如何应对DoS攻击.pdf

如何应对 DoS 攻击 作者： Rambo 最不讲道理的也最简单攻击形式就是拒绝服务（ DoS ）攻击。这种攻击不是为了入侵系统来 获取敏感信息， 它的目的就是让系统崩溃， 从而无法响应正当用户的请求。 而且这种攻击可 以非常简单， 不需要任何技术功底； 它的本质思想就是突破设备有效载荷。 不管什么计算机 系统、 Web 服务器、还是网络都只能处理有限的载荷，计算机系统的工作载荷通常以带多 少用户、文件系统大小、数据传输速率、文件存储量等指标来衡量。一旦超过了载荷，再执 行操作就无法响应了。例如，可以向某一网站泛洪，超过服务器的处理能力，就无法响应访 问请求了。 常见 DoS 的类型 1、TCP SYN 泛洪 对于 TCP 协议，当客户端向服务器发起连接请求并初始化时，服务器一端的协议栈会留一 块缓冲区来处理 “握手 ”过程中的信息交换。请求建立连接时发送的数据包的包头 SYN 位就 表明了数据包的顺序， 攻击者可以利用在短时间内快速发起大量连接请求， 以致服务器来不 及响应。同时攻击者还可以伪造源 IP 地址。也就是说攻击者发起大量连接请求，然后挂起 在半连接状态， 以此来占用大量服务器资源直到拒绝服务。 虽然缓冲区中的数据在一段时间 内（通常是三分钟）都没有回应的话，就会被丢弃，但在这段时间内，大量半连接足以耗尽 服务器资源。 防御这种攻击没有好的办法，所有基于 TCP 的服务都有此 “弱点 ”，但对于 Web 服务来说， 有三招防御手段：设置 SYN cookie 、RST cookie 和编辑缓冲区大小。具体方法可以搜一下， 但要注意，三种方法都有局限性。 2、Smurf IP Smurf IP 利用广播地址发送 ICMP 包，一旦广播出去，就会被广播域内的所有主机回应，当 然这些包都回应给了伪装的 IP 地址（指向被攻击主机） ，伪装 IP 地址可以是互联网上的任 何地址，不一定在本地；假如骇客不停地发送此种类型的包，就会造成 DoS 攻击。 防御这种攻击要从内网入手， 因为攻击是从广播域内发起的， 所以一是防内贼， 二是防木马、 病毒以防被外控制，再一个就是利用防火墙隐藏内网；最好将这些措施组合起来。 3、其它 其它还有 UDP 泛洪、 ICMP 泛洪、死亡之 ping、泪珠攻击、着陆攻击、 Echo/Chargen 攻击， 基本思想都差不多，有兴趣的可以查查，篇幅所限这里不多介绍。 4、DDoS 攻击 DDoS 是分布式拒绝服务攻击，其基本思想与 DoS 攻击一样，只是方法不同。 DDoS 攻击一 般通过两种方式：一是利用大量路由器，一是利用 botnet。 DoS 的弱点 从攻击者的角度来讲， DoS 攻击的不足是要求洪水包必须能够持续发送，一旦洪水包停了， 系统一般也就恢复正常了。另外如果直接从本机发起攻击，就有被跟踪到 IP 的危险；而利 用 Botnet 又需要很强的控制力。 如何防御 DoS 正如没有确定的方法来防止骇客攻击一样，也没有确保的方法防止所有 DoS 攻击。然而， 有一些措施可以减小危险发生的可能性。如前面介绍的 SNY cookie 、RST cookie 、编辑缓冲 区大小。下面再介绍一些，这些方法要根据情况综合应用。 第一利用防火墙阻止外网的 ICMP 包，几乎没有什么理由让外网的 ICMP 包进入本地网络， 有人可能会对此有争论， 说是没有好的理由，