| |
|
常见的几种拒绝服务攻击介绍以及防御办法
随着互联网的飞速的发展,网络的安全越来越显得重要了.黑客频繁的攻击,致使一些网站瘫痪损失惨重.尤其最近一段时间Denial Of Service
Attacks(拒绝服务攻击),搅的人心慌慌.现在根据笔者工作经验.收集了一些拒绝服务攻击的实例希望对大家有所帮助.那什么是拒绝服务攻击呢?
拒绝服务攻击一般采取越权登录一个临界系统资源的方法,企图使某个设备停止提供一些或所有服务。例如有SYN溢出, Ping溢出, 和Windows脱离连接 (WinNuke)
等拒绝服务攻击方式。? Apache Web Server 拒绝服务攻击 Apache Web Server 拒绝服务攻击 类型:拒绝服务 控制台名:HTTP_Apache _DOS 技术描述:Apache Web服务器在收到包含无数反斜杠(‘/’)的URL请求时会处于不断增加CPU使用时间的状态,这会导致其它用户无法使用服务。 严重性:这种攻击可以使受害Web服务器无法提供Web服务,最少会导致该服务慢得出奇。 受影响系统:Apache Web Server 1.2.5以前版本。 修补方法:升级Apache Web Server到1.2.5或以后的版本。 参考:http://www.apache.org/info/security_bulletin_1.2.5.html ? Ascend Kill Vulnerability Check Ascend Kill 漏洞检测 类型:拒绝服务。 控制台名:Ascend-Kill 技术描述:向特定版本Ascend操作系统的Ascend路由器发送特制的非法TCP包,会强制该路由器产生一个内部错误,导致路由器重启动。 影响:这种攻击会导致Ascend路由器崩溃,断开所有通过该路由器的连接。 False positives误判断:无 受影响的系统:Release 4.5Ci12版本以前的路由器。 采取措施:检查被攻击的路由器是否可用,若不可用需重启动系统并去除漏洞。 修补方法:升级Ascend路由器到Release 4.5Ci12或以后的版本。 ? Chargen Vulnerability Check Chargen Vulnerability Check (Chargen漏洞检查) 类型:拒绝服务攻击 控制台名:Chargen_Denial_of_Service 技术描述:该检测可查找到那些试图以拒绝服务攻击来对网上某台进行大量的chargen flood操作。 严重性:这种攻击可通过占用所有时间发送自己的文件包,使UNIX Server完全崩溃。 误判断:无。 受影响系统:所有UNIX系统 修补方法:Kill并且重新启动inetd daemon。 如何去除:编辑/etc/inetd.conf文件,并且disable chargen服务。这种服务不再必要,但在Unix主机上仍起作用。 ? ***Cisco CR Cisco CR 类型: 拒绝服务攻击 控制台名: Cisco_CR_DoS 技术描述: 一个存在于Cisco Catalyst交换机固件代码中的缺陷,它允许远端的攻击者终止设备运行并重新登录。这个缺陷已被证实存在于Catalyst 的5xxx、29xx 和12xx 型等硬件设备上。 严重性: 攻击者能使交换机终止设备运行。 误判断: 无。 受影响系统: Catalyst 5xxx, 29xx and 12xx 采取措施: 不论是否有合同约定,Cisco向所有消费者提供调整方案。受Catalyst 5xxx 和 29xx 型交换机影响的用户可升级到2.1(6),Catalyst 12xx型交换机用户可升级到4.30. ? E-Mail Qmail Length Vulnerability Check E-Mail Qmail Length Vulnerability Check 类型:拒绝服务攻击 控制台名:Email_Qmail_Length 技术描述:这种检查可查出一种对Qmail mail 服务器进行的拒绝服务攻击。该攻击发送一种超长命令字符串,引发Qmail与用所有服务器中可用部分Ram。 严重性:此攻击击垮你的Qmail 服务器。 误判断:很有可能一个单行超长e-mail会引发该事件,但并不代表一种攻击。 受影响系统:Qmail 1.01版本或更早。 采取措施:查看Qmail 服务器是否工作,如必要可重启。 