DOS病毒的原理与分析

DOS病毒的原理与分析【摘要】自Internet问世以来，资源共享和网络安全一直作为一对矛盾体而存在着，计算机网络资源共享的进一步加强随之而来的网络安全问题也日益突出。但由于计算机网络自身具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、恶意软件和其他不轨的攻击。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。要解决这个问题，就不得不提到正在不断成熟起来的黑客技术，它对网络安全造成了极大的威胁，黑客的主要攻击手段中著名的有Dos攻击和木马攻击技术。下文将对Dos进行详细的分析，从了解Dos攻击开始，更加安全的管理好自己的计算机。【关键词】DOS攻击网络安全，防御策略一、DOS攻击概述1.1DOS攻击的概念DoS攻击广义上指任何导致被攻击的服务器不能正常提供服务的攻击方式。具体而言，DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备,这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接等,这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果,拒绝服务攻击会使所有的资源变得非常渺小。1.2DOS攻击的分类如果了解了攻击者可以采取的攻击类型，就可以有针对性地应对这些攻击。而对DOS攻击的分类研究则是深入了解拒绝服务攻击的有效途径。DOS攻击的分类方法有很多种，从不同的角度可以进行不同的分类，而不同的应用场合需要采用不同的分类。下面我们介绍几个常用分类：按照攻击方式来分可以分为：资源消耗、服务中止和物理破坏。资源消耗指攻击者试图消耗目标的合法资源，例如网络带宽、内存和磁盘空间、CPU使用率等。服务中止则是指攻击者利用服务中的某些缺陷导致服务崩溃或中止。物理破坏则是指雷击、电流、水火等物理接触的方式导致的拒绝服务攻击。根据攻击的对象可以分为：针对网络宽带的DOS攻击、针对系统资源的DOS攻击和针对应用程序资源的DOS攻击。其中最为流行的是针对系统资源的DOS攻击。针对网络宽带的DOS攻击是指利用某些技术攻击目标系统的网络宽带；针对系统资源的DOS攻击是指利用某些通信协议的先天性bug或者某些服务程序的bug来实施攻击；而针对应用程序资源的DOS攻击是攻击者抓住应用程序的不健全，利用大量的合法的服务请求来耗尽服务器上应用程序资源，从而使得服务器无法及时、高校地向合法用户提供服务。按攻击是否直接针对受害者，可以分为直接拒绝服务攻击和间接拒绝服务攻击，如要对某个E-mail账号实施拒绝服务攻击，直接对该账号用邮件炸弹攻击就属于直接攻击。为了使某个邮件账号不可用，攻击邮件服务器而使整个邮件服务器不可用就是间接攻击。1.3DOS攻击的原理与途径要对服务器实施拒绝服务攻击，主要有以下两种方法:①迫使服务器的缓冲区满，不接收新的请求；②使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接，这也是DoS攻击实施的基本思想。为便于理解，以下介绍一个简单的DoS攻击基本过程：攻击者先向受害者发送大量带有虚假地址的请求，受害者发送回复信息后等待回传信息。由于是伪造地址，所以受害者一直等不到回传信息，分配给这次请求的资源就始终不被释放。当受害者等待一定时间后，连接会因超时被切断，此时攻击者会再度传送一批伪地址的新请求，这样反复进行直至受害者资源被耗尽，最终导致受害者系统瘫痪。二、DOS攻击的防御策略一般来说，DOS攻击可以说是如下原因造成的：（1）软件弱点是包含在操作系统或应用程序中与安全相关的系统缺陷，这些缺陷大多是由于错误的程序编制，粗心的源代码审核，无心的副效应或一些不适当的绑定所造成的。（2）错误配置也会成为系统的安全隐患。这些错误配置通常发生在硬件装置，系统或者应用程序中，大多是由于一些没经验的，无责任员工或者错误的理论所导致的。（3）重复请求导致过载的拒绝服务攻击。当对资源的重复请求大大超过资源的支付能力时就会造成拒绝服务攻击（例如，对已经满载的Web服务器进行过多的请求使其过载）。基于上面的原因，我们可以采取以下防御策略来尽量避免DoS攻击：（1）充分利用网络设备保护网络资源。论文参考网。所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。首先，当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DoS的攻击。其次，利用防火墙,对出入数据包过滤,对防火墙进行正确设置,启用防火墙的防DoS/DDoS属性。通常有两种算法技术:①RandomDrop算法,该算法是当流量达到一定的数量限度时,所采取的一种通过降低性能,保证服务的不得已的方法。论文参考网。②SYNCookie算法,采用六次握手技术以极大地降低受攻率。同时，优化路由和网络结构并对路由器进行正确设置。如在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DoS的方法，虽然目前该方法对于DoS效果不太明显了，不过仍然能够起到一定的作用。（2）定期安全检测。用模拟网络攻击对系统实施可能安全隐患的全面搜索；通过消除冗余端口、服务和应用程序收缩系统受攻面积；以系统更新或漏洞弥补增强抗攻击能力；通过严格的安全检测可降低遭受弱点或漏洞攻击的几率。比如Cisco公司的CEF(CiscoExpressForwarding)可以针对封包SourceIP和RoutingTable做比较，并加以过滤。只开放服务端口成为目前很多服务器的流行做法，例如而将其他所有端口关闭或在防火墙上做阻止策略。（3）加固操作系统,配置操作系统各种参数以加强系统稳固性，修补系统漏洞及早发现系统存在的攻击漏洞。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权账号(例如管理员账号)的密码设置要谨慎。论文参考网。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。（4）把网站做成静态页面。大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，如果一定需要动态脚本调用，那就把它移动到另外一台单独主机去，免的遭受攻击时连累主服务器，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。(5)优化对外开放访问的主机,及时安装更新系统补丁,对主机进行正确设置。由于使用的软件几乎完全依赖于开发商，所以对于由软件引起的漏洞只能依靠打补丁，安装hotfixes和Servicepacks来弥补。当某个应用程序被发现有漏洞存在，开发商会立即发布一个更新的版本来修正这个漏洞。由于开发协议固有的缺陷导致的DoS攻击，可以通过简单的补丁来弥补系统缺陷。同时，还可以采取关闭不必要的服务等措施。(6)带宽限制和QoS保证,通过对报文种类、来源等各种特性设置阈值参数,保证主要服务稳定可靠的资源供给。(7)负载均衡技术,即把应用业务分布到几台不同的服务器上,甚至不同的地点。(8)网络管理员应当定期查看安全设备的日志，及时发现对系统的安全威胁行为，并时刻关注安全信息,实时关注所有安全问题的发展。三、小结DoS攻击由于攻击简单、容易达到目的、难以进行防范和追查等特点越来越成为一种常见的攻击方式。通过对它的全面深入剖析，充分理解其工作原理及危害性，便于用先进技术和工具有效地预防并遏制攻击的发生，对开发更为安全可靠的网络服务程序提供借鉴。参考文献：[1]李军.DDoS攻击全面解析[J].网络安全技术与应用,2007(9).[2]肖军模.网络信息安全[M].机械工业出版社,2005.[3]米雁辉.网络安全与黑客[M].航空工业出版社,2003[4]钱红燕,周军.TCPPIP网络的DDoS攻击及对策[J].南京航空航天大学学报,2000(12).