2023年4月18日发(作者:照射野)信息技术
2008NO.26
SCIENCE&TECHNOLOGYINFORMATION
科技资讯
DoS
攻击及其防御策略
程明
河北唐山063000)(唐山师范学院
摘要:DoS(拒绝服务)是一种常见的网络攻击模式,以占用有限的资源,瘫痪运行中的服务为目的。DoS的防御并不容易,尤其是发
展中的各种DoS攻击更加隐密,危害更大。文章从DoS攻击的分类出发,论述了DoS攻击技术的发展,提出了DoS攻击的防御策略。
关键词:拒绝服务DoSDdoS网络拥塞
中图分类号:TP3文献标识码:A文章编号:1672-3791(2008)09(b)-0041-02
DoS,即DenialofService,译为拒式。当计算机与网络的处理能力加大了,用该主机忙于处理这些回应而被拒绝服务攻
绝服务。拒绝服务攻击是一种技术含量低,一台攻击机来攻击不再起作用的话,攻击者击。对于这种攻击是很难进行防范的,因为
但攻击效果明显的一种攻击方法,当受到这就使用10台甚至100台攻击机同时攻击,这些这类包的IP虽然是不真实的,但却是合法
样的攻击时,服务器长时间内不能正常的提(被攻击者入侵过或可间接利的。“僵尸主机”
供服务,使得合法用户不能得到正确服务。用的主机)向受害主机发送大量看似合法的2.3其他类型的四的序数词
DoS攻击
也正是由于DoS攻击方式简单、容易达到目网络包,从而造成网络阻塞或服务器资源耗其它类型的DoS攻击还有很多,比如
的、难于防范和追查,近年来它越来越成为尽而导致拒绝服务,分布式拒绝服务攻击一DNS分布拒绝服务攻击,它也有点反射的情
常见的网络攻击方式。旦被实施,攻击网络包就会犹如洪水般涌向况,黑客通过向多个DNS服务器发送大量的
受害主机,从而把合法用户的网络包淹没,伪造的查询请求,查询请求数据包中的源IP
1DoS攻击的分类
根据自动化程度将DoS攻击分为手动、源,因此,拒绝服务攻击又被称之为“洪将大量的查询结果发送给被攻击主机,使被
半自动和自动攻击。早期的DoS攻击程序多水式攻击”,常见的DDoS攻击手段有SYN攻击主机所在的网络拥塞或不再对外提供服
半属于手动攻击,黑客手动寻找可入侵的计算Flood、ACKFlood、UDPFlood、ICMP务;还有电子邮件拒绝服务攻击:一是对发
机入侵并植入攻击程序,再下指令攻击目标;Flood、TCPFlood、ConnectionsFlood、送大量的垃圾邮件,从而网球帽
占满用户的邮件空
半自动的攻击程序则多半具有handler控制ScriptFlood、ProxyFlood等。间,让用户收不到邮件,二是可能有黑客进
攻击用的agent程序,黑客散布自动化的入侵DDoS攻击之所以难于防护,其关键之行暴力破解用户的邮箱密码。如果根据邮件
工具植入agent程序,然后使用handler控制处就在于非法流量和合法流量相互混杂,防服务器的规则,可能让用户不能登录邮箱;
所有agents对目标发动DoS攻击;自动攻击更护过程中无法有效的检测到DDoS攻击。加另外我们常用的QQ软件出现QQ的拒绝服
进一步自动化整个攻击程序,将攻击的目标、之许多DDoS攻击都采用了伪造源地址IP的务,攻击者用软件自动发送大量的信息给被
时间和方式都事先写在攻击程序里,黑客散技术,从而成功的躲避了基于统计模式工具攻击者,从而让用户收到大量的垃圾信息。
布攻击程序以后就会自动扫描可入侵的主机的识别。当主机服务器被DDoS攻击时,通
植入agent,并在预定的时间对指定目标发起常会有如下现象:
攻击,例如近期的W32/Blaster网虫即属于此被攻击主机上有大量等待的TCP连接。DoS的防御并不容易,当以大量正常的
类。网络中充斥着大量的无用的数据包,源地联机消耗目标网络及服务的资源,一旦单位
根据攻击的强弱,可以分为协议攻击和址一般为伪造的。时间内系统资源的使用量超过系统负荷时,
暴力攻击两种。协议攻击是指黑客利用某个高流量无用数据造成网络拥塞,使受害主将难以抵挡。若要有效地防范DoS,首先注意
网络协议设计上的弱点或执行上的bug消耗机无法正常和外界通讯。的就是要避免服务器被植入攻击程序,成为
大量资源,例如TCPSYN攻击、对认证伺服反复高速的发出特定的服务请求,使受害DoS的帮凶,例如随时更新修补系统漏洞,关
器的攻击等;暴力攻击则是黑客使用大量正主机无法及时处理所有正常请求。闭不必要的服务,并安装防毒系统和防火墙,
