Day 18 - DoS 攻击

Denial of service (DoS) 攻击

透过发送大量且不合法的请求到网路服务器，因为服务器为了要应付这些大量的请求导致真正要处理的请求无法被处理，是骇客攻击中最常见的攻击。影响是造成网路与服务请求的服务器崩坏，与资料遗失等等。

以下是针对电脑或网路设备常见的 DoS 攻击

• SYN 洪水攻击 (SYN floods)
  • 指攻击者透过发送很多带有伪造 IP 的 TCP SYN 请求至目标，目的是消耗所有可用的连接埠使服务器无法正常运作 [1]
• 死亡之 Ping (Ping of Death)
  • 指攻击者发送长度超过 65535 位元组长度的 ICMP 请求，这对 IP 通讯协定来说是不合法的用法，最终造成作业系统里 TCP/IP Stack 的崩坏
  • 以前的电脑大部分也无法处理超过 65535 位元组的 IPv4 封包。

分散式 DoS 攻击

当骇客使用网路上两个或以上被攻陷的电脑作为「殭屍」向特定的目标发动 DoS 攻击，称为分散式 Dos 攻击 (Distributed Dos, DDoS) [2]。

测试

DoS 攻击测试是其中一种最难的安全性检查，因为永远都没有足够的设备做测试。书上提到，可以透过弱点扫描工具的方式检查系统是否有 DoS 相关的漏洞。

因应对策

大部分的 DoS 攻击是很难被预测的，但却很容易预防

• 尽早测试与使用安全性修补程序 (security patches)，包含服务与韧体的更新
• 定期使用 intrusion detect system (IDS，入侵侦测系统) 或 intrusion prevention system (IPS，入侵防御系统) 检查。
• 透过过滤如 local host (127.0.0.1) 或是其他私有以及无法路由的 IP 位置，像是 10.x.x.x、192.168.x.x 或是 172.16.x.x-172.31.x.x 来最小化 网址造假 (IP spoofing)
• 除非需要，否则挡好挡满所有进入自家网路的 ICMP 流量。
• 关闭所有非必需的 TCP 与 UDP 的相关服务

在被攻击前，为自家的网路通讯协定与网路模式建立基准

切记

Minimum necessary ，永远只允许必要的网路相关设定，其他的挡好挡满。

明天来进入本书的第四个部分 - 谈谈作业系统相关的攻击

[1] SYN 洪水 DDoS 攻击
[2] 阻断式服务攻击