拒絕服務攻擊
出自 MBA智库百科(https://wiki.mbalib.com/)
拒絕服務攻擊(Denial of Service,DoS)
目錄 |
拒絕服務攻擊是阻止或拒絕合法使用者存取網路伺服器的一種破壞性攻擊方式。廣義上講,任何能夠導致用戶的伺服器不能正常提供服務的攻擊都屬於拒絕服務攻擊,例如往伺服器上潑一杯水,把網線剪斷,都屬於廣義的拒絕服務攻擊的範疇。
拒絕服務攻擊的具體實現可以是多種多樣的,但是究其根本目的,就是使受害主機或者網路失去及時接受處理外界請求或者無法及時回應外界請求。[1]
拒絕服務攻擊的分類[1]
拒絕服務攻擊方式是多樣的,但是仔細研究攻擊的模式,可以分為以下四種情況:
b.破壞或者更改配置信息;
C.物理破壞或者改變網路部件;
d.利用服務程式中的處理錯誤使服務失效。按照攻擊發起的位置,拒絕服務攻擊又可以分為傳統的拒絕服務攻擊和分散式拒絕服務攻擊。
拒絕服務攻擊的發展趨勢[2]
根據對以往的各種DoS攻擊事件和手段的經驗,DoS攻擊會有如下發展趨勢:
(1)DoS攻擊將越來越多地採用IP欺騙技術;
(2)DDoS技術和工具將不斷推陳出新;
(3)DoS攻擊將會不斷智能化,具有躲過IDs檢測跟蹤和規避防火牆防禦體系等特點;
(4)針對路由器弱點的Dos攻擊將會增多;
(5)DOS攻擊將更多地利用路由器的多點傳送功能;
(6)針對他TCP/IP協議先天缺陷攻擊將是新的DoS攻擊趨勢。
拒絕服務攻擊的防範[2]
拒絕服務攻擊會造成時間和金錢上的重大損失,成為網路經濟和電子商務的攔路虎.因此制定防範策略,實施保護措施,提高系統的防禦能力十分迫切和重要。
下麵針對攻擊方式的不同,分別給出不同的解決方案:
1.破壞物理設備
物理設備包括:電腦、路由器、電源、冷卻設備、網路配線室等 防範這種破壞的主要措施有:例行檢查物理實體的安全,使用窖錯和冗餘網路硬體的方法。
2.破壞配置文件
由於系統很可能因錯誤配置而無法繼續提供正常的服務,固此,管理員應首先正確設置系統及相關軟體的配置信息.併在安全介質上保留備份;利用工具及時發現配置文件的變化,並快速恢復這些配置信息保證系統和網路的正常運行。
利用網路協議或系統的設計弱點和實現漏洞這類攻擊主要指SYN flooding攻擊,Ping of Death攻擊,Teardrop攻擊,Land攻擊等,前面的分析中已經給出了詳細的解決方案和防護措施,這裡不再贅述。
3.消耗系統資源
系統資源包括CPU資源,記憶體資源,磁碟空間,網路帶寬等,攻擊者剃用資源有限的特點,惡意消耗系統資源,使系統無法提供正常的服務。Smurf,DDoS等都屬於該類型。全球網路管理員和ISP管理好自己的網路不被人濫用迫在眉睫。針對這種情況,管理員可以採取下麵這些行之有效的防範措施:
(1)及時地給系統打補丁,設置正確的安全策略;
(2)定期檢查系統安全,檢查是否被安裝了DDoS攻擊程式,是否存在後門等;
(3)建立資源分配模型,設置閾值,統計敏感資源的使用情況;
(4)優化路由器配置:正確配置路由器的內、外網卡:設置他P攔截;限制TCP連接超時閾值;禁止IP廣播包流^內部網路;禁止外出的ICMP不可達消息;
(5)使用第三方的13志分析系統來保留線索,順藤摸瓜,將肇事者繩之以法。