TCP/IP漏洞是指利用主机协议栈处理及协议本身机制的缺陷造成的安全漏洞,这类安全漏洞很容易造成系统缓冲区溢出,不识别IP欺骗,而要是在处理大量异常连接,畸形消息时更容易导致拒绝服务。这类漏洞从PoD到DRDoS,每一种攻击都是黑客技术的杰作,而且越来越可怕,越来越难对付。我就在这里给大家详细介绍一下各种各样的TCP/IP网络拒绝服务攻击及其大体防范方法。
死亡之Ping(ping of death)
1.原理
不用我多说了,大名鼎鼎的Ping早已经家喻户晓了。早期的Ping之所以能称为死亡之Ping,那是因为在早期阶段路由器对包的最大尺寸都有限制,很多操作系统对TCP/IP栈的实现在ICMP包上都是规定为64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息为有效载荷生成缓冲区。当产生畸形的包——加载尺寸超过64KB上限的包时,就会出现内存分配错误,从而导致TCP/IP堆栈崩溃,使系统死机。理论上Ping发出的ICMP数据包最大为65507字节,如果超过这个限度,就会导致目标系统缓冲区溢出,TCP/IP堆栈崩溃而死机。
2.攻击 Ping命令的-l参数可以定制包的大小,-t参数可以循环发送无数包,但是仅有这些是不够的,黑客们通常使用自己的Ping工具,甚至可以调动众多肉鸡进行分布式攻击。
Tosser是一款很实用的网络测试工具,提供了Ping和Trace功能,如图1所示。
图1
3.防御
现在所有标准的TCP/IP都已经具备对付超大尺寸包的能力了,各种操作系统(Windows 98之后的Windows NT,Linux,Unix和Mac OS)都能抵抗一般的死亡之Ping,并且大多数防火墙都能够自动过滤这些攻击,所以现在的普通Ping是很难形成Death之势了。针对Ping攻击只需利用路由器,防火墙对ICMP进行有效的筛选即可。
