DoS攻击软件连连看(2)
2006-04-04 20:31:33 来源:WEB开发网Land攻击
1.原理
Land攻击是由著名的黑客组织RootShell发现的,于1997年11月20日公布的,原理比较简单,就是利用TCP连接三握手中的缺陷,向目标主机发送源地址与目标地址一样的数据包,造成目标主机解析Land包占用太多的资源,从而使网络功能完全瘫痪。具体说应该是,Land攻击打造一个特别的SYN包,其源地址和目标地址被设置成同一个计算机的地址,这时将导致该计算机向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每个这样的连接都将保留直到超时。
2.攻击
Land攻击对Windows 95很有效,但实际上,很多基于BSD的操作系统都有这个漏洞。不同的操作系统对Land攻击反应不同,很多Unix将崩溃,而Windows NT会变得非常缓慢,而且对Linux,路由器,其它大量的Unix都具有相当的攻击力。这里提供Land程序的源代码(请见光盘)。
3.防御
打最新的相关的安全补丁,在防火墙上进行配置,将那些在外部接口上进入的含有内部源地址的包过滤掉,包括10域,127域,192.168域,172.16到172.31域。由于Land攻击主要是构造IP包,使源IP和目标IP相同,源端口和目的端口相同,所以如果使用Tcpdump,可记录到攻击特征为:
23:45:13 815705 192.168.0.111 23>192.168.0.111 23:S 3868:3868(0) Windows 2048
泪滴——Teardrop攻击
1.原理
Teardrop攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的那一段的信息,某些TCP/IP在收到含有重叠偏移的伪造分段时将崩溃。具体的讲是这样的,物理层通常给所能传输的帧加上一个尺寸上限,IP层将数据报的大小与物理层帧的上限相比较,如果需要就进行分段。在IP报头中设置了一些域用于分段:标志域为发送者传输的每一个报文保留一个独立的值,这个特定的值被拷贝到每个特定报文的每个分段,标志域中有一位作为“更多分段”位,除了最后一段之外,该位在组成一个数据报的所有分段中被置位;分段偏移域含有该分段自初始数据报开始位置的位移。对于存在Teardrop漏洞的操作系统,如果接受到畸形数据分段,则在某些情况下会破坏整个IP协议栈,因此,必须重启计算机才能恢复。
更多精彩
赞助商链接