|
因为攻击者可能同
时调动多台机器同时攻击。当然,我们可以在发现攻击以后,在防火墙或路由器上拒绝
这些IP来源的连接。
如果不通过网络设备,仅仅通过调节系统参数来缓解攻击。一方面,可以调节web
server,如apache的timeout参数,减短连接保持时间,另一方面,我们可以将核心以连
接队列参数增大(默认是128)。
#ndd –set /dev/tcp tcp_conn_req_max_q 1024
以上的方法能阻止大多数连接耗尽的攻击企图,除非攻击者调动更多的资源,发动大规模
的DDOS,但这样会使攻击者更容易暴露。
13、IP 欺骗
IP欺骗基本原理:
TCP连接的建立 :为了利用TCP连接交换数据,主机间首先必须建立一个连接。TCP建立连
接时可以分为3个 步骤,称为三步握手法。如果主机A运行rlogin客户程序,并且希望连
接到主机B上的rlogin daemon 服务器程序上,连接过程如图二所示。
1 A ---SYN---> B
2 A <--SYN/ACK--- B
3 A ---ACK---> B
图二
需要提醒读者的是,主机A和B的TCP模块分别使用自己的序列编号。在时刻1时,客户端
通过设置标志位SYN=1告诉服务器它需要建立连接。同时,客户端在其TCP头中的序列号
域SEQ放置了它的初始序列号(ISN),并且告诉服务器序列号标示域是有效的,应该 被
检查。在时刻2时,服务器端在接收了上面的SYN后,作出的反应是将自己的ISN和对客
户端的ACKA发向客户端并且千知下一个期待获得的数据序列号是(ISN+1)。客户端在第
一流时刻,对服务器的ISN进行确认。这时,数据传输就可以进行了。ISN与序列号的递
增 了解序数编号如何选择初始序列号和如何根据时间变化是很重要的。似乎应该有这种
情 况,当主机启动后序列编号初始化为1,但实际上并非如此。初始序列号是由
tcp_init函 数确定的。ISN每秒增加128000,如果有连接出现,每次连接将反计数器的
数值增加 64000。很显然,这使得用于表示ISN的32位计数器在没有连接的情况下每
9.32小时复位 一次。之所以这样,是因为这样有利于最大限度地减少旧有连接的信息干
扰当前连接的 机会。这里运用了2MSL等待时间的概念(不在本文讨论的范围之内。)如
果初始序列 号是随意选择的,那么不能保证现有序列号是不同于先前的。假设有这样一
<< 上一页 [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] ... 下一页 >> |
|
|
|
|
|
|
|
