學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦知識(shí)大全>

什么是DoS

時(shí)間: 若木635 分享

  什么是DoS?什么是DDoS?它們的危害是什么?怎樣有效預(yù)防它們?我想這是每一個(gè)網(wǎng)絡(luò)管理人員都關(guān)心的問題。下面,我就以問答的形式,從DoS的概念、行為以及預(yù)防手段幾個(gè)方面詳細(xì)地論述DoS攻防。

  Q:何為拒絕服務(wù)攻擊?

  A:DoS是Denial of Service的簡稱,即拒絕服務(wù),造成DoS的攻擊行為被稱為DoS攻擊,其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò),使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡,最后導(dǎo)致合法的用戶請(qǐng)求就無法通過。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī),使得所有可用的操作系統(tǒng)資源都被消耗殆盡,最終計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求。例如,2000年2月6日那個(gè)星期對(duì)Yahoo網(wǎng)站發(fā)生的主要是帶寬攻擊。

  Q:何為分布式拒絕服務(wù)攻擊?

  A:分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。通常,攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上,在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊,代理程序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù),主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。

  Q:DDoS攻擊怎樣影響Web站點(diǎn)?

  當(dāng)對(duì)一個(gè)Web站點(diǎn)執(zhí)行 DDoS 攻擊時(shí),這個(gè)站點(diǎn)的一個(gè)或多個(gè)Web服務(wù)會(huì)接到非常多的請(qǐng)求,最終使它無法再正常使用。在一個(gè)DDoS攻擊期間,如果有一個(gè)不知情的用戶發(fā)出了正常的頁面請(qǐng)求,這個(gè)請(qǐng)求會(huì)完全失敗,或者是頁面下載速度變得極其緩慢,看起來就是站點(diǎn)無法使用。典型的DDoS攻擊利用許多計(jì)算機(jī)同時(shí)對(duì)目標(biāo)站點(diǎn)發(fā)出成千上萬個(gè)請(qǐng)求。為了避免被追蹤,攻擊者會(huì)闖進(jìn)網(wǎng)上的一些無保護(hù)的計(jì)算機(jī)內(nèi),在這些計(jì)算機(jī)上藏匿DDoS程序,將它們作為同謀和跳板,最后聯(lián)合起來發(fā)動(dòng)匿名攻擊。

  Q:有沒有遠(yuǎn)離DDoS攻擊危險(xiǎn)的快速而簡便的方法?

  A:沒有。但是有一個(gè)簡單的基本原則:防止計(jì)算機(jī)被黑客劫持后成為攻擊的平臺(tái),這樣就在攻擊發(fā)生前將問題徹底排除了。

  攻擊者很喜歡把非商業(yè)計(jì)算機(jī)作為攻擊平臺(tái),因?yàn)檫@些計(jì)算機(jī)更容易被攻陷。比如,大學(xué)系統(tǒng)經(jīng)常是攻擊者選擇的目標(biāo),因?yàn)樗鼈兘?jīng)常是人手不足,或者是為了便于學(xué)生使用而將安全設(shè)置到最低等級(jí)。但這并不是一個(gè)國家的問題,世界上任何一個(gè)Internet服務(wù)器都可用被用來作為攻擊的平臺(tái)。

  所以,我們必須"團(tuán)結(jié)成一個(gè)整體",通過全球合作來保護(hù)Internet。最起碼要從自己做起,檢查自己的上網(wǎng)計(jì)算機(jī),確保它們不會(huì)成為DDoS的攻擊平臺(tái)。這不僅僅是為了做一個(gè)Internet好公民,更是為在發(fā)生了DDoS 攻擊時(shí),有證據(jù)能表明:我的計(jì)算機(jī)是無罪的。

  Q:政府能對(duì)防范DoS攻擊起很大的作用嗎?