修补方法:升级Qmail 服务器到1.02版本或更新版本。 ? E-Mail Qmail Rcpt Vulnerability Check E-Mail Qmail Rcpt Vulnerability Check 类型:拒绝服务攻击 控制台名:Email_Qmail_Rcpt 技术描述:检查出对Qmail mail服务器进行的拒绝服务攻击,攻击是由反复使用RCPT命令所引发的。一个高端参数“针眼”可用作改变RCPT的数字的配置。此参数默认值为65535。 严重性:击垮Qmail Server。 误判断:一个e-mail配有大量的收信者时(数量超过65535)将引发这一事件,但不构成攻击,可用来检测发到你站点上的spam e-mail。 受影响系统:Qmail 1.01版或更新版本。 采取措施:查看Qmail 服务器是否仍工作,如需要可重启。 修补方法:把Qmail 服务器升级到1.02或以上版本。 ? Echo Vulnerability Check Echo Vulnerability Check 类型:拒绝服务攻击 控制台名:Echo_Denial_of_Service 技术描述:该检测可查找到那些试图以拒绝服务攻击来对网上某台机器进行的echo flood操作。 严重性:该攻击可通过占用所有时间处理反馈自己的文件包,是Unix Server完全崩溃。 误判断:无。 受影响系统:杀掉并重启inetd daemon。 修补方法:编辑/etc/inetd.conf文件并disable echo 服务器,这种服务不再必要,但在Unix主机上仍起作用。 ? Finger Bomb Vulnerability Check Finger Bomb Vulnerability Check 类型:拒绝服务 控制台名:Finger-Bomb 技术描述: 影响: 误判断:无 受影响系统:支持finger服务的所有系统 采取措施: 修补方法: ? ***HTTP IISExAir DoS 类型:拒绝服务攻击 控制台名:HTTP_IISExAir_DoS 技术描述:针对IIS样本站点页面ExAir的拒绝服务攻击。如果选择直接调用ExAir活动服务页面而没有从主页调用,则这些页面就不能正确加载动态链接库。 严重性:其结果是使IIS挂起并使CPU占用达到100%。 误判断: 无。 受影响系统:所有安装了IIS ExAir样本页面的系统。 采取措施: 检查系统中是否有IIS ExAir样本站点。 修补方法:去掉IIS ExAir样本站点(参见Windows NT Option Pack 4 Setup for details). ? Land Denial Of Service Attacks Land Denial Of Service Attacks 登录拒绝服务攻击 类型:拒绝服务攻击 控制台名:Land 技术描述:登录攻击, 以使用的那个名字命名,一个为何对TCP SYN信息包的攻击是通过发送具有哄骗性的资源IP地址和端口号码,呀它与目的IP地址和端口相匹配。这导致了某些TCP执行进入机器的死循环。 严重性:这个攻击能损坏目标系统或消耗在没有其他活动发生的目标点的CPU资源。 错误性:没有。这个信号经常暗示着恶意的企图。 系统影响: A大量UNIX和非UNIX系统。检测你的客户的详细信息。 使用:为防止即将到来的包括同资源地址一样的组织的IP地址信息包设置你的INTERNET路线或防火墙 消除弱点:升级你的操作系统。 ? *** Land UDP Land UDP 登录用户数据报协议 类型: 拒绝服务攻击 控制台名: Land_UDP 技术描述: Windows NT 4.0 到 SP4 有一个弱点允许仅有极少资源的远端攻击者消耗所有系统进程和网络带宽达相当长的时间。攻击引起数据包风暴就象smurf和fraggle攻击 并且还象snork攻击。 严重性:攻击能摧毁目标系统或消耗其的CPU资源使之不能进行其它活动。 误判断: 无。这个信号经常预示着恶意的企图。 受影响系统:Windows NT 4.0 采取措施: 这个问题已在Windows NT 4.0 Service Pack 4(SP4)中得到修补,同时还进行了其它几个问题的修补。如果用户不想安装SP4可以得到和使用Snk-fix post-SP3热修补。 ? Ping Flooding Ping Flooding 类型: 拒绝服务攻击 控制台名:PingFlood 技术描述:PingFlood是一种企图向网络上发大量的ICMP Echo的请求包,要求被请求主机回应,连续的请求和回应将堵塞网络,使正常的业务通讯变得异常缓慢,甚至中断连接。 严重性:这种攻击可以有效的利用大量的PING充满网络带宽,禁止正常的网络连接。 误判断:一些系统管理工具(如SNMP工具和ISS网络扫描软件)使用ICMP再网络上查找地址时可能会引起这种警告。 受影响系统:所有的TCP/IP系统。 采取措施:发出PING请求的源地址有可能是虚假的地址,所以必须找出它的真实地址,并禁止它。(ISS建议可通过移动实时监控引擎的网段,一级一级地查找源地址。) 修补方法:最好的解决方法是重新设置周边路由器和防火墙,禁止ICMP请求进入内网段。(但这不能防止内部的攻击。) ? Ping Of Death Ping Of Death 类型:拒绝服务攻击 控制台名:PingOfDeath 技术描述:通过在ICMP Echo请求包(ping)中附加大量的信息,攻击者可使试图回应的目标主机的内核内存溢出,使系统瘫痪。 严重性:这种攻击可使主机瘫痪。 误判断:有些情况下,如使用包含大量数据(大于4000字符)的ping包测试系统强度,会触发这种事件。如果有人向一台对此种攻击免疫的主机发出Ping Of Death攻击后,主机也将回应Ping Of Death攻击,两者都将触发事件,但前者说明是一种恶意攻击企图。备注:Ping Of Death检测不仅仅针对ICMP协议,它是基于IP协议的检测。 受影响系统:Digital Unix 4.0a以下版本,digital Ultrix 4.5以下版本,FreeBSD 2.15以下版本,HPUX 10.20以下版本,AIX 4.2以下版本,Linux 2.0.17以下版本,OSF/1 R1.3.2以下版本,SCO Unix 系统 V/386 Release 3.2 Version 4.2以下版本,Solaris 2.5.1以下版本。联系您的软件提供商以获取更多的信息。 采取措施:设置通向Internet的路由器和防火墙,禁止从Internet传入ICMP echo请求。 修补方法:升级操作系统。 ? Rwhod Vulnerability Check Rwhod Vulnerability Check 类型:拒绝服务攻击 控制台名:Rwhod_Overflow 技术描述:该检测侦察包含缓冲溢出的非法UDP包,该手段常被黑客用来执行对rwho服务的拒绝服务,并试图在远程机执行arbitrary code。 严重性:击垮目标系统上rwho daemon。管理员无法发现正在登录目标服务器的攻击者。 误判断:无。 受影响系统:所有UNIX系统。 采取措施:重新启动rwho进程,或选择放弃。Rwho并不是关键性的服务,许多管理员不启用它。 修补方法:Disable rwho服务。 ? SMURF Denial Of Service Attacks SMURF Denial Of Service Attacks拒绝服务攻击 类型:拒绝服务攻击 控制台名:smurf 技术描述:当子网上的每个主机响应同一个ping的请求时,每个ICMP(ping)请求打包的IP广播地址能造成大量的回应,这些大量的回应能消耗掉所有网络带宽,特别当数据添加到ping请求时。在攻击期间这能阻止合法通信的传送。这种攻击较多的被用于防御第三方,在攻击者伪装目标源地址的地方使用smurf攻击抵御不同的目标。在端点上,这种攻击能使两目标同时中断能力,注意:运行Windows NT和 Windows 95系统对广播ping无响应,然而,这并不意味着所有微软网络对SMURF攻击是无防御能力。 影响:在攻击期间合法的通信将停止传送。 误判断:大量合法的ping包在同一时间里也能触发这一信号,如当管理员发送ping命令给子网广播地址(指有时操纵APR绶冲器或检测某台主机)。当额外数据添加到ping请求时,都将是可疑行径和恶意企图。 受影响系统:大部分TCP/IP实现。卖主可提供更详细信息。 处理:网络管理员可查看是否有人传送广播ping,检测传送包是否有额外数据被添加到ping请求。(你需要通过记录下原始数据日志来决定) 补救措施:重新配置网络上周围的路由或防火墙可阻止ICMP请求进入你的内部网络,防止有人在你的网络上使用SMURF攻击另一个目标。而且重新配置还可阻止ICMP应答入侵你的网络,防止SMURF攻击你内部网络上的主机。