基本漏洞原理及防御（8）-DOS：基于内核处理的停止服务

DOS攻击：拒绝服务攻击

从广义上说，只要攻击行为使得主机或者服务器停止服务了，那么这种攻击方式都可以划归到DOS攻击里。

DOS攻击主要分为两类，利用其拒绝服务的原理：

第一类是：攻击内核处理方式，使得内核或者操作系统停止服务

第二类是：攻击资源，使得服务器资源耗尽，停止服务

我们这里先讲第一类攻击

常见的例如winnuke，teardrop泪滴攻击，都属于攻击处理方式的大类。

 

1.WinNuke攻击

　　这是一种拒绝服务攻击，又称“带外传输攻击”，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为1，即紧急模式。Winnuke攻击往往针对的是Windows系统上一般都开放的139端口，这个端口由NetBIOS使用。向这些端口发送一些携带TCP带外（OOB）数据报文的，但这些攻击报文与正常携带OOB数据报文不同的是，其指针字段与数据的实际位置不符，即存在重合。这样目标系统在处理这些数据的时候，就会崩溃。利用winnuke攻击程序就可以实现。

防御：防范此类攻击的方法就是升级系统或给系统打补丁，也可以删除NetBIOS协议或关闭137、138、139端口

2.teardrop泪滴攻击

Teardrop是一种畸形报文攻击，通过向被攻击者发送多个分片ip数据包，攻击者故意将其中的一些数据包的分片的片偏移字段设错，与其他的报文发生重叠，一旦被攻击的操作系统接受组合报文之后，不合规无法识别的报文就会使得内核手足无措，停止服务。

检测方法：可以检测接受到的数据包的片偏移量是否正确。

防御方法：设置一个接收缓冲区，并不直接解析，而是在缓冲区中检测接收到的片偏移是否正确，如果不正确则丢弃报文。