常见的几种拒绝服务攻击介绍以及防御办法

受影响系统:所有安装了IIS ExAir样本页面的系统。

采取措施: 检查系统中是否有IIS ExAir样本站点。

修补方法:去掉IIS ExAir样本站点(参见Windows NT Option Pack 4 Setup for details).

? Land Denial Of Service Attacks
Land Denial Of Service Attacks 登录拒绝服务攻击

类型:拒绝服务攻击

控制台名:Land

技术描述:登录攻击, 以使用的那个名字命名，一个为何对TCP SYN信息包的攻击是通过发送具有哄骗性的资源IP地址和端口号码，呀它与目的IP地址和端口相匹配。这导致了某些TCP执行进入机器的死循环。

严重性:这个攻击能损坏目标系统或消耗在没有其他活动发生的目标点的CPU资源。

错误性:没有。这个信号经常暗示着恶意的企图。

系统影响: A大量UNIX和非UNIX系统。检测你的客户的详细信息。

使用:为防止即将到来的包括同资源地址一样的组织的IP地址信息包设置你的INTERNET路线或防火墙

消除弱点：升级你的操作系统。 

? *** Land UDP
Land UDP 登录用户数据报协议

类型: 拒绝服务攻击

控制台名: Land_UDP

技术描述: Windows NT 4.0 到 SP4 有一个弱点允许仅有极少资源的远端攻击者消耗所有系统进程和网络带宽达相当长的时间。攻击引起数据包风暴就象smurf和fraggle攻击 并且还象snork攻击。

严重性:攻击能摧毁目标系统或消耗其的CPU资源使之不能进行其它活动。

误判断: 无。这个信号经常预示着恶意的企图。

受影响系统:Windows NT 4.0

采取措施: 这个问题已在Windows NT 4.0 Service Pack 4(SP4)中得到修补，同时还进行了其它几个问题的修补。如果用户不想安装SP4可以得到和使用Snk-fix post-SP3热修补。

? Ping Flooding
Ping Flooding

类型: 拒绝服务攻击

控制台名:PingFlood

技术描述:PingFlood是一种企图向网络上发大量的ICMP Echo的请求包，要求被请求主机回应，连续的请求和回应将堵塞网络，使正常的业务通讯变得异常缓慢，甚至中断连接。

严重性:这种攻击可以有效的利用大量的PING充满网络带宽，禁止正常的网络连接。

误判断:一些系统管理工具（如SNMP工具和ISS网络扫描软件）使用ICMP再网络上查找地址时可能会引起这种警告。

受影响系统:所有的TCP/IP系统。

采取措施:发出PING请求的源地址有可能是虚假的地址，所以必须找出它的真实地址，并禁止它。（ISS建议可通过移动实时监控引擎的网段，一级一级地查找源地址。）

修补方法:最好的解决方法是重新设置周边路由器和防火墙，禁止ICMP请求进入内网段。（但这不能防止内部的攻击。）

? Ping Of Death
Ping Of Death

类型:拒绝服务攻击

控制台名:PingOfDeath

技术描述:通过在ICMP Echo请求包（ping）中附加大量的信息，攻击者可使试图回应的目标主机的内核内存溢出，使系统瘫痪。

严重性:这种攻击可使主机瘫痪。

误判断:有些情况下，如使用包含大量数据（大于4000字符）的ping包测试系统强度，会触发这种事件。如果有人向一台对此种攻击免疫的主机发出Ping Of Death攻击后，主机也将回应Ping Of Death攻击，两者都将触发事件，但前者说明是一种恶意攻击企图。备注：Ping Of Death检测不仅仅针对ICMP协议，它是基于IP协议的检测。

受影响系统:Digital Unix 4.0a以下版本，digital Ultrix 4.5以下版本，FreeBSD 2.15以下版本，HPUX 10.20以下版本，AIX 4.2以下版本，Linux 2.0.17以下版本，OSF/1 R1.3.2以下版本，SCO Unix 系统 V/386 Release 3.2 Version 4.2以下版本，Solaris 2.5.1以下版本。联系您的软件提供商以获取更多的信息。

