前言:
眼前同学们对“dos攻击的防御方法”大约比较着重,姐妹们都想要知道一些“dos攻击的防御方法”的相关文章。那么小编在网上汇集了一些关于“dos攻击的防御方法””的相关知识,希望咱们能喜欢,各位老铁们快快来学习一下吧!首先,我们需要了解什么是DoS。DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击。其目的是使计算机或网络无法提供正常服务。
接下来我们就来了解一下DoS攻击手段
1、死亡之Ping(Ping of Death)
ICMP协议是一个网络层协议,与IP协议处于同一层,其底层用的IP协议。ICMP协议的主要作用是确认IP包是否成功达到目标IP,通知在发送过程中的IP包被丢弃的原因。基于ICMP协议的ping命令用于验证网络的连通性。许多操作系统的TCP/IP协议栈都规定ICMP的包大小不超过64KB,"Ping of Death"就是故意产生畸形的测试Ping(Packet Internet Groper)包,声称自己的尺寸超过ICMP上限,也就是加载的尺寸超过64KB上限,使未采取保护措施的网络系统出现内存分配错误,导致TCP/IP协议栈崩溃,最终接收方宕机。
防御方法:禁止ICMP报文通过网络安全设备。
2、泪滴(Teardrop)
泪滴攻击利用在TCP/IP协议栈实现中信任IP碎片中的包的标题头所包含的信息来实现的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP协议栈(例如NT在servicepack4以前)在收到含有重叠偏移的伪造分段时将崩溃。
防御方法:添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。尽可能采用最新的操作系统,或者在防火墙上设置分段重组功能,由防火墙先接收到同一原包中的所有拆分数据包,然后完成重组工作,而不是直接转发。
3、Land攻击
Local Area Network Denial attack,局域网拒绝服务攻击。攻击者构造了一个TCP SYN数据包,包中的源地址和目的地址都为被攻击主机的地址。被攻击的主机收到之后,就会给自己地址发一个SYN+ACK,接着又会给自己地址发一个ACK,创建了一个空连接并一直等待,直到这个连接超时。如果攻击者发送了大量的这种数据包,就会把被攻击主机的连接占满。
防御方法:在防火墙或路由器配置规则,如果是源地址和目的地址相同,则丢弃掉。
4、IP欺骗攻击
这种攻击利用RST位来实现。攻击者构造攻击的TCP数据包,伪装自己是已经建立连接的合法用户的IP,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为之前建立的连接有误,就会清空缓冲区中建立好的连接。这时,如果合法用户再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击时,攻击者会伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。
防御方法:这种攻击的最接近真实的使用场景,所以鉴别起来也是比较麻烦的,比如提高认证的门槛,不仅仅是只通过IP认证,增加取证信息,以确保客户的真实性。
标签: #dos攻击的防御方法