然而,内部SMURF攻击将不会停止。 ? SNMP Delete WINS Database 攻击 SNMP Delete WINS Database 攻击 SNMP删除WINS数据库攻击 类型:拒绝服务攻击。 控制台:SNMP_Delete_WINS 技术描述:通过一个文件化MIB变量,一个SNMP SET命令可远程删除Windows NT服务器上的WINS(Windows Internet Naming Service)数据库的所有内容。 影响:此攻击能清除掉WINS数据库,造成在网上通过名字来相互定位的困难。这可能是扮演攻击的前奏。由于SNMP较差的安全性,任何人都可发出这种攻击的通信指令。 误判断:无 受影响系统:Windows NT服务器上运行WINS服务及SNMP协议。 处理:检测WINS服务是否能在目标机器上正常运行。 补救措施:停止在目标服务器上SNMP服务,改用其它方法管理WINS。 ? SYN Flood SYN Flood(同步)溢出 类型:拒绝服务攻击 控制台名:SYN(同步)溢出 技术描述:一个TCP的会话是通过以下方式来建立的,源主机首先向目标主机发送一个SYN(同步)数据包,如果目标主机在一特定的端口(PORT)等待连接时,它会返回对应于同步数据包的响应数据包(SYN/ACK),源主机接收后再返回确认的响应数据包(ACK),这样会话连接建立。当目标主机向源主机返回响应数据包(SYN/ACK)时,目标主机会分配一定的内存以存储当前建立的会话连接的状态信息。这部分内存会一直占用着以等待接收源主机发送来的更多信息,除非最终的响应数据包(ACK)到达或连接超时。当向一台主机传送大量的SYN(同步)数据包时,目标主机必定会使用很多的内存专门用来处理打开的连接,而其它的合法连接就无法与这台主机建立了。如果主机检测到有大量的无相应响应的SYN(同步)数据包存在,它会采取如下纠错方式:主机首先向目标主机发送一重置(RST)数据包以初始化SYN(同步)数据包,随后目标主机就可以释放原本用来接收响应数据包的内存,腾出内存空间以接收其它合法的连接。 严重性:大多数系统会对激活的TCP连接有一预定义的限制设定,一旦TCP连接达到这一限制设定值,再有其它的连接就会被忽略。SYN(同步)溢出攻击方式就是企图使主机连接大批空闲的连接,而其它的连接无法连接上。 误判断:一些网络应用程序(例如PointCast更新或者是向一个非常“繁忙”的网页发出HTTP请求)应用时会触发这种机制,他们会在很短的时间内与主机建立大量的TCP会话。管理员可以在引擎控制窗口里调整SYN(同步)溢出的定义参数。 受影响系统:任何对激活的TCP连接有限制的网络设备。 采取措施:快速地重启受影响的机器以释放一些连接,并必须等到空的连接超时。实时监控可以关闭未激活的连接。配置实时监控里有关SYN(同步)溢出的Kill选项。实时监控会关闭可能造成机器SYN(同步)溢出的连接企图。 补救措施:更新操作系统的版本或者应用相应的补丁程序。现在许多操作系统具备通过试探的方法来关闭闲置的连接, 并将SYN(同步)溢出的连接请求阻挡在合法的连接之外。另外也可以通过增加连接缓存缺省值以达到目的。 ? Talk Flash Vulnerability Check Talk Flash Vulnerability Check 对话显示薄弱处检测 类型:拒绝服务攻击 控制台名:对话显示 技术描述:对话服务允许用户发起对话请求,并显示对话请求的任意字符串,如果这个字符串包括一特殊溢出序列,它可能通过毁坏用户屏幕的内容造成暂时拒绝服务攻击,这就是通常所知的"显示"一个用户。 影响:对话显示攻击针对宿主机的终端设置并将宿主机重置成二进制模式,造成系统无法从终端上使用,直到终端类型被重设置。 负影响:无 受影响的系统:带有对话服务的unix宿主机。 采取措施:重新设置目标系统的终端。 补救措施:终止对话服务 ? UDP Bomb UDP Bomb 类型:拒绝服务攻击 控制台名:UDPBomb 技术描述:一个UDP包被创建一个非法值在确定的域里将导致一些老的操作系统瘫痪,当包被 收到,如果目标机器瘫痪,它经常产生测试困难,绝大部分操作系统不脆弱,对这 问题将平静的抛弃无效的包,对任意的攻击不留任何痕迹。 严重性:攻击将导致SunOS系统瘫痪。 误判断:无 采取措施:查一查,如果目标已经瘫痪,如果你的SunOS主机脆弱,对于这种攻击,你将不得 不重启机器。 