采取措施:设置通向Internet的路由器和防火墙，禁止从Internet传入ICMP echo请求。

修补方法:升级操作系统。

? Rwhod Vulnerability Check
Rwhod Vulnerability Check

类型:拒绝服务攻击

控制台名:Rwhod_Overflow

技术描述:该检测侦察包含缓冲溢出的非法UDP包，该手段常被黑客用来执行对rwho服务的拒绝服务，并试图在远程机执行arbitrary code。

严重性:击垮目标系统上rwho daemon。管理员无法发现正在登录目标服务器的攻击者。

误判断:无。

受影响系统:所有UNIX系统。

采取措施:重新启动rwho进程，或选择放弃。Rwho并不是关键性的服务，许多管理员不启用它。

修补方法:Disable rwho服务。

? SMURF Denial Of Service Attacks
SMURF Denial Of Service Attacks拒绝服务攻击

类型:拒绝服务攻击

控制台名:smurf

技术描述:当子网上的每个主机响应同一个ping的请求时,每个ICMP(ping)请求打包的IP广播地址能造成大量的回应,这些大量的回应能消耗掉所有网络带宽,特别当数据添加到ping请求时。在攻击期间这能阻止合法通信的传送。这种攻击较多的被用于防御第三方,在攻击者伪装目标源地址的地方使用smurf攻击抵御不同的目标。在端点上,这种攻击能使两目标同时中断能力,注意:运行Windows NT和 Windows 95系统对广播ping无响应,然而,这并不意味着所有微软网络对SMURF攻击是无防御能力。

影响:在攻击期间合法的通信将停止传送。

误判断:大量合法的ping包在同一时间里也能触发这一信号,如当管理员发送ping命令给子网广播地址(指有时操纵APR绶冲器或检测某台主机)。当额外数据添加到ping请求时,都将是可疑行径和恶意企图。

受影响系统:大部分TCP/IP实现。卖主可提供更详细信息。

处理:网络管理员可查看是否有人传送广播ping,检测传送包是否有额外数据被添加到ping请求。(你需要通过记录下原始数据日志来决定)

补救措施:重新配置网络上周围的路由或防火墙可阻止ICMP请求进入你的内部网络,防止有人在你的网络上使用SMURF攻击另一个目标。而且重新配置还可阻止ICMP应答入侵你的网络,防止SMURF攻击你内部网络上的主机。然而,内部SMURF攻击将不会停止。

? SNMP Delete WINS Database 攻击
SNMP Delete WINS Database 攻击

SNMP删除WINS数据库攻击

类型:拒绝服务攻击。

控制台:SNMP_Delete_WINS

技术描述:通过一个文件化MIB变量,一个SNMP SET命令可远程删除Windows NT服务器上的WINS(Windows Internet Naming Service)数据库的所有内容。

影响:此攻击能清除掉WINS数据库,造成在网上通过名字来相互定位的困难。这可能是扮演攻击的前奏。由于SNMP较差的安全性,任何人都可发出这种攻击的通信指令。 

误判断:无

受影响系统:Windows NT服务器上运行WINS服务及SNMP协议。

处理:检测WINS服务是否能在目标机器上正常运行。

补救措施:停止在目标服务器上SNMP服务,改用其它方法管理WINS。

? SYN Flood
SYN Flood（同步）溢出

类型:拒绝服务攻击

控制台名:SYN（同步）溢出

技术描述:一个TCP的会话是通过以下方式来建立的，源主机首先向目标主机发送一个SYN（同步）数据包，如果目标主机在一特定的端口（PORT）等待连接时，它会返回对应于同步数据包的响应数据包（SYN/ACK），源主机接收后再返回确认的响应数据包（ACK），这样会话连接建立。当目标主机向源主机返回响应数据包（SYN/ACK）时，目标主机会分配一定的内存以存储当前建立的会话连接的状态信息。这部分内存会一直占用着以等待接收源主机发送来的更多信息，除非最终的响应数据包（ACK）到达或连接超时。当向一台主机传送大量的SYN（同步）数据包时，目标主机必定会使用很多的内存专门用来处理打开的连接，而其它的合法连接就无法与这台主机建立了。如果主机检测到有大量的无相应响应的SYN（同步）数据包存在，它会采取如下纠错方式：主机首先向目标主机发送一重置（RST）数据包以初始化SYN（同步）数据包，随后目标主机就可以释放原本用来接收响应数据包的内存，腾出内存空间以接收其它合法的连接。

