单选题
网管人员在监测网络运行状态时,发现下列现象:服务器上有大量的TCP连接,收到了大量源地址各异、用途不明的数据包;服务器收到大量的ARP报文。网管人员的判断是______,针对前一现象将采取的措施是______,针对后一现象可能采取的措施是______。
单选题
A.受到了DoS攻击和ARP攻击
B.受到了DDoS攻击和ARP欺骗攻击
C.受到了漏洞攻击和DNS欺骗攻击
D.受到了DDoS攻击和DNS欺骗攻击
【正确答案】
B
【答案解析】本题考查网络攻击与预防方面的基本知识。
DDoS攻击的特点是收到大量源地址各异、用途不明的数据包,导致计算机耗尽TCP连接数、CPU有效时间或网络带宽等,导致不能响应正常的请求。
DoS是指攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停及主机死机,都属于拒绝服务攻击。拒绝服务攻击问题一直得不到合理解决,究其原因是由于网络协议本身的安全缺陷造成的,因此,拒绝服务攻击也成为攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不能接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
1.拒绝服务攻击的方式
(1)SYN Flood。SYN Flood是当前最流行的DoS的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
(2)IP欺骗DoS攻击。这种攻击利用RST位来实现。假设现在有一个合法用户(202.197.120.2)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP)为202.197.120.2,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从202.197.120.2发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户202.197.120.2再发送合法数据,服务器就已经没有这样的连接了,该用户就必须重新建立连接。攻击时,攻击者会伪造大量的IP地址,向目标服务器发送RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。
(3)UDP洪水攻击。攻击者利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样两台主机就会存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。
(4)Ping洪流攻击。由于在早期阶段,路由器对包的最大尺寸都有限制。许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的,声称自己的尺寸超过ICMP上限的包,也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接收方死机。
(5)泪滴(teardrop)攻击。泪滴攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩湍。
(6)Land攻击。Land攻击原理是:用一个特别打造的SYN包,它的原地址和目标地址都被设置成某一个服务器地址。此举将导致接收服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留,直到超时,对Land攻击反应不同,许多UNIX实现将崩溃,NT变得极其缓慢(大约持续5分钟)。
(7)Smutf攻击。Smurf攻击原理是:通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。它比ping of death洪水的流量高出1或2个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。
(8)Fraggle攻击。Fraggle攻击实际上就是对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP。
2.分布式拒绝服务
分布式拒绝服务(Distributed Denial of Service, DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,同时使得被攻击者将信息错误地发送到伪造的地址,造成网络中断或受到中间人攻击。攻击者只要持续不断地发出伪造的ARP响应包,就能更改目标主机ARP缓存中的IP-MAC条目,造成网络持续不能正常工作。ARP攻击主要存在于局域网中,局域网中若有一台计算机感染ARP病毒,则感染该ARP病毒的系统将会试图通过“ARP欺骗”手段截获所在网络内其他计算机的通信信息,并因此造成网内其他计算机的通信故障。解决方法是在每台计算机上安装ARP防火墙或杀毒软件,发现并杀掉该病毒。
单选题
A.暂时关闭服务器
B.暂时关闭出口路由器
C.修改防火墙配置,过滤不明数据包
D.修改IDS配置使其保护服务器不受攻击
单选题
A.升级交换机内的软件
B.加装一个内部路由器
C.在服务器上安装ARP防火墙
D.在内部网的每台主机上安装ARP防火墙