freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

11避免拒絕服務(wù)攻擊-在線(xiàn)瀏覽

2025-03-30 23:40本頁(yè)面
  

【正文】 個(gè)攻擊源攻擊一個(gè)目標(biāo),即分布式拒絕服務(wù)攻擊( Distributed Deny of Service, DDoS)。 有關(guān) DoS攻擊和 DDoS攻擊的其他資料,讀者可以參考相關(guān)文獻(xiàn)。在這類(lèi)攻擊中,最薄弱的環(huán)節(jié)是一些使用了網(wǎng)絡(luò)堆棧進(jìn)行工作的場(chǎng)合。 ? 本節(jié)以“ Ping Of Death”攻擊來(lái)闡述這個(gè)問(wèn)題。盡管一個(gè)包的長(zhǎng)度不能超過(guò) 65535字節(jié),但可以把報(bào)文分割成片段,然后在目標(biāo)主機(jī)上重組。 一般說(shuō)來(lái),當(dāng)一個(gè)主機(jī)收到了長(zhǎng)度大于 65535字節(jié)的包時(shí),就是受到了 Ping of Death攻擊,該攻擊會(huì)造成系統(tǒng)的宕機(jī)。 //4位首部長(zhǎng)度 ,4位 IP版本號(hào) unsigned char tos。 //16位總長(zhǎng)度 (字節(jié) ) unsigned short ident。 //3位標(biāo)志位 ,13位偏移量 unsigned char ttl。 //8位協(xié)議 (TCP, UDP 或其他 ) unsigned short checksum。 //32位源 IP地址 unsigned int destIP。 在以上結(jié)構(gòu)體ip_header中,“ total_len”定義了數(shù)據(jù)包中所包含的字節(jié)數(shù)目,在本程序中unsigned short最大值是 65535,即:一個(gè)包的長(zhǎng)度最大為65536字節(jié)。在結(jié)構(gòu)體 ip_header中,有一個(gè)成員frag_and_flags,該成員共 2字節(jié) 16位,它分為兩部分: ? 3位標(biāo)志位:這里需要解釋的是其中兩位,其中 1位指定數(shù)據(jù)包是否允許被分段,還有 1位指定后面是否還有更多允許分段的數(shù)據(jù)包; ? 另外 13位:指定數(shù)據(jù)包分段的偏移量。此時(shí)出現(xiàn)拒絕服務(wù)攻擊。以下代碼結(jié)構(gòu)可以解決以上問(wèn)題: 該代碼結(jié)構(gòu)中描述了運(yùn)算過(guò)程,具體的代碼和具體的語(yǔ)言相關(guān),用戶(hù)可以參考相關(guān)資料,完成相應(yīng)代碼。以聊天程序?yàn)槔?,如果服?wù)器代碼中,每收到一個(gè) Socket連接請(qǐng)求就開(kāi)辟一個(gè)新的線(xiàn)程,那么敵方就有可能反復(fù)請(qǐng)求連接,如果不限制工作線(xiàn)程的數(shù)目,攻擊者就很容易反復(fù)進(jìn)行連接請(qǐng)求,制造足夠多的線(xiàn)程來(lái)耗盡服務(wù)器端得 CPU和內(nèi)存資源。 SYN Flood是當(dāng)前比較流行的 DoS與 DDoS方式之一,很多其他形式的攻擊都可能是這種攻擊的變種,或者原理與此方法類(lèi)似。 根據(jù)網(wǎng)絡(luò)通信原理, TCP協(xié)議是基于連接的,言下之意,為了在服務(wù)端和客戶(hù)端之間傳送 TCP數(shù)據(jù),必須先建立一個(gè) TCP連接,然后才能夠傳輸數(shù)據(jù),否則一端就進(jìn)行等待。 不過(guò),我們無(wú)法保證網(wǎng)絡(luò)的穩(wěn)定性,如果由于網(wǎng)絡(luò)原因,無(wú)法保證三次握手能夠正常完成, TCP協(xié)議是怎么解決的呢? 以一個(gè)極端的例子為例,在上面例子的第一步中,客戶(hù)端向服務(wù)器發(fā)送了 SYN報(bào)文后突然停電,服務(wù)器并不知道客戶(hù)端停電了,在服務(wù)器上仍然執(zhí)行第二步工作,也就是說(shuō),服務(wù)器端在收到客戶(hù)端的 SYN報(bào)文后,將返回一個(gè) SYN(同步 )+ACK(確認(rèn) )標(biāo)志的報(bào)文給客戶(hù)端。 一般說(shuō)來(lái),服務(wù)器等待的這個(gè)時(shí)間為 30 秒到 2 分鐘,該時(shí)間也稱(chēng)為 SYN Timeout 時(shí)間。因?yàn)楫?dāng)單個(gè)客戶(hù)端連接服務(wù) 器時(shí)出現(xiàn)異常,導(dǎo)致服務(wù)器的一個(gè)線(xiàn)程等待一段時(shí)間,不會(huì)造成服務(wù)器的崩潰;但是, 如果大量的客戶(hù)端連接服務(wù)器出現(xiàn)異常,導(dǎo)致服務(wù)器的多個(gè)線(xiàn)程都要等待一段時(shí)間, 服務(wù)器就難以承受了。站在正??蛻?hù)的角度來(lái)看,服務(wù)器響應(yīng)變慢,或者 干脆失去了響應(yīng)。 SYN Flood 攻擊的本質(zhì)在于向服務(wù)器端請(qǐng)求大量的 未完成連接,而這些連接的個(gè)數(shù)直接影響到攻擊的效果。 值得注意的是,如果將 SYN Timeout 設(shè)置得過(guò)小,又有可能會(huì)影響正??蛻?hù)的訪(fǎng) 問(wèn)。一般采用 Cookie 方法,也稱(chēng) SYN Cookie。該方法主要針對(duì)客戶(hù) 端 IP 地址沒(méi)有經(jīng)過(guò)偽造的情況。 3:使用相應(yīng)軟件 (防火墻 ),屏蔽掉一些可疑的客戶(hù)端,也能從一定程度上降低被 攻擊系統(tǒng)的負(fù)荷。 2:在服務(wù)器端,利用 stat an 命令,檢查系統(tǒng)中是否有大量的 SYN_RECV 連 接狀態(tài),如果有很多,或者超過(guò)一定比例,就說(shuō)明系統(tǒng)可能遭受了拒絕服務(wù)攻擊。以 Web 程序?yàn)槔?Web 程序的運(yùn)行結(jié)構(gòu)如下: 該圖中,客戶(hù)端可以發(fā)出請(qǐng)求,運(yùn)行應(yīng)用服務(wù)器中的程序 (如網(wǎng)頁(yè) ),服務(wù)器端程 序訪(fǎng)問(wèn)數(shù)據(jù)庫(kù),得到結(jié)果應(yīng)答給客戶(hù)端。
點(diǎn)擊復(fù)制文檔內(nèi)容
物理相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1