DOS攻击(denial-of-service)与防范
什么是网络层DoS攻击
IP碎片攻击(IP fragment attack)是常见的网络层DoS。当IP数据包的长度大于数据链路层的MTU(maxmium transmission unit,最大传输单元)时,需要对IP数据包进行分片操作。在IP头部有三个字段用于控制IP数据包的分片(如图2),其中标识(identification)用来指明分片从属的IP数据包;标志(flag)用来控制是否对IP数据包进行分片和该分片是否是最后分片;分片偏移(Fragment offset)指明该分片在原数据包中的位置,以8Byte为基本单位。若该字段的值为100,则表示该分片中数据处于原IP数据包的800Byte之后。
IP碎片攻击利用了IP分片重组中的漏洞;所有IP分片长度之和可以大于最大IP数据包长度(65535Byte)。通常,TCP/IP协议栈接受到正常IP分片时,会按照分片的偏移字段的值为该IP数据包预留缓冲区。当收到拥有恶意分片偏移字段值的IP分片时,TCP/IP则会为该IP数据包预留超常缓冲区。如果TCP/IP协议接收到大量的恶意IP分片,就会导致缓冲区溢出,使主机宕机,合法 服务请求被拒绝。使用ICMP ECHO REQUEST的IP碎片攻击被称为死亡之PING(death of ping),因为ICMP ECHO REQUEST 经常由Ping程序产生。
分片字段
Identification
Flags
Fragment offset
ICMP flooding 是另外一种网络层的DoS。它是通过向攻击主机发送大量的ICMP ECHO REQUEST数据包,导致大量资源被用于ICMP ECHO REPLY ,合法服务请求被拒绝。还有一种ICMP flooding ,使用目的地址为直接广播地址(directed broadcast,如202.103.245.255/24)的IP数据包,不仅占用网络的带宽资源,通过使用虚假IP地址,可以发动对特定主机的攻击。
![](http://img701.photo.wangyou.com/2008/08/26/1844806/20080826093635_0_2.jpg)
IP碎片攻击防范
安全实体策略:在网络边界和路由(防火墙)上禁止IP碎片通过或者设定突发碎片包上限,但如果 设置不当这可能会使正常的数据通信不能完成。主机实体策略就是为操作 系统打上补丁,也可以修补IP分片重组漏洞。
![](http://img701.photo.wangyou.com/2008/08/26/1844806/20080826110404_0_2.jpg)
我们可以参考海蜘蛛路由上推荐的这个值2000-3000包/秒来设置突发碎片包上限,这里不可设置太低,否则可能会影响正常通信。
ICMP flooding防范
禁止ICMP ECHO REQUEST通过路由器(禁PING)或者限制突发ICMP包上限。
![](http://img701.photo.wangyou.com/2008/08/26/1844806/20080826111330_0_2.jpg)
禁PING的话有时可能造成网络排错困难。
DOS攻击(denial-of-service)与防范相关推荐
- DOS攻击与网络溯源技术
1.DoS攻击 DoS攻击(Denial of Service,拒绝服务攻击)通过消耗计算机的某种资源,例如计算资源.网络连接等,造成资源耗尽,导致服务端无法为合法用户提供服务或只能提供降级服务.在S ...
- DOS攻击之详解--转载
源地址没有找到,间接引用地址:http://wushank.blog.51cto.com/3489095/1156004 DoS到底是什么?接触PC机较早的同志会直接想到微软磁盘操作系统的DOS--D ...
- TCP协议三次握手连接四次握手断开和DOS攻击
转载: http://hi.baidu.com/xgdcisco/blog/item/60da65f70fd8145d342acc28.html: http://blog.csdn.net/losty ...
- FPL 2017最佳论文:如何对FPGA云发动DoS攻击?
第27届现场可编程逻辑与应用国际会议(The International Conference on Field-Programmable Logic and Applications,FPL)九月份 ...
- python实现dos攻击_dos攻击原理及攻击实例
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络带宽攻击和连通性攻击. Do ...
- 对比DoS攻击与DDoS攻击
DoS攻击概述 DoS是 Denial of Service 的简称,即拒绝服务,造成拒绝服务的攻击行为被称为DoS攻击. 拒绝服务攻击是指一个用户占据了大量资源的共享资源,使系统没有剩余的资源给其他 ...
- DOS、DOS攻击、DDOS攻击、DRDOS攻击
DOS:中文名字是拒绝服务,一切引起DOS行为的攻击被称为DOS攻击.该攻击的效果是使得计算机或者网络无法提供正常的服务.常见的DOS攻击有针对计算机网络带宽和连通性的攻击.DOS是单机与单机之间的攻 ...
- DOS攻击和DDOS攻击之间有什么区别?
在网络安全体系中,虽然DDOS攻击和DOS攻击是比较常见的网络攻击方式,但是依然有很多人还傻傻分不清楚,什么是"DDOS攻击".什么是"DOS攻击",那么DOS ...
- DOS攻击、DDOS攻击到底是啥
一.DOS攻击 DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络宽带攻击和连 ...
最新文章
- android听书功能实现,基于Android的喜马拉雅听书的实现.docx
- Python 开源项目大集合,跨 15 个领域,181 个项目
- libcurl网络连接使用tcp/ip
- jBPM4.4:分配任务的几种方式
- 抖音测试心理是什么软件,实用心理测试大全抖音版-抖音实用心理测试大全小游戏官方版预约 v1.0-友情手机站...
- H3C SecPath防火墙GRE+IPSEC+OSPF典型配置举例
- 转载-项目经理与部门经理之间的关系
- uboot更改gpio电平_ECBM系列教程4:单片机的手和脚——GPIO
- Angular项目构建指南 - 不再为angular构建而犹豫不决(转)
- 你被大数据“杀熟”过吗?怎么解决的?丨Q言Q语
- 聊飞行 | 飞机到底是如何起飞的?
- 偶然翻开旧日记本,发现了好多的情诗(三)!!!!
- AngularJS 实现页面滚动到底自动加载数据的功能
- Java面试题,成员变量以及成员方法的调用,类和对象的关系,程序详细流程,类和对象栈堆的详细解答
- blob 在线解码_roon、NAS图文全攻略 | 试听欧博旗舰RDS1电池数字界面转盘+旗舰RDB1电池解码器(三)。...
- pe中怎么卸载服务器系统更新,方法四: 使用专用工具卸载系统更新补丁(和方法三类同...
- 推荐一大波让你直呼哇塞的Canvas库
- Crazy bubbles
- 创业生活经历:我的非洲回忆录
- 山寨版的《KingdomRush(皇城突袭)》