DoS(拒绝服务攻击):通过使你的服务计算机崩溃或把它压跨来阻止你提供服务。简单的来说,就是让你的计算机提供可能多的服务从而使你的计算机陷入崩溃的边缘或崩溃。一般服务拒绝攻击有如下的一些常用的手法:
1.死亡之ping
利用许多TCP/IP实现相信ICMP包是正确组织的而且它们对这些包进行的错误校验太少的事实。通过产生畸形的、声称自己的尺寸超出可能的上限的ICMP应答请求包来传播。包的最大尺寸是65535字节,声称其尺寸大雨65500字节的包由于内存分配错误,TCP/IP实现将崩溃。
解决办法:正确的配置操作系统与防火墙,阻断ICMP以及任何未知协议,都可以防止此类攻击。
2.泪滴(teardrop)
泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击,也就是某些TCP/IP实现中分段重新组装进程中存在的潜在弱点被人利用。
解决办法:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
3.UDP洪水(UDP flood)
利用简单的TCP/IP服务,如CHARGEN和ECHO来传送毫无用处的占满带宽的无用数据。
解决办法:关掉不必要的TCP/IP服务,还有就是对防火墙进行配置,阻断来自Internet的请求这些服务的UDP请求。
4.SYN洪水(SYN flood)
利用TCP连接机制的攻击。
解决办法:在防火墙上过滤来自同一主机的后续连接,当然还要根据实际的情况来判断。
5.Land攻击
利用Land攻击时,一个特别的SYN包它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,
解决办法:打最新的补丁。
更多内容请看PCdog.com--DoS 拒绝服务攻击、DoS 防范相关应用技术专题
