入侵检测ids-dos攻击与防范

常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见 的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言，危害较大的主要是DDOS攻击，原因是很难防范，至于DOS攻击， 通过给主机服务器打补丁或安装防火墙软件就可以很好地防范。

1.SYN Flood攻击

　　防范：
　　第一种是缩短SYN Timeout时间

　　第二种方法是设置SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。

2.Smurf攻击：

防范：
　　在cisco路由器上配置如下可以防止将包传递到广播地址上:
　　Router(config-if)# no ip directed-broadcast

3.Ping of Death

这种攻击通过发送大于65536字节的ICMP包使操作系统崩溃；通常不可能发送大于65536个字节的ICMP包，但可以把报文分割成片段，然后在目标主机上重组；最终会导致被攻击目标缓冲区溢 出，引起拒绝服务攻击。有些时候导致telne和http服务停止，有些时候路由器重启。

原理：

在因特网上，ping of death是一种拒绝服务攻击，方法是由攻击者故意发送大于65535字节的ip数据包给对方。 TCP/IP的特征之一是碎裂；它允许单一IP包被分为几个更小的数据包。在1996年，攻击者开始利用那一个功能，当他们发现一个进入使用碎片包可以将整个IP包的大小增加到ip协议允许的65536比特以上的时候。当许多操作系统收到一个特大号的ip包时候，它们不知道该做什么，因此，服务器会被冻结、当机或重新启动。

ICMP的回送请求和应答报文通常是用来检查网路连通性，对于大多数系统而言，发送ICMP echo request 报文的命令是ping ，由于ip数据包的最大长度为65535字节。而ICMP报头位于数据报头之后，并与ip数据包封装在一起，因此ICMP数据包最大尺寸不超过65515字节利用这一规定，可以向主机发动 ping of death 攻击。ping of death 攻击 是通过在最后分段中，改变其正确的偏移量和段长度的组合，使 系统在接收到全部分段并重组报文时总的长度超过了65535字节，导致内存溢出，这时主机就会出现内存分配错误而导致TCP/IP堆栈崩溃，导致死机！

说明：
在早期TCP/IP的实现中，这攻击方式很容易实现，能影响到众多系统，如Unix、Linux、Mac、Windows、打印机、路由器等。这是一种专门针对一种弱点的非常简单的攻击。在1997-1998年后几乎所有的现代系统都已经修正了这问题。

ping的运作原理是向目标主机传出一个ICMP echo要求数据包，并等待接收echo回应数据包。程序会按时间和成功响应的次数估算丢失数据包率（丢包率）和数据包往返时间（网络时延，Round-trip delay time）。

泛洪攻击是ping泛洪，其目的是耗尽受害者的带宽，以至于合法的流量不能通过。

4.泪滴攻击
　　原理：
　　对于一些大的IP数据包，往往需要对其进行拆分传送，这是为了迎合链路层的MTU（最大传输单元）的要求。比如，一个6 000字节的IP包，在MTU为2 000的链路上传输的时候，就需要分成3个IP 包。在IP报头中有一个偏移字段和一个拆分标志（MF）。如果MF标志设置为1，则表示这个IP包是一个大IP包的片段，其中偏移字段指出了这个片段在整个IP包中的位置。例如，对一个6 000字 节的IP包进行拆分（MTU为2 000），则3个片段中偏移字段的值依次为0，2 000，4 000。这样接收端在全部接收完IP数据包后，就可以根据这些信息重新组装这几个分次接收的拆分IP包。在这 里就有一个安全漏洞可以利用了，就是如果黑客们在截取IP数据包后，把偏移字段设置成不正确的值，这样接收端在收到这些分拆的数据包后，就不能按数据包中的偏移字段值正确组合这些拆 分的数据包，但接收端会不断尝试，这样就可能致使目标计算机操作系统因资源耗尽而崩溃。

5.配置路由器、防火墙和入侵检测系统来抵御常见DDoS攻击

Smurf

·确定你是否成为了攻击平台：对不是来自于你的内部网络的信息包进行监控；监控大容量的回音请求和回音应答信息包。

·避免被当做一个攻击平台：在所有路由器上禁止IP广播功能；将不是来自于内部网络的信息包过滤掉。

·减轻攻击的危害：在边界路由器对回音应答信息包进行过滤，并丢弃；对于Cisco路由器，使用CAR来规定回音应答信息包可以使用的带宽最大值。

trinoo

·确定你是否成为攻击平台：在master程序和代理程序之间的通讯都是使用UDP协议，因此对使用UDP协议（类别17）进行过滤；攻击者用TCP端口27655与master程序连接，因此对使用TCP（类别6）端口27655连接的流进行过滤；master与代理之间的通讯必须要包含字符串“l44”，并被引导到代理的UDP端口27444，因此对与UDP端口27444连接且包含字符串l44的数据流进行过滤。

·避免被用作攻击平台：将不是来自于你的内部网络的信息包过滤掉。

·减轻攻击的危害：从理论上说，可以对有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列进行过滤，并丢弃它们。

TFN

·确定你是否成为攻击平台：对不是来自于内部网络的信息包进行监控。

·避免被用作攻击平台：不允许一切到你的网络上的ICMP回音和回音应答信息包，当然这会影响所有要使用这些功能的Internet程序；将不是来源于内部网络的信息包过滤掉。

Stacheldraht

·确定你是否成为攻击平台：对ID域中包含值666、数据域中包含字符串“skillz”或ID域中包含值667、数据域中包含字符串“ficken”的ICMP回音应答信息包进行过滤；对源地址为“3.3.3.3”的ICMP信息包和ICMP信息包数据域中包含字符串“spoofworks”的数据流进行过滤。

·手工防护

一般而言手工方式防护DDOS主要通过两种形式：

系统优化――主要通过优化被攻击系统的核心参数，提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDOS进行防护。

网络追查――遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商，这有可能是ISP、IDC等，目的就是为了弄清楚攻击源头。