常见拒绝服务***行为特征与防护方法

 本文出自 “王达博客” 博客，转载请与做者联系！

做者已受权本博客转载

如下内容摘自笔者编著图书《网管员必读——网络安全》一书。

 

1.5.2  常见拒绝服务***行为特征与防护方法

拒绝服务***是最多见的一类网络***类型。在这一***原理下，它又派生了许多种不一样的***方式。正确了解这些不一样的拒绝***方式，就能够为正确、系统地为本身所在企业部署完善的安全防御系统。

***检测的最基本手段是采用模式匹配的方法来发现******行为。要有效的进行反***，首先必须了解***的原理和工做机理，只有这样才能作到知己知彼，从而有效的防止******行为的发生。下面咱们针对几种典型的拒绝服务***原理进行简要分析，并提出相应的对策。

l          死亡之Ping（Ping of death）***

因为在早期的阶段，路由器对包的最大大小是有限制的，许多操做系统TCP/IP栈规定ICMP包的大小限制在64KB之内。在对ICMP数据包的标题头进行读取以后，是根据该标题头里包含的信息来为有效载荷生成缓冲区。当大小超过64KB的ICMP包，就会出现内存分配错误，致使TCP/IP堆栈崩溃，从而使接受方计算机宕机。这就是这种“死亡之Ping”***的原理所在。根据这一***原理，***们只需不断地经过Ping命令向***目标发送超过64KB的数据包，就可以使目标计算机的TCP/IP堆栈崩溃，导致接受方宕机。

防护方法：如今全部的标准TCP/IP协议都已具备对付超过64KB大小数据包的处理能力，而且大多数防火墙可以经过对数据包中的信息和时间间隔分析，自动过滤这些***。Windows 98、Windows NT 4.0（SP3以后 ）、Windows 2000/XP/Server 2003、Linux、Solaris和Mac OS等系统都已具备抵抗通常“Ping of death”拒绝服务***的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议数据包，均可以防止此类***发生。

l          泪滴（teardrop）***

对于一些大的IP数据包，每每须要对其进行拆分传送，这是为了迎合链路层的MTU（最大传输单元）的要求。好比，一个6000字节的IP包，在MTU为2000的链路上传输的时候，就须要分红三个IP包。在IP报头中有一个偏移字段和一个拆分标志（MF）。若是MF标志设置为1，则表面这个IP包是一个大IP包的片段，其中偏移字段指出了这个片段在整个IP包中的位置。例如，对一个6000字节的IP包进行拆分（MTU为2000），则三个片段中偏移字段的值依次为：0，2000，4000。这样接收端在所有接收完IP数据包后，就能够根据这些信息从新组装这几个分次接收的拆分IP包。在这里就又一个安全漏洞能够利用了，就是若是***们在截取IP数据包后，把偏移字段设置成不正确的值，这样接收端在收后这些分拆的数据包后就不能按数据包中的偏移字段值正确重合这些拆分的数据包，但接收端会不断偿试，这样就可能导致目标计算朵操做系统因资源耗尽而崩溃。

泪滴***利用修改在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现本身的***。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些操做系统（如SP4之前的Windows NT 4.0）的TCP/IP在收到含有重叠偏移的伪造分段时将崩溃，不过新的操做系统已基本上能本身抵御这种***了。

防护方法：尽量采用最新的操做系统，或者在防火墙上设置分段重组功能，由防火墙先接收到同一原包中的全部拆分数据包，而后完成重组工做，而不是直接转发。由于防火墙上能够设置当出现重叠字段时所采起的规则。

l          TCP SYN洪水（TCP SYN Flood）***

TCP/IP栈只能等待有限数量ACK（应答）消息，由于每台计算机用于建立TCP/IP链接的内存缓冲区都是很是有限的。若是这一缓冲区充满了等待响应的初始信息，则该计算机就会对接下来的链接中止响应，直到缓冲区里的链接超时。

TCP SYN洪水***正是利用了这一系统漏洞来实施***的。***者利用伪造的IP地址向目标发出多个链接（SYN）请求。目标系统在接收到请求后发送确认信息，并等待回答。因为***们发送请示的IP地址是伪造的，因此确认信息也不会到达任何计算机，固然也就不会有任何计算机为此确认信息做出应答了。而在没有接收到应答以前，目标计算机系统是不会主动放弃的，继续会在缓冲区中保持相应链接信息，一直等待。当达到必定数量的等待链接后，缓区部内存资源耗尽，从而开始拒绝接收任何其余链接请求，固然也包括原本属于正常应用的请求，这就是***们的最终目的。

防护方法：在防火墙上过滤来自同一主机的后续链接。不过“SYN洪水***”仍是很是使人担心的，因为此类***并不寻求响应，因此没法从一个简单高容量的传输中鉴别出来。防火墙的具体抵御TCP SYN洪水***的方法将在本书的第三章最后有详细介绍。

l          Land***

这类***中的数据包源地址和目标地址是相同的，当操做系统接收到这类数据包时，不知道该如何处理，或者循环发送和接收该数据包，以此来消耗大量的系统资源，从而有可能形成系统崩溃或死机等现象。

防护方法：这类***的检测方法相对来讲比较容易，由于它能够直接从判断网络数据包的源地址和目标地址是否相同得出是否属于***行为。反***的方法固然是适当地配置防火墙设备或包过滤路由器的包过滤规则。并对这种***进行审计，记录事件发生的时间，源主机和目标主机的MAC地址和IP地址，从而能够有效地分析并跟踪***者的来源。

l          Smurf ***

这是一种由有趣的卡通人物而得名的拒绝服务***。Smurf***利用多数路由器中具备同时向许多计算机广播请求的功能。***者伪造一个合法的IP地址，而后由网络上全部的路由器广播要求向受***计算机地址作出回答的请求。因为这些数据包表面上看是来自已知地址的合法请求，所以网络中的全部系统向这个地址作出回答，最终结果可致使该网络的全部主机都对此ICMP应答请求做出答复，致使网络阻塞，这也就达到了***们追求的目的了。这种Smurf ***比起前面介绍的“Ping of Death”洪水的流量高出一至两个数量级，更容易***成功。还有些新型的Smurf***，将源地址改成第三方的受害者（再也不采用假装的IP地址），最终致使第三方雪崩。

防护方法：关闭外部路由器或防火墙的广播地址特性，并在防火墙上设置规则，丢弃掉ICMP协议类型数据包。

l          Fraggle***

Fraggle***只是对Smurf***做了简单的修改，使用的是UDP协议应答消息，而再也不是ICMP协议了（由于***们清楚UDP协议更加不易被用户所有禁止）。同时Fraggle***使用了特定的端口（一般为7号端口，但也有许多使用其余端口实施Fraggle***的），***与Smurf***基本相似，再也不赘述。

防护方法：关闭外部路由器或防火墙的广播地址特性。在防火墙上过滤掉UDP报文，或者屏蔽掉一些常被***们用来进行Fraggle***的端口。

l          电子邮件×××

电子邮件×××是最古老的匿名***之一，经过设置一台计算机不断地向同一地址发送大量电子邮件来达到***目的，此类***可以耗尽邮件接受者网络的带宽资源。

防护方法：对邮件地址进行过滤规则配置，自动删除来自同一主机的过量或重复的消息。