浅谈基于校园网拒绝服务攻击的分析及防范(3)

(5)LAND攻击

LAND攻击利用了TCP连接建立的三次握手过程，通过向一个目标发送一个TCPsYN报文(连接建立请求报文)而完成对目标计算机的攻击。与正常的TCPsYN报文不同的是，LAND攻击报文的源lP地址和目的lP地址是相同的，都是目标计算机的lP地址。这样目标计算机接收到这个sYN报文后，就会向该报文的源地址发送一个AcK报文，并建立一个TcP连接控制结构(TCB)，而该报文的源地址就是自己，因此，这个AcK报文就发给了自己。这样如果攻击者发送了足够多的SYN报文，则目标计算机的TCB可能会耗尽，最终不能正常服务。防御方法：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉。

(6)smurf攻击

ICMPECHO请求包用来对网络进行诊断，当一台计算机接收到这样一个报文后，会向报文的源地址回应一个ICMPECHOREPLY。一般情况下，计算机是不检查该ECHO请求的源地址的，因此，如果一个恶意的攻击者把ECHO的源地址设置为一个广播地址，这样计算机在回复REPLY的时候．，就会以广播地址为目的地址，这样本地网络上所有的计算机都必须处理这些广播报文。如果攻击者发送的ECHO请求报文足够多，产生的REPLY广播报文就可能把整个网络淹没。这就是所谓的smurf攻击。除了把EcHO报文的源地址设置为广播地址外，攻击者还可能把源地址设置为一个子网广播地址，这样，该子网所在的计算机就可能受到影响。防御方法：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。

(7)Fraggle攻击

Fraggle攻击是对Smurf攻击作了简单的修改，使用的是UDP应答消息而~-ICMP．防御方法：在防火墙上过滤掉UDP应答消息。

(8)邮件炸弹

电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。防御方法：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。

(9)畸形消息攻击

各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息时可能会崩溃。防御方法：打上最新的服务补丁。

(10)分布式拒绝服务攻击(distributed denialofservice，DDoS)

DDoS攻击是网络攻击中最有害的攻击之一，它是在传统的DoS攻击基础之上产生的一类攻击方式，单一的DoS攻击一般采用一对一的方式，如果用一台攻击机不能起到作用的话，攻击者就使用10台、1OO台……攻击机同时产生攻击，最终导致被攻击的机器无法及时处理请求。

一个比较完善的DDoS攻击体系可分成四部分：黑客、控制机、代理攻击机、被攻击目标。在攻击时先由黑客入侵并控制大量的主机从而取得控制权，使他们成为控制机和攻击机，然后在这些被入侵的主机中安装DDos攻击程序，并利用这些被控制的代理攻击机对攻击目标发起DDoS攻击，从而成倍地增加了攻击的威力。

3．结语

虽然拒绝服务攻击是一种技术含量低、容易实施的攻击行为，但是它的攻击效果明显而且相当难以防范，因此防范工作至关重要，总的来说应从合理配置路由器的控制流量、科学部署防火墙保护内部网络、及时升级系统软件和应用软件、安装NIDS、建立与防火墙联动体系等多方面入手，将拒绝服务攻击的危害降到最低。