只有出现 RCPT TO 命令时才可以拒收邮件。因此,建立一个会话并发出数千个 HELO 请求将会让目标服务器重复处理参数,这些参数通常位于规则的表达式上。最糟糕的情况是在执行名称解析时,因为这会添加更多的处理和数据流量。因为单条 HELO 命令约有 100 个字节,所以有可能从通过宽带接入而连接到因特网的标准 PC 对邮件服务器发动十分有效的攻击。如果一检测到异常便中断会话,则这种攻击不可能实现。
改善效率
大多数拒绝服务攻击实施起来非常简单。然而某些情况下,标准PC和宽带接入并不足以发动有效的攻击。尤其当在目标基础结构上实施群集和负载平衡之类机制时更是如此。在此情况下将会把一个单一的目标IP 地址物理链接到许多服务器,从而产生大规模攻击需求。
有两种方式能使得攻击在这种情况下有效。第一种方式是找到一些提高攻击媒介能力(信息包、会话的数量或带宽等)的平衡因子。第二种方式取决于影响通信路径上设备或资源的某些副作用。
小型信息包
最常见的副作用是需由内联网络或安全设备来处理的巨量小型信息包的影响。根据在这些设备上实施的功能,将信息包从一个接口转发到另一个接口可能需要若干操作。简单的路由器必须根据其路由表做出决策。在信息包筛选操作中,必须检查第4层标头来验证筛选器。有态检验因需要检查会话表而增加了复杂性。像逆向代理等最后一个应用程序层设备必须在第7 层处理信息包。像信息包销毁或 NAT 等某些其他操作甚至需要更多的处理,因为必须重写信息包并重新计算若干校验和。
小型信息包产生的影响很容易用数字来说明。一般来说,指定用于处理特定带宽的设备在处理64字节的信息包时几乎不能提供大于10% 声明性能的吞吐量。任何依赖于小于 100 字节信息包的攻击可能首先会令路由器和防火墙崩溃,而不仅仅是影响目标服务器。
上行链路洪水攻击
另一个常见的副作用是在到目标的路径上对链路的洪水攻击。攻击者发送的请求和信息包很少能生成足够的数据流量来填满链路。然而,来自目标的响应通常会使数据流量大大增加。基本的例子就是SYN洪水。64字节的 SYN 信息包令目标生成 3 个 SYN-ACK(原因在于重新传输尝试)。这种效果在基于应用程序的攻击 页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] 第8页、共13页 |
