文档介绍：拒绝服务攻击
什么是拒绝服务攻击
如果在系统中同时运行了ECHO和Chargen服务,则攻击者可以利用系统地址为源地址,并以Chargen端口为源端口向ECHO服务发送UDP数据包。ECHO服务响应与发送内容相同的字符。而Chargen会对收到的每一个字符都相应大量的字符。因此,通过这两个服务间来回传送UDP数据包,攻击者可以耗尽系统资源(详细7章)。有许多工具可用来指定源和目的地址以及相应的源和目的端口。如果观察到设置这两个地址为相同,并且源端口为Chargen,目的端口为ECHO,就用可能正在遭遇DoS攻击。
应对策略
1. 关闭不必要的服务(ECHO和Chargen)
2. 在系统中安装防火墙来阻断非关键服务
注:
英文全名:Echo Protocol
中文:应答协议
主要用于调试和检测中。它可以基于TCP协议,服务器就在TCP端口7检测有无消息,如果使用UDP协议,基本过程和TCP一样,检测的端口也是7。是路由也是网络中最常用的数据包,可以通过发送echo包知道当前的连接节点有那些路径,并且通过往返时间能得出路径长度。
英语全名:Character Generator Protocol
中文:字符发生器协议
默认端口:TCP 19,UDP 19
;
,或者进行QoS的微调。注意此处需要考虑硬件压缩,因为一旦硬件压缩被启用,本协议的数据流可以很容易地被高度压缩,这样带宽测试的结果将不能真实反映线路的吞吐量。
拒绝服务攻击
那些阻止计算机或网络使用网络资源的攻击通常都被归为所谓的拒绝服务(DoS)攻击。资源,阻塞某些企业web站点的网络通信和商务服务,以及压制被攻击者想要伪装的主机,使之与网络失去有效联系。
潮涌(Flood)
潮涌是 DoS攻击的最早方式。为了产生网络潮涌,攻击者以高速率向目标主机发送大量IP数据包,耗尽其网络带宽,从而阻碍与之相关的其他通信。这类攻击也能降低目标系统本地用户的执行效率,因为系统必须处理所接受的每一个数据包,从而占用大量的CPU时间。如果攻击主机的带宽远大于目标主机,则潮涌攻击更为有效,攻击者发送超过目标网络处理能力的数据,从而其他通信就占不到带宽。
ICMP(ping)潮涌攻击
Ping向目标主机发送ICMP回波请求,然后等待相应以确定目标主机是否网络可达。如果运行时没有指定选项,则ping以1秒为间隔发送小尺寸数据包。
-f 指定ping以最快速率发送数据包
-s 指定发送大尺寸数据包
如下命令将持续向为2kb的数据包
~# ping –f –s 2048
…….
1721 packets transmitted, 500 packets received, % packet loss
round-trip min/avg/max/stddev = ms
每发送一个数据包,ping都打一个(.),如果收到响应,则删除相应点。这样用户就可以知道有多少数据包未收到响应。终止后,它会输出丢包率和往返延时的直方图。通常,丢包率越高,往返延迟越长,则潮涌攻击越高。如上面的例子中,不能相应的发往它的70%数据包。其平均往返延时时间为不到半秒,最长的达