什么是网络层DoS攻击

什么是 网络层DoS攻击
IP碎片攻击(IP fragment attack)是常见的网络层DoS。当IP数据包的长度大于数据链路层的MTU(maxmium transmission unit,最大传输单元)时,需要对IP数据包进行分片操作。在IP头部有三个字段用于控制IP数据包的分片(如图2),其中标识(identification)用来指明分片从属的IP数据包;标志(flag)用来控制是否对IP数据包进行分片和该分片是否是最后分片;分片偏移(Fragment offset)指明该分片在原数据包中的位置,以8Byte为基本单位。若该字段的值为100,则表示该分片中数据处于原IP数据包的800Byte之后。
      
IP碎片攻击利用了IP分片重组中的漏洞;所有IP分片长度之和可以大于最大IP数据包长度(65535Byte)。通常,TCP/IP协议栈接受到正常IP分片时,会按照分片的偏移字段的值为该IP数据包预留缓冲区。当收到拥有恶意分片偏移字段值的IP分片时,TCP/IP则会为该IP数据包预留超常缓冲区。如果TCP/IP协议接收到大量的恶意IP分片,就会导致缓冲区溢出,使主机宕机,合法 服务请求被拒绝。使用ICMP ECHO REQUEST的IP碎片攻击被称为死亡之PING(death of ping),因为ICMP ECHO REQUEST 经常由Ping程序产生。
                                                                分片字段
Identification
Flags
Fragment offset
ICMP flooding 是另外一种网络层的DoS。它是通过向攻击主机发送大量的ICMP ECHO REQUEST数据包,导致大量资源被用于ICMP ECHO REPLY ,合法服务请求被拒绝。还有一种ICMP flooding ,使用目的地址为直接广播地址(directed broadcast,如202.103.245.255/24)的IP数据包,不仅占用网络的带宽资源,通过使用虚假IP地址,可以发动对特定主机的攻击。

IP碎片攻击防范
安全实体策略:在网络边界和路由(防火墙)上禁止IP碎片通过或者设定突发碎片包上限,但如果 设置不当这可能会使正常的数据通信不能完成。主机实体策略就是为操作 系统打上补丁,也可以修补IP分片重组漏洞。

我们可以参考海蜘蛛路由上推荐的这个值2000-3000包/秒来设置突发碎片包上限,这里不可设置太低,否则可能会影响正常通信。
ICMP flooding防范
禁止ICMP ECHO REQUEST通过路由器(禁PING)或者限制突发ICMP包上限。

禁PING的话有时可能造成网络排错困难。
转自: http://bbs.cfan.com.cn/redirect.php?tid=844407&goto=lastpost

DOS攻击(denial-of-service)与防范相关推荐

  1. DOS攻击与网络溯源技术

    1.DoS攻击 DoS攻击(Denial of Service,拒绝服务攻击)通过消耗计算机的某种资源,例如计算资源.网络连接等,造成资源耗尽,导致服务端无法为合法用户提供服务或只能提供降级服务.在S ...

  2. DOS攻击之详解--转载

    源地址没有找到,间接引用地址:http://wushank.blog.51cto.com/3489095/1156004 DoS到底是什么?接触PC机较早的同志会直接想到微软磁盘操作系统的DOS--D ...

  3. TCP协议三次握手连接四次握手断开和DOS攻击

    转载: http://hi.baidu.com/xgdcisco/blog/item/60da65f70fd8145d342acc28.html: http://blog.csdn.net/losty ...

  4. FPL 2017最佳论文:如何对FPGA云发动DoS攻击?

    第27届现场可编程逻辑与应用国际会议(The International Conference on Field-Programmable Logic and Applications,FPL)九月份 ...

  5. python实现dos攻击_dos攻击原理及攻击实例

    DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络带宽攻击和连通性攻击. Do ...

  6. 对比DoS攻击与DDoS攻击

    DoS攻击概述 DoS是 Denial of Service 的简称,即拒绝服务,造成拒绝服务的攻击行为被称为DoS攻击. 拒绝服务攻击是指一个用户占据了大量资源的共享资源,使系统没有剩余的资源给其他 ...

  7. DOS、DOS攻击、DDOS攻击、DRDOS攻击

    DOS:中文名字是拒绝服务,一切引起DOS行为的攻击被称为DOS攻击.该攻击的效果是使得计算机或者网络无法提供正常的服务.常见的DOS攻击有针对计算机网络带宽和连通性的攻击.DOS是单机与单机之间的攻 ...

  8. DOS攻击和DDOS攻击之间有什么区别?

    在网络安全体系中,虽然DDOS攻击和DOS攻击是比较常见的网络攻击方式,但是依然有很多人还傻傻分不清楚,什么是"DDOS攻击".什么是"DOS攻击",那么DOS ...

  9. DOS攻击、DDOS攻击到底是啥

    一.DOS攻击 DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络宽带攻击和连 ...

最新文章

  1. android听书功能实现,基于Android的喜马拉雅听书的实现.docx
  2. Python 开源项目大集合,跨 15 个领域,181 个项目
  3. libcurl网络连接使用tcp/ip
  4. jBPM4.4:分配任务的几种方式
  5. 抖音测试心理是什么软件,实用心理测试大全抖音版-抖音实用心理测试大全小游戏官方版预约 v1.0-友情手机站...
  6. H3C SecPath防火墙GRE+IPSEC+OSPF典型配置举例
  7. 转载-项目经理与部门经理之间的关系
  8. uboot更改gpio电平_ECBM系列教程4:单片机的手和脚——GPIO
  9. Angular项目构建指南 - 不再为angular构建而犹豫不决(转)
  10. 你被大数据“杀熟”过吗?怎么解决的?丨Q言Q语
  11. 聊飞行 | 飞机到底是如何起飞的?
  12. 偶然翻开旧日记本,发现了好多的情诗(三)!!!!
  13. AngularJS 实现页面滚动到底自动加载数据的功能
  14. Java面试题,成员变量以及成员方法的调用,类和对象的关系,程序详细流程,类和对象栈堆的详细解答
  15. blob 在线解码_roon、NAS图文全攻略 | 试听欧博旗舰RDS1电池数字界面转盘+旗舰RDB1电池解码器(三)。...
  16. pe中怎么卸载服务器系统更新,方法四: 使用专用工具卸载系统更新补丁(和方法三类同...
  17. 推荐一大波让你直呼哇塞的Canvas库
  18. Crazy bubbles
  19. 创业生活经历:我的非洲回忆录
  20. 山寨版的《KingdomRush(皇城突袭)》

热门文章

  1. APP开发绿行租车项目
  2. Unity 角色控制器重复使用Ragdoll布娃娃系统,动画控制和布娃娃状态切换
  3. Spring下载(超详细)
  4. linux挂载硬盘无权限(permission denied)
  5. Incompatible types for sink column报错解决
  6. 超高效Macbook设置,这些你一定要知道
  7. unsigned long int
  8. Nginx代理服务器缓存清理模块purge
  9. iOS开发入门——模拟器方向判断及基本功能
  10. 文件共享服务器(CIFS)