网络对拒绝服务攻击的抵抗力很有限,攻击者将阻止合法的用户使用网络和服务。
拒绝服务有三种常见的攻击方式,它们是:服务过载,消息流和信号接地。下面将要详细地介绍这些攻击方法。
一
服务过载
当大量的服务请求发向一台计算机中的服务守护进程时,就会发生服务过载。这些请求可以通过许多方式发出,许多是故意的。在分时机制中,这些潮水般的请求,使得计算机十分忙碌地处理这些不断到来的请求,以至于无法处理常规的任务。同时,许多新到来的请求被丢弃,因为没有空间来存放这些请求。如果攻击的是一个基于TCP协议的服务,那么这些请求的包还会被重发,结果更加重了网络的负担。这种攻击可能是一个
攻击者为了掩盖自己的痕迹,阻止对攻击者的记录和登陆请求的系统计帐审计。这种攻击会阻止系统提供的一种特定服务。
通常,管理员可以使用一个网络监视工具来发现这种类型的攻击,甚至发现攻击的来源。如果面前已有一份主机的列表,还有一份网络地址的列表(指物理地址或者说以太地址),如果这种攻击发源于本网络内部,这些都可以帮助系统管理员跟踪到问题的所在。隔绝本子网或者本网络,也有助于发现问题。如果登陆到防火墙上或者是路由器上,可以很快发现攻击是来自于网络外部还是网络内部,但并不能相信包中携带的IP地址。
作为一个最终用户,或者一个系统管理员,对于使协议和守护进程更有效地抵御拒绝服务的攻击,能做的事非常有限。无论是管理员还是普通用户,既不能去修改正在使用的协议,也无法修改这些守护进程。目前所能做到的是限制它可能带来的危害。例如,将网络分成一些只有少数几台主机的子网,在这种情况下,如果某一子网遭到了这种攻击或者事故,并不能使所有的主机都受到影响。
另一个措施是,在攻击之前采取行动。如果有一定预算,可以买一个网络检测器,放与网络内安全的地方。这种方式可以快速和有效地监视网络内的数据流动情况。根据要求打印出主机的地层(物理)和高层(IP)地址,管理员可以通过对包的传输情况进行分析,很快发现在什么地方发生了过载。
此外,当被攻击、的服务由inetd进程,使用nowait选项启动是,缺省地,inetd有一个“扼杀”的功能在里面。当在一个很短的时间内,针对所监视的那些服务,到来了太多的请求时,它将开始拒绝那些请求,并用syslog记录下失败服务请求。这是基于一种假设,即某种错误被引发,从而引起了这麽多服务的请求。在这种情况下,它使服务进程本身不会运行失败,同时,也留下了记录,可以追踪出问题的所在。
二
消息流
消息流发生于用户向一台网络上的目标主机发送大量的数据包,来延缓目标主机的处理速度,阻止它处理正常的任务这种情况。这些请求可能是请求文件服务,要求登陆或者仅仅是简单的要求响应包(例如ping)。无论是什么形式,这些潮水般的服务请求,加重了目标主机的处理器负载,使目标主机消耗了大量的资源来响应这些请求。极端的情况,这种攻击可以引起目标主机因为没有内存来做缓冲,以存放到来的请求,或者因为其他错误而死机。这种拒绝服务的攻击主要针对网络服务器。
一个被攻击的服务器很可能在一段时间内无法响应网络请求。攻击者可以利用这个时机,编写一个程序,来回答那些本来应该由服务器回答的请求。例如,一个攻击者可能攻击NIS服务器,然后对那些发向NIS服务器的NIS请求,发出自己的回答--这种情况通常是请求口令。
假设攻击者已经写了一个程序,通过每秒发送数千个echo请求到目标主机的echo服务,来“轰炸”一个NIS服务器。同时,攻击者尝试登陆到一台工作站的特权帐户。这时,这台工作站将想真正的NIS服务器询问NIS口令。然而,NIS服务器因为遭到攻击,不能迅速地响应这个请求。这时侯,攻击者所在的主机便可以伪装为一个服务器,响应这个请求,提供了一个错误的信息,例如,说没有口令。在正常情况下,真正的服务器会注意到这个错误的包,指出这个包是错误的。然而,当服务器负载如此之重,以至于它没有收到这个请求或者没有即时收到,它就不能做出响应。于是,那个发出请求的客户机便相信这个回答是正确的,然后根据这个错误的回答,处理攻击者的登陆请求。
一个简单的攻击类型是“广播风暴”。攻击者可以生成这样一个消息,它将指示每一个收到包的主机回答或者重发这个消息。结果网络饱和,并且不能使用。广播风暴很
少是由故意的攻击所致,它通常是由于硬件或者软件的缘故,例如,正在开发之中,存在错误或者没有正确地安装。
当网络中的主机被配置为记录所有的错误消息,并将其写的日志文件或者输出到控制台时,广播不正确格式的消息也可以引起网络中的主机死机。因为在这种情况下,发送了大量的错误消息,于是那些客户机忙于处理错误,将这些错误写到日志或控制台,因而无法处理其他任务。
针对这种攻击,有效的办法是购买一个监视器,将网络分割成小的子网。这些都是有助于发现和阻止这种问题的发现,尽管这种方式不能完全消除这种问题。
三
信号接地
物理方法也可以关闭一个网络。将网络的电缆接地,引入一些其他信号或者将以太网上的端接器拿走,都可以有效地阻止客户发送或者接收消息。这种攻击方式不仅可以阻止那些依赖服务器提供程序和资源的各种机器,也可以阻止向主服务器汇报戳物的登录请求或者危险的行动,来掩盖一次非法访问的企图。在这种情况下,被攻击的主机要向主服务器报告发现的错误信息。
保护网络的电缆不被物理地接入其他设备。这也可以减少被监听的威胁。这种保护措施减少了对电缆上的各个节点的监听和欺骗,也可以有效地防备信号接地这类拒绝服务的攻击。