|
網(wǎng)絡技術是從1990年代中期發(fā)展起來的新技術,它把互聯(lián)網(wǎng)上分散的資源融為有機整體,實現(xiàn)資源的全面共享和有機協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡、傳感器等。 當前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段。 在網(wǎng)絡過載攻擊中,一個共享的資源或者服務由于需要處理大量的請求,以至于無法滿足從其他用戶到來的請求。例如一個用戶生成了大量的進程,那么其他用戶就無法運行自己的進程。如果一個用戶使用了大量的磁盤空間,其他用戶就無法生成新的文件。有效保護系統(tǒng)免遭過載攻擊的辦法是劃分計算機中的資源,將每個用戶的使用量限制在自己的那一份中。另外,還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。 1.進程過載的問題 最簡單的拒絕服務的攻擊是進程攻擊。在進程攻擊中,―個用戶可以阻止在同時間內(nèi)另一個用戶使用計算機。進程攻擊通常發(fā)生在共享的計算機中,如果沒有人與自己爭奪使用計算機,就沒有必要使用這種攻擊方法。這種攻擊對現(xiàn)在的UNIX系統(tǒng)沒有多大效果,因為現(xiàn)在的UNIX系統(tǒng)限制任何UID(除了o)使用的進程數(shù)目。這個限制叫做MAXUPROC,當系統(tǒng)構筑時,在內(nèi)核進行設置,一些系統(tǒng)允許在啟動時設置這個值。 例如soIarts允許在/etc/system文件中設置這個值。set NAXUP助C;100進行這種攻擊的用戶消耗的是他自己的進程數(shù)目,而不是別人的。一個超級用戶可以使用ps命令查看一個進程的子孫數(shù)目,使用kill命令來殺死那些無用進程。有時候不能一個又―個地殺死這些進程,因為剩余的進程會生成新的進程。一個好的辦法是先用kill命令停止這些進程,然后殺死它們。另外可以同時殺死一組進程。在許多情況下,一個用戶生成了許多進程,這些進程是同一組的。要找出進程組,可使用ps命令的選項,然后一次殺死這些進程。 在現(xiàn)在的UNIX系統(tǒng)中,一個具有超級用戶權限的用戶仍舊可以通過使用進程攻擊的方法來使系統(tǒng)停機。這是因為對超級用戶能使進程數(shù)目沒有什么限制,但是作為一個超級用戶,他還是可以關閉系統(tǒng),或者執(zhí)行其他命令,所以這不是一個很重要的問題。除非超級用戶正在運行的程序有一個極值,沒有人可以得到一個進程,哪怕僅僅是登錄。還有其他一些情況可能使系統(tǒng)過載。雖然沒使一個用戶到達他自己的最大進程數(shù)目,但由于太多的用戶在使用計算機,系統(tǒng)還是達到了一個可允許的最大進程數(shù)。另外一個可能性是系統(tǒng)配置錯誤,一個用戶允許使用的進程樹本身已等于或者超出了系統(tǒng)允許的最大進程數(shù)目。當系統(tǒng)中有太多的進程時,沒有更好的辦法來糾正,只有讓系統(tǒng)重啟。這是因為:用戶無法運行ps命令來決定有多少進程需要殺死,因為執(zhí)行ps命令也需要生成進程。如果網(wǎng)絡管理員當前沒有登錄為超級用戶,則也不能使用su或者是10gin命令,因為這兩個命令同樣要生成新的進程。針對這種情況,可以使用exec% exec /b 2n/su Pass word:#需要注意的是,不要敲錯了口令,因為程序會執(zhí)行,但執(zhí)行完畢之后,將自動地退出系統(tǒng)。 如果用戶遇到了rk于太多進程而造成的系統(tǒng)飽和,重新啟動系統(tǒng)。最簡單的方法是按機箱上的RESET鍵。但是,這會破壞磁盤上的文件塊,因為系統(tǒng)還沒有來得及刷新磁盤。沒有多少系統(tǒng)被設計得能在突然關閉時,還執(zhí)行正常關閉的那些工作。比較好的辦法是殺死一些進程,然后進入單用戶模式。 