跳转到内容

讨论:阻断服务攻击

页面内容不支持其他语言。
维基百科,自由的百科全书
基础条目 阻断服务攻击属于维基百科科技主题的基础条目第五级。请勇于更新页面以及改进条目。
          本条目页依照页面评级标准评为初级
本条目页属于下列维基专题范畴:
电子计算机专题 (获评初级未知重要度
本条目页属于电子计算机专题范畴,该专题旨在改善中文维基百科电子计算机类内容。如果您有意参与,请浏览专题主页、参与讨论,并完成相应的开放性任务。
 初级  根据质量评级标准,本条目页已评为初级
 未知  根据重要度评级标准,本条目尚未接受评级。

在小说看到的说明:DoS& DDoS

"第一种是频宽耗用。这种攻撃形式也被人们认为是最阴险的攻撃,攻撃者消耗掉通达某个网路地所有可用频宽,从而使攻撃目标网路出现问题。就和拖拉机和手推车 迎面碰撞。较大的交通工具将赢得这场冲突的原理一様,当攻撃者的网路频宽比攻撃目标要大很多的时候,由他来发动DOS攻撃,自然能够完全填塞攻撃目标地网 络链路。当然,当攻撃者的网路频宽不够用。他还可以征用多个网站集中力量区拥塞攻撃目标地网路连线,这也就可以达到和前面一様的攻撃效果。

"另外还有三种DOS攻撃,分别为资源衰竭、程式设计缺陷以及路线和DNS攻撃。资源衰竭的原理和频宽耗用差不多,唯一的区别在于前者集中于系统资源而 不是网路资源地消耗,系统资源含括CPU利用率、记忆体、档案系统限额和系统程式总数等等。程式设计缺陷,顾名思义,是由于式设计师编写程式不严谨而造成的漏洞。 最后一种路由和DNS攻撃就比对复杂了。暂且不说。 "


DDoS:

"发动SYN淹没(或者说是SYN洪水攻击)时,攻击者会发送一个从系统A到系统B的SYN分组,不过它的数据报中的源地址却是一个不存在的系统地址,因为这个地址是伪造地,不存在的,这样,系统B发送的SYN\ACK分组到这个伪造的地址时得不到再一次的回应,也就是没有第三次的“握手”。于是系统B只好把处于这个状态的潜在连接放到一个连接队列中,系统B现在承担着把这个潜在连接设置完毕的义务,直到连接建立定时器发生超时而把该潜在连接冲刷出连接队列为止。“

“而关键是,这个定时器设置的时间通常是很长的,在这断时间内TCP连接上之后就得维护连接状态,这个维护必须得消耗系统的资源,所以大量的连接会大量消耗系统资源,如CPU和内存。攻击者不断地发出连接请求,在前一个请求还没有断开之前又有大量的连接请求发送出来,这样就可能完全禁止某个特定的端口不被别人访问到达到拒绝为别人服务的目的。受攻击者的系统将永远无法在接收新的SYN请求之前清空队列。”"

原文作者不明, 仅知该作品名为 : "黑客传说".

不知是否有参考价值? Nosy@TW 2007年7月28日 (六) 03:52 (UTC)[回复]

参考资料

对于“阻断服务攻击”的部分内容提出疑义

请问阻断服务攻击的下面这个条目的这部分内容是否分类错误?
[死亡之Ping]跟[泪滴攻击]跟带宽消耗型攻击的定义对不上
前两者的主要目的看起来都是使主机(终端)异常、而不是使带宽(网路)发生异常
事实上英文条目中没有对这些攻击类型去做分类
但如果依中文条目内的攻击类型作分类,它们应该比较倾向资源消耗型攻击不是吗?

带宽消耗型攻击

DDoS带宽消耗攻击可以分为两个不同的层次;洪泛攻击或放大攻击。洪泛攻击的特点是利用僵尸程序发送大量流量至受损的受害者系统,目的在于堵塞其带宽。放大攻击与其类似,是通过恶意放大流量限制受害者系统的带宽;其特点是利用僵尸程序通过伪造的源IP(即攻击目标IP)向某些存在漏洞的服务器发送请求,服务器在处理请求后向伪造的源IP发送应答,由于这些服务的特殊性导致应答包比请求包更长,因此使用少量的带宽就能使服务器发送大量的应答到目标主机上。
...(略)...

死亡之Ping(ping of death)
死亡之Ping是产生超过IP协定能容忍的封包数,若系统没有检查机制,就会当机。
泪滴攻击
每个资料要传送前,该封包都会经过切割,每个小切割都会记录位移的资讯,以便重组,但此攻击模式就是捏造位移资讯,造成重组时发生问题,造成错误。


--Kjs927留言2017年3月31日 (五) 08:08 (UTC)[回复]