病毒网络攻击基础知识(5)

病毒网络攻击基础知识(5)九、防范Syn Flood攻击 SYN Food攻击是利用特殊的程序，设置TCP的Header，向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。如果你的SYN请求超过了服务器能容纳的限度，缓冲区队列满，那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。此时，服务器已经无法再提供正常的服务了，所以SYN Food攻击是拒绝服务攻击。对于SYN Flood攻击，目前尚没有很好的监测和防御方法，不过如果系统管理员熟悉攻击方法和系统架构，通过一系列的设定，也能从一定程度上降低被攻击系统的负荷，减轻负面的影响。 对于Windows系统而言，它的SYN攻击保护机制可以这样考虑：正常情况下，OS对TCP连接的一些重要参数有一个常规的设置：SYN Timeout时间、SYN-ACK的重试次数、SYN报文从路由器到系统再到Winsock的延时等等。这个常规设置针对系统优化，可以给用户提供方便快捷的服务；一旦服务器受到攻击，SYN Half link 的数量超过系统中TCP活动Half Connction最大连接数的设置，系统将会认为自己受到了SYN Flood攻击，并将根据攻击的判断情况作出反应：减短SYN Timeout时间、减少SYN-ACK的重试次数、自动对缓冲区中的报文进行延时等等措施，力图将攻击危害减到最低。如果攻击继续，超过了系统允许的最大Half Connection值，系统已经不能提供正常的服务了，为了保证系统不崩溃，可以将任何超出最大Half Connection 值范围的SYN报文随机丢弃，保证系统的稳定性。十、防范UDP Flood攻击 UDP Flood攻击是导致基于主机的服务拒绝攻击的一种。UDP 是一种无连接的协议，而且它不需要用任何程序建立连接来传输数据。当攻击者随机地向受害系统的端口发送UDP数据包的时候，就可能发生了UDP Flood攻击。当受害系统接收到一个UDP数据包的时候，它会确定目的端口正在等待中的应用程序。当它发现该端口中并不存在正在等待的应用程序，它就会产生一个目的地址无法连接的ICMP数据包发送给该伪造的源地址。如果向受害者计算机端口发送了足够多的UDP数据包的时候，整个系统就会瘫痪。在网络的关键之处使用防火墙对来源不明的有害数据进行过滤可以有效减轻 UDP Flood攻击。此外，在用户的网络中还应采取如下的措施：（一）禁用或过滤监控和响应服务。（二）禁用或过滤其它的 UDP 服务。（三）如果用户必须提供一些 UDP 服务的外部访问，那么需要使用代理机制来保护那种服务，使它不会被滥用。（四）对用户的网络进行监控以了解哪些系统在使用这些服务，并对滥用的迹象进行监控。（五）对于一些小型的服务器,可以直接用防火墙添加规则的方法屏蔽掉。十一、防范Land攻击 Land攻击发生的条件是攻击者发送具有相同IP源地址、目标地址和TCP端口号的伪造TCP SYN数据包信息流。必须设置好SYN标记。其结果是该计算机系统将试图向自己发送响应信息，而受害系统将会受到干扰并会瘫痪或重启。最近的研究发现Windows XP SP2和 Windows 2003的系统对这种攻击的防范还是非常薄弱的。事实上，Sun 的操作系，BSD 和 Mac对这种攻击的防范都是非常薄弱的，所有这些系统都共享基于 TCP/IP 协议栈的BSD。 服务供应商可以在边缘路由器的进入端口上安装过滤器对所有入内数据包的IP源地址进行检查，这样就可以阻止发生在会聚点后的LAND攻击。如果该源地址的前缀在预先规定的范围之内，则该数据包被转发，否则被丢弃。十二、防范Smurf攻击 Smurf攻击是利用Ping程序中使用的ICMP协议。攻击者首先制造出源地址是受攻击主机的IP地址的包；然后攻击者将这些包发送给不知情的第三方，使它们成为帮凶；如果攻击者发送足够的ICMP包，回应会超过受攻主机的承受能力；因此，Smurf攻击实际上是一种IP欺骗式的攻击，将导致拒绝服务攻击的结果。十三、防范Fraggle攻击 Fraggle攻击与Smurf攻击类似，只是利用UDP协议；虽然标准的端口是7，但是大多数使用Fraggle攻击的程序允许你指定其它的端口。最好的防止系统受到Smurf和Fraggle攻击的方法是在防火墙上过滤掉ICMP报文，或者在服务器上禁止Ping，并且只在必要时才打开ping服务。十四、防范Ping of Death攻击 这种攻击通过发送大于65536字节的ICMP包使操作系统崩溃；通常不可能发送大于65536个字节的ICMP包，但可以把报文分割成片段，然后在目标主机上重组；最终会导致被攻击目标缓冲区溢出。防止系统受到Ping of Death攻击的方法与防范Smurf和Fraggle攻击是相同的，可以在防火墙上过滤掉ICMP报文，或者在服务器上禁止Ping，并且只在必要时才打开ping服务。十五、防范Tear Drop攻击 Teardrop泪滴攻击利用UDP包重组时重叠偏移（假设数据包中第二片IP包的偏移量小于第一片结束的位移，而且算上第二片IP包的Data，也未超过第一片的尾部，这就是重叠现象。）的漏洞对系统主机发动拒绝服务攻击，最终导致主机菪掉；对于Windows系统会导致蓝屏死机，并显示STOP 0x0000000A错误。检测这类攻击的方法是对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。反攻击的方法是添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。尽可能采用最新的操作系统，或者在防火墙上设置分段重组功能，由防火墙先接收到同一原包中的所有拆分数据包，然后完成重组工作，而不是直接转发。因为防火墙上可以设置当出现重叠字段时所采用的规则。十六、防范拒绝服务攻击 尽管目前没有哪个网络可以免受拒绝服务（DoS）攻击，但如果采取以下几项措施，能起到一定的预防作用。 1.确保所有服务器采用最新系统，并打上安全补丁。根据计算机紧急响应协调中心的发现，几乎每个受到DoS攻击的系统都没有及时打上补丁。 2.确保管理员对所有主机进行检查，而不仅针对关键主机。这是为了确保管理员知道每个主机系统在运行什么？谁在使用主机？哪些人可以访问主机？否则，即使黑客侵犯了系统，也很难查明。 3.确保从服务器相应的目录或文件数据库中删除未使用的服务，如FTP或NFS。 4.禁止内部网通过Modem连接至PSTN系统。否则，黑客能通过电话线发现未受保护的主机，立刻就能访问极为机密的数据。 5.禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp，使用加密的访问程序（如SSH）取代。SSH不会在网上以明文格式传送口令，而Telnet和Rlogin则正好相反，黑客能搜寻到这些口令，从而立即访问网络上的重要服务器。此外，若没有必要使用Rlogin登录，则最好在Unix上应该将.rhost和hosts.equiv文件删除，因为不用猜口令，这些文件就会提供登录访问。 6.限制在防火墙外的网络文件共享。否则的话会使黑客有机会截获系统文件，并以特洛伊木马替换它，文件传输功能无异将陷入瘫痪。 7.确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备，还应该包括网络边界、安全服务器区（SSN）及内部网部分。 8.应用防火墙系统，在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的，使DoS/DDoS攻击成功率很高，所以定要认真检查特权端口和非特权端口。 9.检查所有网络设备、主机和服务器系统的日志。只要日志出现漏洞或时间出现变更，几乎可以肯定：相关的主机安全受到了危胁。