拒绝服务攻击？

拒绝服务攻击？

拒绝服务攻击是一种拒绝用户或客户端对特定的系统和网络资源进行访问的技术。其实现可以是利用操作系统或软件的漏洞，也可以在使用非常大数量的合法请求，其结果都会形成过多的资源消耗或使资源崩溃，以实现对资源的拒绝访问目的。ping of deathICMP报文是由系统内核或进程直接处理而不是通过端口，因此构造ICMP报文一向是攻击主机的最好方法之一。 一个完整的IP数据包最大为65535Byte，如果底层协议的MTU小于上层IP数据包的大小，IP包就应该分片，并由接收者进行重组。典型的以太网的MTU为1500Byte。ICMP作为内嵌于IP中的协议，其容许的最大数据量应该是65535-20-8Byte。其中，20为IP头的大小，8为ICMP头的大小。在很多操作系统的早期版本中，对网络数据包的最大尺寸有限制。对单个IP报文的处理过程中通常要设置有一定大小的缓冲区，以应付IP分片的情况。接收数据包时，网络层协议要对IP分片进行重组，可是，如果重组后的数据报文长度超过了IP报文缓冲区的上限时，就会出现溢出现象，导致TCP/IP协议栈的崩溃。 早期的Ping工具允许任意设置发送数据的字节数，于是，黑客只需要简单地利用ping工具就可以让目标主机拒绝服务。防御：死Ping的问题已经是一个比较古老的问题了。现在所有的标准TCP/IP实现都能够对付超大尺寸的包，例如Windows 2000中的Ping命令只允许发送65500Byte大小的数据，Linux则一律是84Byte，不分片。并且大多数防火墙能够自动过滤这些攻击。并且只有ping会造成这种问题。 在早期的操作系统，如Windows NT 3.51或windows 95中，都存在这样的问题。 因此，Ping of Death对于仍在使用的早期未打补丁的操作系统仍然奏效。tear drop利用早期某些操作系统中TCP/IP协议栈对IP分片包进行重组时的漏洞。Windows 3.1/95/NT以及Linux 2.1.63以前的版本都存在这个问题。攻击者向目标主机发送两个分片的IP包。第一个IP包的数据偏移(offset)设为0，有效数据长度为N。第二个IP包的数据偏移设为K(K