浅谈基于校园网拒绝服务攻击的分析及防范(2)

防御方法：现在所有的标准TCP／IP．都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从wind0ws98之后的windowsNT(servicepack3之后)、Linux、Solaris和MacOS都具有抵抗一般死亡之ping攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都能防止此类攻击。

(2)泪滴攻击

泪滴攻击是利用在TCP／IP堆栈中实现信任lP碎片中的包的标题头所包含的信息来实现自己的攻击。对于一些大的lP包，需要对其进行分片传送，这是为了迎合链路层的MTU(最大传输单元)的要求。比如，一个4500字节的lP包，在MTU为1500的链路上传输的时候，就需要分成三个lP包。在lP报头中有一个偏移字段和一个分片标志(MF)，如果MF标志设置为1，则表明这个lP包是一个大lP包的片断，其中偏移字段指出了这个片断在整个lP包中的位置。例如，对一个4500字节的IP包进行分片(MTL为1500)，则三个片断中偏移字段的值依次为：0，1500，3000。这样接收端就可以根据这些信息成功地组装该lP包。

如果一个攻击者打破这种正常情况，把偏移字段设置成不正确的值，即可能出现重合或断开的情况，就可能导致目标操作系统崩溃。这就是所谓的泪滴攻击。防御方法：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。

(3)UDP洪水

各种各样的假冒攻击利用简单的TCP／lP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen}]~L务之间的一次的UDP连接，回复地址指向开着Echo。服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。

防御方法：关掉不必要的TCP／IP}]~L务，或者对防火墙进行配置阻断来自Internet的这些服务的UDP请求。

(4)SYN洪水

在TCP／IP的连接建立过程中，正常情况下连接双方需要完成从客户向服务器发送的一个SYN请求消息(第一次握手)，服务器同意响应的SYN—ACK(第二次握手)，当客户收到SYN—ACK后，再向服务器发送一个ACK消息(第三次握手)的3次握手过程，一个TCP连接才被建立，在3次握手过程中，服务器需要保持所有未完成的握手信息在有限的内存缓冲区中，如果攻击者不停地向该服务器发送SYN连接请求，而又不向服务器回复ACK信息，内存缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应。防御方法：在防火墙上过滤来自同一主机的后续连接。但是，未来的SYN洪水令人担忧，由于释放洪水并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。