『转帖』[技术]DOS的攻击手法和解决办法

opaque

[技术]DOS的攻击手法和解决办法
DoS（拒绝服务攻击）：通过使你的服务计算机崩溃或把它压跨来阻止你提供服务。简单的来说，就是让你的计算机提供可能多的服务从而使你的计算机陷入崩溃的边缘或崩溃。一般服务拒绝攻击有如下的一些常用的手法：
1.死亡之ping 利用许多TCP/IP实现相信ICMP包是正确组织的而且它们对这些包进行的错误校验太少的事实。通过产生畸形的、声称自己的尺寸超出可能的上限的ICMP应答请求包来传播。包的最大尺寸是65535字节，声称其尺寸大雨65500字节的包由于内存分配错误，TCP/IP实现将崩溃。 解决办法：正确的配置操作系统与防火墙，阻断ICMP以及任何未知协议，都可以防止此类攻击。

2.泪滴（teardrop） 泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击，也就是某些TCP/IP实现中分段重新组装进程中存在的潜在弱点被人利用。 解决办法：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。

3.UDP洪水（UDP flood） 利用简单的TCP/IP服务，如CHARGEN和ECHO来传送毫无用处的占满带宽的无用数据。 解决办法：关掉不必要的TCP/IP服务，还有就是对防火墙进行配置，阻断来自Internet的请求这些服务的UDP请求。

4.SYN洪水（SYN flood） 利用TCP连接机制的攻击。 解决办法：在防火墙上过滤来自同一主机的后续连接，当然还要根据实际的情况来判断。

5.Land攻击 利用Land攻击时，一个特别的SYN包它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉， 解决办法：打最新的补丁。

6.Smurf攻击 smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。 解决办法：去掉ICMP服务。

7.Fraggle攻击 Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP 解决办法：滤掉UDP应答消息

8.电子邮件炸弹 常用的手法也是比较简单的手法，黑客通过向你的电子邮件服务器反复发送同一个大型电子邮件文件就可以淹没它。 解决办法：对邮件地址进行适当的配置

9.畸形消息攻击 如果收到畸形的信息各类操作系统上的许多服务都会崩溃，由于这些服务在处理信息之前不能对他们进行适当的错误检验。 解决办法：打最新的服务补丁。