严重性:大多数系统会对激活的TCP连接有一预定义的限制设定，一旦TCP连接达到这一限制设定值，再有其它的连接就会被忽略。SYN（同步）溢出攻击方式就是企图使主机连接大批空闲的连接，而其它的连接无法连接上。

误判断:一些网络应用程序（例如PointCast更新或者是向一个非常“繁忙”的网页发出HTTP请求）应用时会触发这种机制，他们会在很短的时间内与主机建立大量的TCP会话。管理员可以在引擎控制窗口里调整SYN（同步）溢出的定义参数。

受影响系统:任何对激活的TCP连接有限制的网络设备。

采取措施:快速地重启受影响的机器以释放一些连接，并必须等到空的连接超时。实时监控可以关闭未激活的连接。配置实时监控里有关SYN（同步）溢出的Kill选项。实时监控会关闭可能造成机器SYN（同步）溢出的连接企图。

补救措施:更新操作系统的版本或者应用相应的补丁程序。现在许多操作系统具备通过试探的方法来关闭闲置的连接， 并将SYN（同步）溢出的连接请求阻挡在合法的连接之外。另外也可以通过增加连接缓存缺省值以达到目的。

? Talk Flash Vulnerability Check
Talk Flash Vulnerability Check 对话显示薄弱处检测

类型:拒绝服务攻击

控制台名:对话显示

技术描述:对话服务允许用户发起对话请求，并显示对话请求的任意字符串，如果这个字符串包括一特殊溢出序列，它可能通过毁坏用户屏幕的内容造成暂时拒绝服务攻击，这就是通常所知的"显示"一个用户。

影响:对话显示攻击针对宿主机的终端设置并将宿主机重置成二进制模式，造成系统无法从终端上使用，直到终端类型被重设置。

负影响:无

受影响的系统：带有对话服务的unix宿主机。

采取措施:重新设置目标系统的终端。

补救措施:终止对话服务



? UDP Bomb
UDP Bomb

类型:拒绝服务攻击

控制台名:UDPBomb

技术描述:一个UDP包被创建一个非法值在确定的域里将导致一些老的操作系统瘫痪，当包被

收到，如果目标机器瘫痪，它经常产生测试困难，绝大部分操作系统不脆弱，对这

问题将平静的抛弃无效的包，对任意的攻击不留任何痕迹。

严重性:攻击将导致SunOS系统瘫痪。

误判断:无

采取措施:查一查，如果目标已经瘫痪，如果你的SunOS主机脆弱，对于这种攻击，你将不得

不重启机器。

修补方法:升级SunOS版本到4.1.3a1以后的版本。



? TearDrop Fragmentation 攻击
TearDrop Fragmentation 攻击 

类型:拒绝服务攻击

控制台名:TearDrop

技术描述:这检查确认用IP包碎片使系统瘫痪的攻击。这种攻击将使脆弱系统瘫痪（蓝屏）或

失去连接。这种攻击被称为“TearDrop”或“NewTear”，“Nestea”，“SynDrop”和

“Bonk”。RealSecure 可探测出所有已知变形。

严重性:这种攻击会使客户机瘫痪。

误判断:无

受影响系统:Windows NT, Windows 95, Linux。

改正包：Microsoft 已开发出针对Windows NT4.0,Windows NT 3.5和Windows 95修正包。

请参考 Knowledge Base article Q179129.(Windows NT)

http://support.microsoft.com/support/kb/articles/q179/1/29.asp.

Windows 95 with Winsock 1.x:

http://support.microsoft.com/download/support/mslfiles/Vipup11.exe.

ftp://ftp.microsoft.com/solfiles/vipup11.exe

Windows 95 with Winsock 2.x:

www.microsoft.com/windows95/info/ws2.htm

Windows NT 4.0:

ftp://microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixespostSP3/

teardrop2-fix/

Windows NT 3.5.1

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/hotfixes-postSP5/

teardrop2-fix/

LINUX bugtrak information:

http://www.netspacelorg/dgi-bin/wa?A2=ind9711B&L-bugtra1&D-&H=&T=&O=&F=

&P=6191

上一页  [1] [2] [3]  下一页