免费智能真题库 > 历年试卷 > 网络规划设计师 > 2020年下半年 网络规划设计师 上午试卷 综合知识
  第39题      
  知识点:   TCP建立与释放   拒绝服务攻击
  章/节:   Internet 协议   黑客攻击及预防方案       

 
SYN Flooding攻击的原理是( )。
 
 
  A.  利用TCP三次握手,恶意造成大量TCP半连接,耗尽服务器资源,导致系统的拒绝服务
 
  B.  有些操作系统在实现TCP/IP协议栈时,不能很好地处理TCP报文的序列号的查找问题,导致系统崩溃
 
  C.  有些操作系统在实现TCP/IP协议栈时,不能很好地处理IP分片包的重叠情况,导致系统崩溃
 
  D.  有些操作系统协议栈在处理IP分片时,对于重组后超大的IP数据报不能很好地处理,导致缓存溢出而系统崩溃
 
 
 

  相关试题:TCP 协议          更多>  
 
  第19题    2010年下半年  
   51%
TCP协议在工作过程中存在死锁的可能,其发生的原因是(18),解决方法是(19)。
  第18题    2010年下半年  
   44%
TCP协议在工作过程中存在死锁的可能,其发生的原因是(18),解决方法是(19)。
  第36题    2014年下半年  
   40%
Windows中的Netstat命令显示有关协议的统计信息。下图中显示列表第二列Local Address显示的是(35)。当TCP连接处于SYN_SENT状态..
 
  第25题    2021年下半年  
   38%
窃取是一种针对数据或系统的(24)的攻击。DDoS攻击可以破坏数据或系统的(25)。
  第55题    2009年下半年  
   47%
网管人员在监测网络运行状态时,发现下列现象:服务器上有大量的TCP连接,收到了大量源地址各异、用途不明的数据包;服务器收到大..
 
   知识点讲解    
   · TCP建立与释放    · 拒绝服务攻击
 
       TCP建立与释放
        TCP连接的建立是从客户向服务器发送一个主动打开请求而启动的。如果服务器已经执行了被动打开操作,那么双方就可以交换报文以建立TCP连接。只有在建立TCP连接之后,双方才开始收发数据。而且,当其中一方发送完数据后,就会关闭它这一方的连接,同时向对方发送撤销TCP连接的报文。需要注意的是,TCP连接的建立是一个非对称的活动,即一方执行被动打开而另一方执行主动打开(更准确地说,当双方试图同时打开连接时,连接的建立是对称的。但常见的情况是一方执行主动打开,另一方执行被动打开);而连接终止则是对称的活动,即每一方都独立地关闭连接。因此,有可能一方已经完成了关闭连接,即它不再发送数据,但是另一方却保持双向连接的另一半打开状态并且继续发送数据。
        TCP连接的建立和终止使用了三次握手(Three-way Handshake)机制。三次握手是指客户和服务器之间要交换三次报文,如下图所示。
        
        TCP连接建立的三次握手
        三次握手机制的基本思想是,连接双方需要协商一些参数,在打开一个TCP连接的情况下,这些参数就是双方打算为各自的字节流使用的初始序号。
        (1)首先,客户(主动参与方)发送一个连接建立请求报文给服务器(被动参与方),声明它将使用的初始序号(SYN,SEQ=x)。
        (2)服务器用一个连接建立响应报文,确认客户端的序号(ACK=x+1),同时声明自己使用的开始序号(SYN,SEQ=y)。也就是说,第二个报文的Flags字段的SYN和ACK标志位都设置为1。
        (3)最后,客户用第三个报文来响应并且确认服务器的开始序号(ACK,ACK=y+1)。确认序号比发送来的序号大1的原因是确认序号(Acknowledgment Number)字段实际标明了“所希望的下一个字节序号”,因此隐含地确认所有前面的字节序号。
        虽然,上图没有显示出重传定时器的事情,但是在前面两个报文中都使用了定时器,而如果发送方没有接收到所希望的应答,就会重发该报文。
        读者可能会问,为什么在TCP连接建立阶段客户和服务器要相互交换开始序号呢?如果建立连接的双方简单地从已知的序号开始(比如每次都从0开始)会比较简单。实际上,TCP要求连接的每一方随机地选择一个初始序号,这样做的原因是防止黑客太容易猜测初始序号而进行TCP连接劫持攻击。
 
       拒绝服务攻击
        DoS是指攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
               拒绝服务攻击的方式
               (1)SYN Flood。SYN Flood是当前最流行的DoS的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
               (2)IP欺骗DOS攻击。这种攻击利用RST位来实现。假设现在有一个合法用户(202.197.120.2)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为202.197.120.2,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从202.197.120.2发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户202.197.120.2再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击时,攻击者会伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。
               (3)UDP洪水攻击。攻击者利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。
               (4)Ping洪流攻击。由于在早期的阶段,路由器对包的最大尺寸都有限制。许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64KB上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机。
               (5)泪滴(Teardrop)攻击。泪滴攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括Service Pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
               (6)Land攻击。Land攻击原理是:用一个特别打造的SYN包,它的原地址和目标地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留,直到超时,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续5分钟)。
               (7)Smurf攻击。一个简单的Smurf攻击原理就是,通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(Ping)数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞。它比ping of death洪水的流量高出1或2个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。
               (8)Fraggle攻击。Fraggle攻击实际上就是对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP。
               分布式拒绝服务
               分布式拒绝服务(Distributed Denial of Service,DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。
               拒绝服务预防
               防止拒绝服务攻击可以通过各种办法来预防:
               (1)主机的设置:关闭不必要的服务;限制同时打开的SYN半连接数目;缩短SYN半连接的time out时间;及时更新系统补丁。
               (2)防火墙的设置:禁止对主机的非开放服务的访问;限制同时打开的SYN最大连接数;限制特定IP地址的访问;启用防火墙的防DoS的属性;严格限制对外开放的服务器向外访问。
   题号导航      2020年下半年 网络规划设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第39题    在手机中做本题