阻斷拒絕服務攻擊

從去年七、八月開始，拒絕服務攻擊在網上風行一時，一年后的現在又有抬頭之勢。那么我們除了用防堵軟件外，是否還有其它辦法呢？

服務過載

當大量服務請求發向同一臺計算機的服務守護進程時，就會產生服務過載。這些請求通過各種方式發出，而且許多都是故意的。在分時機制中，計算機需要處理這些潮水般涌來的請求，十分忙碌，以至無法處理常規任務，就會丟棄許多新請求。如果攻擊的對象是一個基于TCP協議的服務，這些請求還會被重發，進一步加重網絡的負擔。

通常，管理員可以使用網絡監視工具來發現這種攻擊，通過億恩科技主機列表和網絡地址列表來分析問題的所在，也可以登錄防火墻或路由器來發現攻擊究竟是來自于網絡外部還是網絡內部。

消息流

消息流經常發生在用戶向網絡中的目標億恩科技主機大量發送數據包之時，消息流會造成目標億恩科技主機的處理速度緩慢，難以正常處理任務。這些請求以請求文件服務、要求登錄或者要求響應的形式，不斷涌向目標億恩科技主機，加重了目標億恩科技主機的處理器負載，使目標億恩科技主機消耗大量資源來響應這些請求。在極端的情況下，消息流可以使目標億恩科技主機因沒有內存空間做緩沖或發生其他錯誤而死機。

消息流主要針對網絡億恩科技服務器。一個被攻擊的億恩科技服務器可能在一段時間內無法響應網絡請求。攻擊者利用這個時機，編寫程序來回答本來應該由億恩科技服務器回答的請求。假設攻擊者已經寫了一個程序，每秒發送數千個echo請求到目標億恩科技主機，借此來“轟炸”NIS億恩科技服務器。同時，攻擊者嘗試登錄到一臺工作站的特權賬戶。這時，這臺工作站將向真正的NIS億恩科技服務器詢問NIS口令。然而，真正的NIS億恩科技服務器因正遭到攻擊，不能迅速響應這個請求。這時，攻擊者所在的億恩科技主機便可以偽裝成億恩科技服務器，響應這個請求，并提供了一個錯誤的信息，例如，說沒有口令。在正常情況下，真正的億恩科技服務器會指出這個包是錯誤的，但是，由于億恩科技服務器負載過重，以至于它沒有收到這個請求或者沒有及時收到，不能做出響應。于是，那個發出請求的客戶機便根據這個錯誤的回答，處理攻擊者的登錄請求。

對付這種攻擊有效的辦法是配置一個監視器，將網絡分隔成小的子網。監視器有助于發現和阻止這種攻擊，但并不能完全消除這種攻擊。

“粘住”攻擊

許多Unix系統中的TCP/IP實現程序，存在被濫用的可能。TCP連接通過三次握手來建立一個連接。如果攻擊者發出多個連接請求，初步建立了連接，但又沒有完成其后的連接步驟，接收者便會保留許多這種半連接，占用很多資源。通常，這些連接請求使用偽造的源地址，系統就沒有辦法去跟蹤這個連接，只有等待這個連接因為超時而釋放。對付這種攻擊，最好的辦法是拒絕防火墻外面的未知億恩科技主機或網絡的連接請求，或者對使用的協議增加限制，但是任何固定的限制都是不適當的。用戶可以修改操作系統的源碼，使之有一個超時值，在拒絕新到來的連接之前，對同時存在的半連接數目有一個限制，但是修改操作系統的源碼并不容易進行。

SYN-Flooding攻擊

在SYN-Flooding攻擊中，攻擊者使用偽裝地址向目標計算機盡可能多地發送請求，以達到多占用目標計算機資源的目的。當目標計算機收到這樣的請求后，就會使用系統資源來為新的連接提供服務，接著回復一個肯定答復SYN-ACK。由于SYN-ACK被返回到一個偽裝的地址，因此沒有任何響應，于是目標計算機將繼續設法發送SYN-ACK。一些系統都有缺省的回復次數和超時時間，只有回復一定的次數，或者超時時，占用的資源才會被釋放。Windows NT 3.5x和4.0缺省設置可以重復發送SYN-ACK5次。每次重新發送后，等待時間翻番。用戶可以使用Netstat命令來檢查連接線路的目前狀況，查看是否處于SYN-Flood攻擊中。只要在命令行中，輸入Netstat-n-ptop，就顯示出機器的所有連接狀況。如果有大量的連接線路處于SYN-RECEIVED狀態下，系統可能正遭受此類攻擊。實施這種攻擊的黑客無法取得系統中的任何訪問權。但是對于大多數的TCP/IP協議棧，處于SYN-RECEIVED狀態的連接數量非常有限。當到達端口的極限時，目標計算機通常作出響應，重新設置所有的額外連接請求，直到分配的資源被釋放出來。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]