  A:毫無疑問,政府通過在Internet 上施加多種限制規(guī)定,就能極大地控制DoS類型的攻擊,至少是那些來自本國的攻擊。例如,可以對(duì)上網(wǎng)要求相當(dāng)于駕駛執(zhí)照那樣的許可證,對(duì)站點(diǎn)要求相當(dāng)于"工商許可"的許可證,對(duì)所有的 ISP進(jìn)行嚴(yán)格規(guī)范,就象對(duì)許多公共設(shè)施(如水、氣等)的要求一樣。

  但是請(qǐng)注意:限制犯罪活動(dòng)和限制經(jīng)濟(jì)增長、教育、信息資源以及一般人身自由之間只是一線之隔,政府對(duì)此很難掌握,因此許多政府正在尋求一些非干預(yù)性的方法。例如,美國前總統(tǒng)Clinton曾提出在大學(xué)畢業(yè)生中發(fā)展一個(gè)信息安全計(jì)算機(jī)聯(lián)合會(huì),培養(yǎng)所謂"計(jì)算機(jī)警察",以反抗DDoS和其它類型的計(jì)算機(jī)犯罪。

  Q:如何檢測(cè)我的服務(wù)器是否存在DDoS攻擊程序?

  要檢測(cè)DDoS攻擊程序的存在,可以有2種方法:

  1、通常,我們可以使用文件系統(tǒng)掃描工具來確定在服務(wù)器文件系統(tǒng)上是否存在已知的DDoS攻擊程序。

  同病毒軟件一樣,每當(dāng)有新的DDoS發(fā)明出來,當(dāng)前的DDoS工具就將過時(shí),或者它對(duì)現(xiàn)存的DDoS進(jìn)行修改而避開檢查。所以,要選擇最近更新的掃描工具才能檢測(cè)到最新的DDoS攻擊程序。

  FBI提供了一個(gè)工具叫做"find_ddos",用于檢測(cè)一些已知的拒絕服務(wù)工具,包括trinoo進(jìn)程、trinoo主人、加強(qiáng)的tfn進(jìn)程、tfn客戶程序、tfn2k客戶程序和tfn-rush客戶程序。Find_ddos可以從以下地址下載:

  http://www.jintaigroup.com.cn/index2/refuse/n2.htm。

  請(qǐng)注意,F(xiàn)BI的這個(gè)工具并不能保證捕獲所有的DDoS工具。如果侵入者安裝了一個(gè)根文件包,那么find_ddos程序就有可能無法處理它。

  另外,http://www.nessus.org站點(diǎn)也提供一個(gè)免費(fèi)的掃描工具。當(dāng)然還有一些商務(wù)工具也可以使用。

  2、還可使用手工方法對(duì)起源于本地網(wǎng)絡(luò)中的DDoS活動(dòng)進(jìn)行雙重檢查。

  在Web服務(wù)器與Internet或者上游ISP連接之間的防火墻上建立一個(gè)濾波器,以尋找spoofed (哄騙)信息包,也就是那些不是從你自己的網(wǎng)絡(luò)上生成的信息包。這就是所謂的出口過濾。如果在你的網(wǎng)絡(luò)上正在生成spoofed信息包,那么這很可能是一個(gè)DDoS程序生成的。然后跟蹤這些spoofed信息的源頭,將計(jì)算機(jī)離線開始清理工作。

  屏蔽經(jīng)常受到遠(yuǎn)程控制而受到威脅的端口,比如37337。

  為了對(duì)所有的變化都進(jìn)行研究并采取相應(yīng)的措施,建議使用nmap 或saint這樣的工具經(jīng)常對(duì)網(wǎng)絡(luò)的開放端口進(jìn)行掃描。Nmap,即Network Mapper,是Linux下的網(wǎng)絡(luò)掃描和嗅探工具包,它不僅可以幫助網(wǎng)管人員深入探測(cè)UDP或TCP端口,直至主機(jī)所使用的操作系統(tǒng),還可以將所有探測(cè)結(jié)果記錄到各種格式的日志中,為系統(tǒng)安全服務(wù)。Info World這樣評(píng)價(jià)Nmap:如果你的目的是在40000英尺高度上看看你的網(wǎng)絡(luò),那基于Windows的端口掃描工具就足夠了,但是如果你真的關(guān)心你的網(wǎng)絡(luò)安全,并努力想找到那些可能被侵入者發(fā)現(xiàn)的系統(tǒng)漏洞,那你最好花點(diǎn)時(shí)間去安裝并使用一個(gè)Linux工具--Nmap。SAINT是一個(gè)基于SATAN的安全評(píng)估工具,它能定期認(rèn)證并掃描所有遠(yuǎn)程可探測(cè)漏洞,包括以下特點(diǎn):防火墻掃描,從CERT&CIAC的公告來更新安全檢查,嚴(yán)厲的4級(jí)(紅、黃、褐、綠)警告和一個(gè)有很多HTML特點(diǎn)的界面。

  Q:如果在服務(wù)器上發(fā)現(xiàn)了一個(gè) DDoS主機(jī)程序應(yīng)該怎么辦?