常的联机消耗被害目标的资源,由于黑客会系统服务器CPU利用率极高,处理速度也要随时监控异常流量,例如发现异常发送
预备多台主机发起DoS攻击目标,只要单缓慢,甚至死机。大量封包时,应予以阻挡,侦测到假造来源IP
位竹子叶子发黄怎么补救
时间内攻击方发出的网络流量高于目标所2.2反射式分布拒绝服务攻击(DRDoS)的封包,也应予以过滤,避免这些攻击的封包
能处理速度,即可消耗掉目标的处理能力而DRDoS(DistributedReflectionDenial流窜至Internet,降低攻击的规模。具体在实
使得正常的使用者无法使用服务。ofService)是DDos攻击的变形。它与DDoS现过程中可采取如下策略。
根据攻击的频率,可以分为持续攻击和变的不同之处就是DRDoS不需要在实际攻击之3.1加固操作系统、修补系统漏洞
动频率攻击两种。持续攻击是当攻击指令下前占领大量的傀儡机。攻击是在伪造数据包及早发现系统存在的攻击漏洞,及时安
达以后,攻击主机就全力持续攻击,因此会瞬源地址的情况下进行的,从这一点上说与装系统补丁程序。对一些重要的信息(例如
间产生大量流量阻断目标的服务,也因此很Smurf攻击一样,而DRDoS是可以在广域网系统配置信息)建立和完善备份机制。对一
轻易被侦测到;变动频率攻击则较为谨慎,攻上进行的。其名称中的“R”意为反射,就是些特权账号(例如管理员账号)的密码设置
击的频率可能从慢速渐渐增加或频率高低变这种攻击行为最大的特点。托马斯是谁
黑客同样利用特要谨慎。通过这样一系列的举措可以把攻击
化,利用这样的方式延缓攻击被侦测的时间。殊的发包工具,首先把伪造了源地址的SYN者的可乘之机降低到最小。
连接请求包发送到那些被欺骗的计算机上,3.2经常检查系统的物理环境,禁止那些不
2DoS攻击技术的发展
2.1分布式拒绝服务攻击(DDoS)源IP发出SYN+ACK或RST包来响应这个可以使用Inexpress、Express、For-
单一的DoS攻击一般采用一对一方式,请求。同Smurf攻击一样,黑客所发送的请求warding等工具来过滤不必要的服务和端口,
而DDoS(DistributedDenialofService)是包的源IP地址是被害者的地址,这样受欺骗即在路由器上过滤假IP。比如Cisco公司的
建立在传统DoS攻击基础之上一类攻击方的计算机就都会把回应发到受害者处,造成CEF(CiscoExpressForwarding)可以针对
导致合法用户无法正常访问服务器的网络资地址为被攻击主机的IP地址,DNS服务器
3DoS攻击的防御策略
根据TCP三次握手的规则,这些计算机会向必要的网络服务
科技资讯SCIENCE&TECHNOLOGYINFORMATION
41
科技资讯
2008NO.26
SCIENCE&TECHNOLOGYINFORMATION
信息技术
浅谈软件体系结构风格
徐萍刘静桑胜举
(泰山学院信息科学技术系山东泰安271000)
摘要:软件体系结构已经成为软件工程领域的一个新的研究方向,本文介绍了管道过滤器风格、异构体系结构风格、公共对象请求
代理体系结构和正交软件体系结构等几种典型的软件体系结构风格。
关键词:软件体系结构软件体系结构风格公共对象请求代理
中图分类号:TP31文献标识码:A文章编号:1672-3791(2008)09(b)-0042-02
软件体系结构风格是描述某一特定应用1.3Bass,Ctements和Kazman格的体系结构是一个通过连接件绑定在一起
领域中系统组织方式的惯用模式。它反映了软件体系结构包括一个或一组软件构的按照一组规则运作的层次网络。C2风格中
领域中众多系统所共有的结构和语义特性,件、软件构件的外部都江堰导游词
的可见特性及其相互关的系统组织规则:构件的顶端与连接件的底
并指导如何将各个子系统有效地组织成一个系。其中,“软件外部的可见特性”是指端相连接,构件的底端与连接件的顶端相连
完整的系统。软件构件提供的服务、性能、特性、错误接,对连接到某个连接件上的构件或连接件
处理、共享资源使用等。的数目没有限制,若两个连接件发生联系,必
1软件体系结构的定义
总之,可以把软件体系结构的定义抽象须要从其中一个连接件的底部到另一个连接
到目前为止,对于软件体系结构没有一概括为:体系结构=构件+连接件+约束。构件的顶部。
