产后 怀孕
1、产后痛 怀孕后变大的子宫收缩到原有大小的过程中会产生疼痛。从临近分娩到产后第二天,腹部会感到规律性的阵痛。有的产妇甚至会出现持续一周的阵痛。哺乳的产妇会在催乳素的作用下加快宫缩,阵痛更强烈。强烈的阵痛表明子宫收缩能力良好,不必为此担心。但如果还伴有发烧、恶露不尽等症状就要找医生诊治。 2、子宫复旧不全 ...

经验教程

259

收藏

46
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部