  A:如果在系統(tǒng)上出現(xiàn)了特洛伊木馬程序,就表明系統(tǒng)上有一個(gè)弱點(diǎn)被人利用了。在系統(tǒng)上可能已經(jīng)發(fā)生了一些細(xì)微或不那么細(xì)微的變化,雖然系統(tǒng)可能還沒有表現(xiàn)出外在的問題,但不能因此而放松警惕。

  執(zhí)行你的組織中的應(yīng)急反應(yīng)策略。如果現(xiàn)在還沒有這樣的策略,那么至少要執(zhí)行以下這些應(yīng)急步驟:

  從有疑點(diǎn)的第一個(gè)事件開始,按照危害的嚴(yán)重程度,把一切都寫下來。從技術(shù)上和法律上,這都是很有幫助的。

  不要對(duì)外散布關(guān)于你的組織所受到的威脅的消息。這不會(huì)有任何幫助,而且還會(huì)讓媒體卷進(jìn)來。你只需要通知那些能幫助你解決這些問題的人,以及組織的管理人員和法律人士。

  向你的組織中最權(quán)威的安全專家求助。如果沒有這樣的人,可以向咨詢公司尋求幫助,這些公司對(duì)你正在運(yùn)行的操作系統(tǒng)和系統(tǒng)軟件應(yīng)急處理方面的問題是很有經(jīng)驗(yàn)的。

  從網(wǎng)絡(luò)上把受到威脅的計(jì)算機(jī)移走,最簡單也最徹底的方法就是拔掉網(wǎng)線。如果這個(gè)計(jì)算機(jī)的作用很關(guān)鍵,那么就要配置一個(gè)熱備份機(jī)器。如果沒有熱備份機(jī)器,那么就要停工嘍。

  要對(duì)受到威脅的計(jì)算機(jī)的文件系統(tǒng)進(jìn)行備份。在備份之前,要把操作系統(tǒng)管理的所有動(dòng)態(tài)數(shù)據(jù)表都轉(zhuǎn)換成標(biāo)準(zhǔn)文件,以便以后進(jìn)行分析。例如,當(dāng)前正在執(zhí)行的程序列表、當(dāng)前登錄用戶、當(dāng)前網(wǎng)絡(luò)連接。為了更加保險(xiǎn),建議使用兩種不同的備份程序做兩個(gè)系統(tǒng)備份。

  關(guān)掉受到威脅的計(jì)算機(jī)。

  重新啟動(dòng)計(jì)算機(jī)。

  重新格式化系統(tǒng)軟件使用的驅(qū)動(dòng)器。

  重新安裝操作系統(tǒng)。

  安裝操作系統(tǒng)的所有補(bǔ)丁程序包。

  恢復(fù)文件系統(tǒng)。不要覆蓋任何系統(tǒng)文件,恢復(fù)之前手動(dòng)檢測(cè)所有的口令。

  把計(jì)算機(jī)重新連入網(wǎng)絡(luò)。

  檢測(cè)網(wǎng)絡(luò)上的其它計(jì)算機(jī),看看別處有沒有被利用的弱點(diǎn)。

  Q:如何防止服務(wù)器被當(dāng)做DDoS主機(jī)?

  A:建議采取如下步驟:

  1、首先要充分認(rèn)識(shí)和理解Internet服務(wù)器上存在的弱點(diǎn):

  除非是已經(jīng)采取了特殊措施,Internet服務(wù)器都有主機(jī)名和IP地址,Internet上的任何人都能很容易地查找到這些信息。

  許多組織都不把防火墻放在Internet服務(wù)器之前,這樣即使是防火墻能夠輕易阻止的探測(cè)和攻擊也無法阻擋。

  默認(rèn)狀態(tài)下,服務(wù)器監(jiān)聽來自標(biāo)準(zhǔn)端口的服務(wù)請(qǐng)求,并很自然地試圖處理這些請(qǐng)求。

