请安装我们的客户端
更新超快的免费小说APP
添加到主屏幕
请点击,然后点击“添加到主屏幕”
bsp; “你知道,tcp连接要经过三次握手的过程。客户端发出syn分组,然后服务器返回syn/ack确认信息,最后客户再发出ack。”
“发动syn淹没(或者说是syn洪水攻击)时,攻击者会发送一个从系统a到系统b的syn分组,不过它的数据报中的源地址却是一个不存在的系统地址,因为这个地址是伪造的,不存在的,这样,系统b发送的syn/ack分组到这个伪造的地址时得不到再一次的回应,也就是没有第三次的“握手”。于是系统b只好把处于这个状态的潜在连接放到一个连接队列中,系统b现在承担着把这个潜在连接设置完毕的义务,直到连接建立定时器发生超时而把该潜在连接冲刷出连接队列为止。”
“而关键是,这个定时器设置的时间通常是很长的,在这断时间内tcp连接上之后就得维护连接状态,这个维护必须得消耗系统的资源,所以大量的连接会大量消耗系统资源,如cpu和内存。攻击者不断地发出连接请求,在前一个请求还没有断开之前又有大量的连接请求发送出来,这样就可能完全禁止某个特定的端口不被别人访问到,达到拒绝为别人服务的目的。受攻击者的系统将永远无法在接收新的syn请求之前清空队列。”
许毅一口气说了这么多,周松听得也是半懂不懂的,不过总算对dos攻击有了一个大体的了解,知道了大致的原理。他的理解是被攻击者系统a是个懂礼节的君子,攻击者系统b则是伪君子。伪君子恶意地向君子伸出右手,然后君子很礼貌地回应了他,和他握手。按照既定的礼节,伪君子b应该再回把左手也握上去,但是他为了消耗a的“体力”(只有再次握一下a才会恢复正常),故意不回握了。更为龌龊的是,伪君子b还一直不断地伸出右手握了一次又一次
“师父,要怎样判别哪些是恶意的连接呢?”周松问。
“这就是解决这个问题的最大难点。区分正常的和恶意的客户,光从连接上是无法区分的。因为连接都是正常的。根据它攻击的原理,我们可以从检查源地址入手,也就是每次都验证连接请求发送来的数据报中的源地址是否是一个合法的地址。”许毅说的这个方式实际上在后来ddos流行起来之后美国军方就是这么做的,“但每次都验证源地址有一个很大的缺点,它会大大降低网络传输的效率。或许,等以后计算机技术发胀起来之后,ai可能能帮上什么忙。现在唯一的办法可能就是限制每个客户的连接数了,或者可以考虑限制客户的连接速率,如果这些方法都不行,那就无能为力了。基本上来说,现有的防火墙对此类攻击没有有效办法对付。”不但是现有的,就算是几年之后的防火墙还是这样呢。许毅这样想道。
“哇,那岂不是无敌了!”
“无敌你个头!”许毅没好气地骂道,“没有任何攻击是无敌的,有攻击必有解决的办法,只是暂时还没有找到而已。你别老是想者怎么去攻击别人,多想想怎么防御这种攻击吧,不但是从系统方面考虑,也多从其他方面想想,例如路由器。”想到上次亡灵军团针对讯飞的攻击许毅就火大,他恨恨地想:此仇不报非人类!要是让他查到亡灵军团成员的地址,哼哼
“师父,我整理一下将这个攻击的原理公布到论坛去,他们肯定会很感兴趣的。”
“暂时还是不要公布。”许毅否决了周松的这个决定。dos,ddos之类的攻击这么早出现对中国网络的发展很不利。现在中国的绝大多数网络管理员还没有足够的知识来应对这类攻击,也就是说现在就算是一台机器的攻击都能给他们带来极大的困扰,到时候还说不准会出现多少件网络敲诈案呢。许毅认识到,中国的网络势力已经不均衡了,攻过于防,这样下去肯定不行。虽说有压力才有动力,但现在这压力要是过猛就不好了。
“看来得帮助帮助那些苦命的网管了。”许毅想到自己本来就是网管出身,所以他也更能体会网管的辛楚,他想起以前在网络上看到的一个描述网管生活的flash,里面的歌词仍然历历在目。
起得比公鸡早,睡得比耗子晚,有了问题随叫随到,要是碰到黑客,一阵胡搞,脚跟直碰后脑勺。软件推出升级版本,恨我没有章鱼脚,病毒出了不得了,又是一场龟兔赛跑吃不上饭 睡不好觉,生病请假开玩笑过劳死亡,离我不早