电子邮件_电子邮件攻击_linux系统病毒(2)

当ICMP数据包以不正确的参数发送时，会导致数据包被丢弃，这时就会发出ICMP参数出错数据包。主机或路由器丢弃发送的数据包，并向发送者回送参数ICMP出错数据包，指出坏的参数。

总的来说，只有公开地址的服务器(比如Web、电子邮件和FTP服务器)、防火墙、联入因特网的路由器有真正的理由使用ICMP与外面的世界对话。如果调整适当，实际上所有使用进站和出站ICMP的隐密通讯通道都会被中止。

2. SYN Flood防范

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DdoS(分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。对于SYN Flood攻击，目前尚没有很好的监测和防御方法，不过如果系统管理员熟悉攻击方法和系统架构，通过一系列的设定，也能从一定程度上降低被攻击系统的负荷，减轻负面的影响。

一般来说，如果一个系统(或主机)负荷突然升高甚至失去响应，使用Netstat 命令能看到大量SYN_RCVD的半连接(数量>500或占总连接数的10%以上)，可以认定，这个系统(或主机)遭到了SYN Flood攻击。遭到SYN Flood攻击后，首先要做的是取证，通过Netstat –n –p tcp >resault.txt记录目前所有TCP连接状态是必要的，如果有嗅探器，或者TcpDump之类的工具，记录TCP SYN报文的所有细节也有助于以后追查和防御，需要记录的字段有：源地址、IP首部中的标识、TCP首部中的序列号、TTL值等，这些信息虽然很可能是攻击者伪造的，但是用来分析攻击者的心理状态和攻击程序也不无帮助。特别是TTL值，如果大量的攻击包似乎来自不同的IP但是TTL值却相同，我们往往能推断出攻击者与我们之间的路由器距离，至少也可以通过过滤特定TTL值的报文降低被攻击系统的负荷(在这种情况下TTL值与攻击报文不同的用户就可以恢复正常访问)。从防御角度来说，有几种简单的解决方法：

2.1缩短SYN Timeout时间:由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下(过低的SYN Timeout设置可能会影响客户的正常访问)，可以成倍的降低服务器的负荷。

2.2设置SYN Cookie:就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。可是上述的两种方法只能对付比较原始的SYN Flood攻击，缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效，SYN Cookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，同时利用SOCK_RAW随机改写IP报文中的源地址，以上的方法将毫无用武之地。

2.3负反馈策略:参考一些流行的操作系统，如Windows2000的SYN攻击保护机制：正常情况下，OS对TCP连接的一些重要参数有一个常规的设置： SYN Timeout时间、SYN-ACK的重试次数、SYN报文从路由器到系统再到Winsock的延时等等。这个常规设置针对系统优化，可以给用户提供方便快捷的服务;一旦服务器受到攻击，SYN Half link 的数量超过系统中TCP活动 Half Connction最大连接数的设置，系统将会认为自己受到了SYN Flood攻击，并将根据攻击的判断情况作出反应：减短SYN Timeout时间、减少SYN-ACK的重试次数、自动对缓冲区中的报文进行延时等等措施，力图将攻击危害减到最低。如果攻击继续，超过了系统允许的最大Half Connection 值，系统已经不能提供正常的服务了，为了保证系统不崩溃，可以将任何超出最大Half Connection 值范围的SYN报文随机丢弃，保证系统的稳定性。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-37578-2.html