返回
DoS攻击和SPI-firewall

DoS攻击和SPI-firewall

ID:40533858

大小:88.50 KB

页数:8页

时间:2019-08-04

DoS攻击和SPI-firewall_第1页
DoS攻击和SPI-firewall_第2页
DoS攻击和SPI-firewall_第3页
DoS攻击和SPI-firewall_第4页
DoS攻击和SPI-firewall_第5页
资源描述:

《DoS攻击和SPI-firewall》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、DoS攻击和SPIfirewall一.Dos攻击介绍及SPIfirewall的需求:所谓DoS,就是DenialofService,造成DoS的攻击行为被称为DoS攻击,其目的是破坏组织的正常运行,使计算机或网络无法提供正常的服务。典型的拒绝服务攻击DoS有两种形式:资源耗尽和资源过载。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他主机的正常请求。当一个对资源的合理请求大大超过资源的支付能力时就会造成拒绝服务攻击(例如,对已经满载的Web服务器进行过多的请求

2、)。传统的防火墙由于只能针对网络服务进行简单的防护处理,通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址(段)、目的地址(段)、TCP端口号(范围)等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。这样虽然对用户透明,传输性能高,但对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的DoS攻击手段,则无能为力。SPI状态防火墙则可以提供更为有效的安全控制方法,它可以根据系统连接的各种状态及流量等特征,对进出系统的数据包进行相应处理,达到保护的目的。对新建的应用连接,状态防火墙检查

3、预先设置的安全规则,允许符合规则的连接通过,并记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高。二.常见的几种攻击方式及SPIfirewall处理方法:1.LandAttackLand攻击是一种老式的拒绝服务攻击(DoS)。它利用TCP连接漏洞,攻击者不断地向被攻击的计算机发送具有IP源地址和IP目的地址

4、完全一样,TCP源端口和目的端口也完全一样的的伪造TCPSYN包,导致该计算机系统一直向自己发送SYN-ACK响应信息,结果这个地址又发回ACK消息并创建一个空连接,最后被攻击的计算机系统将会无法承受过多的流量而瘫痪或重启。测试方法:可以通过Sniffer构造源地址和目的地址相同,且均是被攻击主机的IP地址,TCP源端口和目的端口也相同的SYN包,将其发向被攻击主机。或者直接使用攻击软件LandAttack。使用sniffer构造数据包时需要注意修改checksum。解决方法:对所有进来的数据包的I

5、P源地址进行检查,利用IPfilter过滤限制源地址通讯。如果该源地址与目的地址相同,则该数据包被丢弃。iptables–AINPUT–sip-addr1–dip-addr1–ptcp--tcp-flagsSYN–source-portport1–destination-portport1–jDROP其中的IP地址和端口数值可以通过建立连接状态表,从中读取TCP连接跟踪信息的方法取得:如果系统有ip_conntrack模块,在系统由TCP连接时,可以在proc目录下看到文件:/proc/net/ip

6、_conntrack。该文件的内容格式如下:tcp6117SYN_SENTsrc=192.168.1.6dst=192.168.1.9sport=32775dport=22[UNREPLIED]src=192.168.1.9dst=192.168.1.6sport=22dport=32775首先显示的是协议,本次连接是tcp,接着是十进制的6(TCP的协议类型代码是6)。之后的117是这条conntrack记录的生存时间,它会有规律地被消耗,直到收到这个连接的更多的包。那时,此值就会被设为当时那个状

7、态的缺省超时值。接下来的是这个连接在当前时间点的状态。上面的例子说明这个包处在状态SYN_SENT。SYN_SENT说明我们正在观察的这个连接只是在一个方向发送了一TCPSYN包。再下面是源地址、目的地址、源端口和目的端口。其中UNREPLIED,说明这个连接还没有收到任何回应。最后是希望接收的应答包的信息,他们的地址和端口和前面是相反的。系统可以周期性的读取该文件,从中取出源/目的IP地址和端口,如果源IP地址和目的IP地址相同或者端口相同,则可以认为发生了LandAttack,使用上面的ipta

8、bles规则丢弃具有此IP或端口特征的数据包。注:ip_conntrack模块是内核选项,在编译时选上即可。2.RIP路由选择攻击(RIPRoutingAttacks)路由选择信息协议(RIP)攻击常见于使用了最初RIP协议的路由器中。路由选择信息协议(RIP)用于在网络中发布路由选择信息,如最短路径,并从本地网络向外广播路径。RIP没有内置的验证机制,RIP数据包中所提供的信息通常未经检验就已经被使用。攻击者可以伪造RIP数据包,宣称其主机“X”拥有最快的连接网络外

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。