|
|
使用科来也有段时间了,现将一篇分析文档放上来与大家分享,第一次写类似文档,难免有失误或不足,欢迎大家批评指出,谢谢。
DOS(Denial of Service,即拒绝服务),是最近几年大家讨论比较多的话题,因为其攻击方法比较容易实现,现有的措施又不能根治,所以后来又出现了一些DOS的衍生攻击,比如DDOS等。作为一个成功的网络安全人员,必须对它要有相当的了解才能防范于未然,才能把损失降到最低。今天我们利用科来网络分析系统对该问题进行简单说明。
一、TCP协议与DOS攻击常见方式
1.TCP协议
TCP(transmission control protocol,传输控制协议),是用来在不可靠的因特网上提供可靠的、端到端的字节流通讯协议,在RFC793中有正式定义.
我们常见到的TCP/IP协议中,IP层不保证将数据报正确传送到目的地,TCP则从本地机器接受用户的数据流,将其分成不超过64K字节的数据片段,将每个数据片段作为单独的IP数据包发送出去,最后在目的地机器中再组合成完整的字节流,TCP协议必须保证可靠性。
发送和接收方的TCP传输以数据段的形式交换数据,一个数据段包括一个固定的20字节头,加上可选部分,后面再跟上数据,TCP协议从发送方传送一个数据段的时候,还要启动计时器,当数据段到达目的地后,接收方还要发送回一个数据段,其中有一个确认序号,它等于希望收到的下一个数据段的顺序号,如果计时器在确认信息到达前超时了,发送方会重新发送这个数据段。
对于网络分析来说,传输的数据内容不一定重要,相反重要的是TCP的数据头(header)。因为数据流的传输最重要的就是header里面的东西。客户端和服务端的服务响应就是同header里面的数据相关,两端的信息交流和交换是根据header中的内容实施的,因此,要确认DOS攻击,就必须对header非常熟悉。
[ 本帖最后由 andylee 于 2008-12-12 14:14 编辑 ] |
评分
-
1
查看全部评分
-
|
发表于 2008-12-12 13:52:23
