PersonalCorpus 版 (精华区)
发信人: Iori (草籽·REBIRTH), 信区: Hacker
标 题: 网络的拒绝服务原理
发信站: 哈工大紫丁香 (2001年05月07日21:55:49 星期一), 转信
网络对拒绝服务攻击的抵抗力很有限,攻击者将阻止合法的用户使用网络和服务。
拒绝服务有三种常见的攻击方式,它们是:服务过载,消息流和信号接地。下面将要详
细地介绍这些攻击方法。
一 服务过载
当大量的服务请求发向一台计算机中的服务守护进程时,就会发生服务过载。这些
请求可以通过许多方式发出,许多是故意的。在分时机制中,这些潮水般的请求,使得
计算机十分忙碌地处理这些不断到来的请求,以至于无法处理常规的任务。同时,许多
新到来的请求被丢弃,因为没有空间来存放这些请求。如果攻击的是一个基于TCP协议的
服务,那么这些请求的包还会被重发,结果更加重了网络的负担。这种攻击可能是一个
攻击者为了掩盖自己的痕迹,阻止对攻击者的记录和登陆请求的系统计帐审计。这种攻
击会阻止系统提供的一种特定服务。
通常,管理员可以使用一个网络监视工具来发现这种类型的攻击,甚至发现攻击的
来源。如果面前已有一份主机的列表,还有一份网络地址的列表(指物理地址或者说以
太地址),如果这种攻击发源于本网络内部,这些都可以帮助系统管理员跟踪到问题的
所在。隔绝本子网或者本网络,也有助于发现问题。如果登陆到防火墙上或者是路由器
上,可以很快发现攻击是来自于网络外部还是网络内部,但并不能相信包中携带的IP地
址。
作为一个最终用户,或者一个系统管理员,对于使协议和守护进程更有效地抵御拒
绝服务的攻击,能做的事非常有限。无论是管理员还是普通用户,既不能去修改正在使
用的协议,也无法修改这些守护进程。目前所能做到的是限制它可能带来的危害。例如
,将网络分成一些只有少数几台主机的子网,在这种情况下,如果某一子网遭到了这种
攻击或者事故,并不能使所有的主机都受到影响。
另一个措施是,在攻击之前采取行动。如果有一定预算,可以买一个网络检测器,
放与网络内安全的地方。这种方式可以快速和有效地监视网络内的数据流动情况。根据
要求打印出主机的地层(物理)和高层(IP)地址,管理员可以通过对包的传输情况进
行分析,很快发现在什么地方发生了过载。
此外,当被攻击、的服务由inetd进程,使用nowait选项启动是,缺省地,inetd有
一个“扼杀”的功能在里面。当在一个很短的时间内,针对所监视的那些服务,到来了
太多的请求时,它将开始拒绝那些请求,并用syslog记录下失败服务请求。这是基于一
种假设,即某种错误被引发,从而引起了这麽多服务的请求。在这种情况下,它使服务
进程本身不会运行失败,同时,也留下了记录,可以追踪出问题的所在。
二 消息流
消息流发生于用户向一台网络上的目标主机发送大量的数据包,来延缓目标主机的
处理速度,阻止它处理正常的任务这种情况。这些请求可能是请求文件服务,要求登陆
或者仅仅是简单的要求响应包(例如ping)。无论是什么形式,这些潮水般的服务请求
,加重了目标主机的处理器负载,使目标主机消耗了大量的资源来响应这些请求。极端
的情况,这种攻击可以引起目标主机因为没有内存来做缓冲,以存放到来的请求,或者
因为其他错误而死机。这种拒绝服务的攻击主要针对网络服务器。
一个被攻击的服务器很可能在一段时间内无法响应网络请求。攻击者可以利用这个
时机,编写一个程序,来回答那些本来应该由服务器回答的请求。例如,一个攻击者可
能攻击NIS服务器,然后对那些发向NIS服务器的NIS请求,发出自己的回答--这种情况通
常是请求口令。
假设攻击者已经写了一个程序,通过每秒发送数千个echo请求到目标主机的echo服
务,来“轰炸”一个NIS服务器。同时,攻击者尝试登陆到一台工作站的特权帐户。这时
,这台工作站将想真正的NIS服务器询问NIS口令。然而,NIS服务器因为遭到攻击,不能
迅速地响应这个请求。这时侯,攻击者所在的主机便可以伪装为一个服务器,响应这个
请求,提供了一个错误的信息,例如,说没有口令。在正常情况下,真正的服务器会注
意到这个错误的包,指出这个包是错误的。然而,当服务器负载如此之重,以至于它没
有收到这个请求或者没有即时收到,它就不能做出响应。于是,那个发出请求的客户机
便相信这个回答是正确的,然后根据这个错误的回答,处理攻击者的登陆请求。
一个简单的攻击类型是“广播风暴”。攻击者可以生成这样一个消息,它将指示每
一个收到包的主机回答或者重发这个消息。结果网络饱和,并且不能使用。广播风暴很
少是由故意的攻击所致,它通常是由于硬件或者软件的缘故,例如,正在开发之中,存
在错误或者没有正确地安装。
当网络中的主机被配置为记录所有的错误消息,并将其写的日志文件或者输出到控
制台时,广播不正确格式的消息也可以引起网络中的主机死机。因为在这种情况下,发
送了大量的错误消息,于是那些客户机忙于处理错误,将这些错误写到日志或控制台,
因而无法处理其他任务。
针对这种攻击,有效的办法是购买一个监视器,将网络分割成小的子网。这些都是
有助于发现和阻止这种问题的发现,尽管这种方式不能完全消除这种问题。
三 信号接地
物理方法也可以关闭一个网络。将网络的电缆接地,引入一些其他信号或者将以太
网上的端接器拿走,都可以有效地阻止客户发送或者接收消息。这种攻击方式不仅可以
阻止那些依赖服务器提供程序和资源的各种机器,也可以阻止向主服务器汇报戳物的登
录请求或者危险的行动,来掩盖一次非法访问的企图。在这种情况下,被攻击的主机要
向主服务器报告发现的错误信息。
保护网络的电缆不被物理地接入其他设备。这也可以减少被监听的威胁。这种保护
措施减少了对电缆上的各个节点的监听和欺骗,也可以有效地防备信号接地这类拒绝服
务的攻击。
通过上面的介绍,朋友们应该对拒绝服务有了更进一步的认识了。希望这篇文章能
给朋友们一个警示。
--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 天外飞仙]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:4.323毫秒