  服務(wù)器本來就是要在無人照料的情況下運(yùn)行的,所有一般不會(huì)有一個(gè)用戶現(xiàn)身來尋找不正常的動(dòng)作。

  服務(wù)器還經(jīng)常需要遠(yuǎn)程管理,因此它們要接受來自用戶的遠(yuǎn)程連接,這些用戶通常具有非常強(qiáng)大的權(quán)限。

  許多服務(wù)器都會(huì)在關(guān)機(jī)之后自動(dòng)重新啟動(dòng),而這正是那些攻擊者在利用它的時(shí)候所希望的。

  2、如果系統(tǒng)已經(jīng)受到了威脅,立即備份文件系統(tǒng),然后重新安裝操作系統(tǒng)并恢復(fù)文件系統(tǒng)。

  3、安裝軟件產(chǎn)商提供的操作系統(tǒng)升級(jí)程序。如果升級(jí)程序是與系統(tǒng)安全相關(guān)的,那在安裝的時(shí)候尤其要注意。一定要仔細(xì)閱讀軟件產(chǎn)商的升級(jí)文件readme,因?yàn)橛行┥?jí)程序并不是測(cè)試得那么好,其中有些缺點(diǎn)可能反而對(duì)你的系統(tǒng)造成危害。

  4、對(duì)服務(wù)器進(jìn)行保護(hù)。

  關(guān)閉所有不必要的系統(tǒng)服務(wù)。操作系統(tǒng)所提供的許多服務(wù)并不是Web服務(wù)器所需要的,例如基于RPC的服務(wù)。要采取"先拒絕,再允許"的策略。除非這個(gè)服務(wù)是完全必要的,就先將其關(guān)閉。

  首先要確定哪些基于程序的服務(wù)可以關(guān)閉,如FTP、 telnet等。在文件系統(tǒng)中,這些服務(wù)很容易找到,都是可執(zhí)行程序。

  很多系統(tǒng)都曾受到緩沖區(qū)溢出漏洞的威脅。

  檢測(cè)操作系統(tǒng)文檔,看看它是否在內(nèi)核級(jí)提供了以不可視的單獨(dú)程序形式存在的服務(wù)。例如,netmask服務(wù)就可以在內(nèi)核級(jí)運(yùn)行。這種情況下,首先確定可以設(shè)置哪些參數(shù),然后關(guān)閉不必要的內(nèi)核級(jí)服務(wù)。

  聯(lián)系操作系統(tǒng)供應(yīng)商,看看是否還有其它內(nèi)核級(jí)服務(wù)不在系統(tǒng)文檔內(nèi),如果有的話,就應(yīng)該禁止它們。

  一旦將所有這些不必要的服務(wù)都禁止之后,要對(duì)整個(gè)系統(tǒng)作一個(gè)加密校驗(yàn)和操作,以備今后出現(xiàn)疑點(diǎn)時(shí)使用。對(duì)于基于UNIX的系統(tǒng),Tripwire能夠完成這個(gè)功能,詳細(xì)資料請(qǐng)參閱:http://www.tripwiresecurity.com/。

  http://www.cert.org/security-improvement/practices/p043.html有關(guān)于加密檢驗(yàn)和的詳細(xì)信息。

  配置Web服務(wù)器軟件。首先要驗(yàn)證已經(jīng)安裝了最新版本的Web 服務(wù)器軟件。其次,關(guān)閉Web 服務(wù)器軟件所提供的所有不必要服務(wù),比如關(guān)閉不是必須的Java支持、CGI支持和服務(wù)器端腳本支持。

  限制對(duì)服務(wù)器的物理訪問。要采取適當(dāng)行動(dòng),確保服務(wù)器只能被指定的系統(tǒng)管理員訪問。如果侵入者能夠?qū)Ψ?wù)器進(jìn)行物理訪問的話,只需一張軟盤就能打敗全世界的安全保衛(wèi)措施。

  Q:如何防止個(gè)人計(jì)算機(jī)成為 DDoS 主機(jī)?