修补方法:升级SunOS版本到4.1.3a1以后的版本。 ? TearDrop Fragmentation 攻击 TearDrop Fragmentation 攻击 类型:拒绝服务攻击 控制台名:TearDrop 技术描述:这检查确认用IP包碎片使系统瘫痪的攻击。这种攻击将使脆弱系统瘫痪(蓝屏)或 失去连接。这种攻击被称为“TearDrop”或“NewTear”,“Nestea”,“SynDrop”和 “Bonk”。RealSecure 可探测出所有已知变形。 严重性:这种攻击会使客户机瘫痪。 误判断:无 受影响系统:Windows NT, Windows 95, Linux。 改正包:Microsoft 已开发出针对Windows NT4.0,Windows NT 3.5和Windows 95修正包。 请参考 Knowledge Base article Q179129.(Windows NT) http://support.microsoft.com/support/kb/articles/q179/1/29.asp. Windows 95 with Winsock 1.x: http://support.microsoft.com/download/support/mslfiles/Vipup11.exe. ftp://ftp.microsoft.com/solfiles/vipup11.exe Windows 95 with Winsock 2.x: www.microsoft.com/windows95/info/ws2.htm Windows NT 4.0: ftp://microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixespostSP3/ teardrop2-fix/ Windows NT 3.5.1 ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/hotfixes-postSP5/ teardrop2-fix/ LINUX bugtrak information: http://www.netspacelorg/dgi-bin/wa?A2=ind9711B&L-bugtra1&D-&H=&T=&O=&F= &P=6191 ? ***Win IGMP 类型: 拒绝服务攻击 控制台名: Win_IGMP_DOS 技术描述: 针对Windows 98和Windows 2000的拒绝服务攻击,当恶意的用户发送一个变形的IGMP包时出现。 严重性: 导致蓝屏或系统重启等问题。 ? Windows Out of Band (OOB) Vulnerability Check Windows Out of Band (OOB) Vulnerability Check 类型:拒绝服务攻击 控制台名:Windows_OOB 技术描述:这种检测将确认一个OOB拒绝服务攻击。这种攻击回造成机器瘫痪(蓝屏)或者在脆弱系统上会造成网络失去连接。这种又称为“WinNuke”的攻击有2个危害,一级WinNuke 和第二次攻击(WinNuke2)或Mac WinNuke。两种攻击都可被这种检测所确认。 严重性:这种攻击可造成机器瘫痪。 误判断:无 受影响系统:安装Service Pack 2 或3但没装 hotfix 的Windows NT 4.0。没有安装hotfix的Windows 95 。 采取措施:检查目标是否瘫痪。如果你的系统禁不住攻击,你将不得不重启。 修补方法:对Windows NT 4.0,安装Service Pack3和hotfix: ftp://ftp.microsoft.com/bussys/winnt/winnt- public/fixs/usa/nt40/hptfixes- postSP3/oob-fix. 对Windows NT 3.51,安装hotfix: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt351/hotfixes- postSP5/oob-fix. 对于Windows 95,安装hotfix: http://www.microsoft.com/kb/articles/q168/7/47.htm. |
| Copyright By「黑白网络工作室」2002 All Rights Reserve |