个标准的、统一的定义。随着软件体系结构研件是相关对象的集合,运行后实现某计算逻2.3C/S风格
究的发展,许多专家学者从不同角度和不同辑。连接件是构件的粘合剂,它也是一组对C/S体系结构,即客户机/服务器体系
侧面对软件体系结构下了多种定义。下面介象。它把不同的构件连接起来,形成体系结构结构,是基于资源不对等,为实现共享而提出
绍几种有代表性的定义作为参考。的一部分。约束一般为对象连接时的规则,或来的。C/S体系结构将应用一分为二,服务器
1.1DewaynePerry和A1exanderWo1f指明构件连接的条件。(后台)负责数据管理,客户机(前台)完成与用
软件体系结构是具有一定形式的结构化 户的交互任务。服务器为多个客户机管理数
元素,即构件的集合,包括处理构件、数据构据,客户机负责完成向服务器发送请求,分析
2软件体系结构风格
件和连接构件。处理构件负责对数据进行加2.1管道过滤器风格来自服务器的数据等任务。因此,C/S体系结
工,数据构件是被加工的信息,连接构件把体管道过滤器风格是由称作过滤器的构件构是一种“肥客户机、瘦服务器”的体系结构。
系结构的不同部分组合连接起来。和称作管道的连接件组成的体系结构。其中,C/S体系结构的技术特点:
1.2Kruchten每个构件都有一组输入和输出,构件读输入当前的实际应用中多数服务器就是一台
软件体系结构有四个角度,它们从不同的数据流,经过内部处理,产生输出数据流。数据库服务器,而客户端就是用Microsoft
方面对系统进行描述:概念角度描述系统的连接件用于将一个过滤器的输出传到另一个VisualBasic6.0编写的客户软件,通过ODBC
主要构件及它们之间的关系;模块角度包含过滤器的输入。如图1所示。或ADO同数据库服务器通信,组成一个应用
功能分解与层次结构;运行角度描述了一个2.2C2风格系统。
系统的动态结构;代码角度描述了各种代码C2风格是一种基于构件和消息的体系结C/S体系结构的缺点如下:
和库函数在开发环境中的组织。构风格,用于构建可扩展的软件系统。C2风①客户端庞大,应用程序升级和维护困
封包SourceIP甜品大全
和RoutingTable做比较,宽,这样,当出现大量的超过所限定的DoS攻击时,应立即启动应付策略,尽可能
并加以过滤。只开放服务端口成为目前很多SYN/ICMP流量时,说明不是正常的网络快地追踪攻击白芝麻的功效与作用
包,并且及时联系ISP和有关
服务器的流行做法,例如WWW服务器那么访问,而是有黑客入侵。早期通过限制SYN/应急组织,分析受影响的系统,确定涉及的
只开放80而将其他所有端口关闭或在防火墙ICMP流量是最好的防范DoS的方法,虽然目其他节点,从而阻挡从已知攻击节点的流
上做阻止策略。前该方法对于DoS效果不太明显了,不过仍量,这样才能最大程度地维护系统的安全。
3.3充分利用网络设备保护网络资源然能够起到一定的作用。
所谓网络设备是指路由器、防火墙等负3.5把网站做成静态页面
载均衡设备,它们可将网络有效地保护起来。大量事实证明,把网站尽可能做成静态[1]李军.DDoS攻击全面解析[J].网络安全技
当网络被攻击时最先死掉的是路由器,但其页面,不仅能大大提高抗攻击能力,而且还给术与应用,2007(9).
他机器没有死。死掉的路由器经重启后会恢黑客入侵带来不少麻烦,至少到现在为止关[2]陈明奇.分布式拒绝服务攻击处理实例分
复正常,而且启动起来还很快,没有什么损于HTML的溢出还没出现,如果一定需要动析[J].信息网络安全,2007(6).
失。若其他服务器死掉,其中的数据会丢失,态脚本调用,那就把它移动到另外一台单独[3]肖军模.网络信息安全[M].机械工业出版
而且重启服务器又是一个漫长的过程。特别主机去,免的遭受攻击时连累主服务器,此社,2005.
是一个公司使用了负载均衡设备,这样当一外,最好在需要调用数据库的脚本中拒绝使
台路由器被攻击死机时,另一台将马上工作。用代理的访问,因为经验表明使用代理访问
从而最大程度的削减了DoS的攻击。你网站的80%属于方开
恶意行为。
3.4限制SYN/ICMP流量从以上策略可以看出,DoS攻击方式已
应在路由器上配置SYN/ICMP的最大流经越来越直接,攻击事件越来越频繁,造成
量来限制SYN/ICMP封包所能占有的最高频的破坏也越来越严重。当发现自己正在遭受
42
科技资讯SCIENCE&TECHNOLOGYINFORMATION
参考文献