  A:建議采取如下步驟:

  1、首先要充分認(rèn)識(shí)并理解Internet客戶機(jī)所存在的弱點(diǎn):

  Internet客戶機(jī),即連接到Internet的個(gè)人計(jì)算機(jī),也可以受到威脅成為DDoS攻擊的代理機(jī)。

  全部時(shí)間都連接到Internet上的個(gè)人計(jì)算機(jī)對(duì)DDoS 侵入者特別有用。

  威脅一個(gè)個(gè)人計(jì)算機(jī)的最簡單也最常用的方法是通過用戶下載的文件,那些作為屏保、游戲和圖像形式出現(xiàn)的惡意程序是罪魁禍?zhǔn)住?/p>

  那些允許后臺(tái)處理和多任務(wù)處理的新個(gè)人計(jì)算機(jī)操作系統(tǒng),如Windows 98、Windows NT工作站、Linux,使他們成為DDoS攻擊的可能代理。

  2、如果系統(tǒng)已經(jīng)受到了威脅,理解備份文件系統(tǒng),重新安裝操作系統(tǒng)并恢復(fù)文件系統(tǒng)。

  3、安裝存在系統(tǒng)銷售商提供的操作系統(tǒng)升級(jí)程序。

  4、對(duì)客戶機(jī)/個(gè)人計(jì)算機(jī)進(jìn)行保護(hù)。

  要通知本地網(wǎng)絡(luò)上所有Internet用戶,尤其是那些全部時(shí)間都連接到Internet上的用戶,由于他們的計(jì)算機(jī)有可能被用作攻擊代理,所以必須裝備最新的檢測(cè)軟件。

  反病毒軟件中一般都包括可檢測(cè)許多DDoS 程序的升級(jí)程序,建議下載并安裝其最新版本。例如,Norton的相關(guān)程序可以在http://www.symantec.com/avcenter/venc/data/w32.dos.trinoo.html獲得,NAI的相關(guān)程序可以在http://vil.nai.com/vil/DoS98506.asp獲得。

  注意,如果在客戶系統(tǒng)上已經(jīng)有惡意程序在運(yùn)行,這些檢測(cè)程序可能就不起作用了。Norton的情況是,開啟實(shí)時(shí)保護(hù),然后重新啟動(dòng)計(jì)算機(jī),檢查已經(jīng)在操作中的DDoS代理程序。

什么是DoS

什么是DoS?什么是DDoS?它們的危害是什么?怎樣有效預(yù)防它們?我想這是每一個(gè)網(wǎng)絡(luò)管理人員都關(guān)心的問題。下面,我就以問答的形式,從DoS的概念、行為以及預(yù)防手段幾個(gè)方面詳細(xì)地論述DoS攻防。 Q:何為拒絕服務(wù)攻擊? A:DoS是Denial of Serv
推薦度:
點(diǎn)擊下載文檔文檔為doc格式

精選文章

  • 電腦怎樣設(shè)定自動(dòng)關(guān)機(jī)時(shí)間
    電腦怎樣設(shè)定自動(dòng)關(guān)機(jī)時(shí)間

    假如你要外出,電腦又不想馬上關(guān)閉,這時(shí)你可以點(diǎn)擊電腦左下角開始菜單上面的運(yùn)行,在里面輸入個(gè)命令,電腦就可以按你設(shè)置的時(shí)間關(guān)機(jī)了 電腦自動(dòng)關(guān)

  • 帶寬網(wǎng)速知識(shí)全解
    帶寬網(wǎng)速知識(shí)全解

    帶寬網(wǎng)速的概念 ADSL (Asymmetric Digital Subscriber Line ,非對(duì)稱數(shù)字用戶環(huán)路)是一種新的數(shù)據(jù)傳輸方式。它因?yàn)樯闲泻拖滦袔挷粚?duì)稱,因此稱為非對(duì)稱數(shù)字用戶

  • 網(wǎng)速為什么變慢
    網(wǎng)速為什么變慢

    一、網(wǎng)絡(luò)的問題,您想打開的網(wǎng)站所在的服務(wù)器不穩(wěn)定或負(fù)載過大。解決的方法,等一些時(shí)間在打開或者換一個(gè)其它的網(wǎng)站。 二、網(wǎng)線的問題也可以導(dǎo)致網(wǎng)

  • 什么是PC
    什么是PC

    其實(shí)PC的英文全稱是:Personal Computer 翻譯成中文的意思是:個(gè)人計(jì)算機(jī)或者個(gè)人電腦。PC是一個(gè)具有廣泛含義的詞語,也是電腦的統(tǒng)稱。就目前而言個(gè)人電腦

132375