在現(xiàn)代的unix系統(tǒng)中,超級用戶可以發(fā)送一個SIGTEBM信號給除了系統(tǒng)進程和自己進程之外的所有進程:#KILL-TERM-1# 如果當前使用的UNIX沒有這一點可以執(zhí)行如下命令:#KILL-TERM1向INIT進程發(fā)送一個SIGTERM信號。UNIX自動殺死所有的進程,進入單用戶模式,這時,可以執(zhí)行sync命令,然后重新啟動系統(tǒng)。 2.系統(tǒng)過載攻擊 另一種流行的基于進程的攻擊是一個用戶產(chǎn)生了許多進程,消耗了大量的cpu時間。這種攻擊減少了其他用戶可用的CPU處理時間。例如,某用戶使用了十個find命令,并使用則在一些目錄中查找文件,這些都可以使系統(tǒng)運行得像爬行一樣慢。 比較好的辦法是,教育用戶合理地共享系統(tǒng),鼓勵用戶使用nice命令降低后臺運行的進程的優(yōu)先級。另外,也可以使用at和batch命令,將一些長的任務安排在系統(tǒng)不是很繁忙的時候去執(zhí)行。對那些故意或者重復這種行為的用戶可以采取一些措施。 如果系統(tǒng)過載了,用root登錄,將自己的優(yōu)先紐設為較高的值。然后使用ps命令觀察運行的進程,并使用kill命令。 3.磁盤攻擊 攻擊方式是填充磁盤空間個用戶向磁盤填充了大量的文件,其他用戶不能生成文件做其它有用的事. 磁盤滿攻擊 du命令可以發(fā)現(xiàn)系統(tǒng)中磁盤分區(qū)空間的使用情況。du命令遞歸地查找目錄樹,列出每一個使用了多少塊。也可以使用flnd命令列出那些大文件的文件名。可以使用find命令的-size選項,列出文件大小超過一定慎的文件。 quot命令可以根據(jù)每一個用戶來總結文件系統(tǒng)的使用情況。使用―f選項,quot打印出每一個用戶使用的文件數(shù)量和使用的塊數(shù)。 UNIX文件系統(tǒng)使用inode來存放文件的信息。一個可以便磁盤不能使用的途徑是消耗所有磁盤上的空閑inode,使之不能生成新的文件。一個用戶可能生成了上千個空文件。這是一個很令人困惑的問題,因為df命令提示有許多可用的空間,然而當生成文件時,卻得到一個錯誤。這是因為每一個新文件、目錄、管道文件都需要一個inode結構去描述。如果可用的inode消耗盡了,系統(tǒng)便無法生成新文件,但此時,系統(tǒng)還有可用的磁盤空間。 可以使用df命令的―I選項來查看有多少空閑的inode。通常,可以將磁盤劃分成一些小的分區(qū),保護磁盤滿攻擊。將不同用戶的主目錄放到不同的分區(qū)中。用這種方式,如果一個分區(qū)被充滿了,別的用戶并不受影響。 另一個有效的辦法是,使用在許多現(xiàn)代unix系統(tǒng)中都有的quota系統(tǒng),來保護系統(tǒng)不受這種攻擊。通過磁盤配額系統(tǒng),每一個用戶可以確定有多少inode可用;有多少磁盤塊可用. 防止拒絕服務的攻擊 許多現(xiàn)代的UNIX允許管理員設置一些限制,如限制可以使用的最大內(nèi)存、CPU時間以及可以生成的最大文件等。如果當前正在開發(fā)―個新的程序,而又不想偶然地使系統(tǒng)變得非常緩慢,或者使其它分享這臺主機的用戶無法使用,這些限制是很有用的。Korn Shell的ulimit命令和Shell的Iimit命令可以列出當前程的資源限制。 網(wǎng)絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發(fā)展,這正是網(wǎng)絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個人學習測試使用,請在下載后24小時內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網(wǎng)絡資源,如侵犯到您的權益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統(tǒng) 手機站 關于本站
