泪滴攻击是一种拒绝服务 (DoS) 攻击,它使用碎片化的数据包来淹没受害者的服务器或网络。由于服务器无法重组这些数据包,因此会导致系统过载并关闭。
泪滴攻击通常针对存在 TCP/IP 漏洞的服务器。最终,它们利用 IP 数据包碎片化和重组的方式来逃避本地服务器或网络上的传统安全控制。鉴于许多组织经常运行未打补丁或过时的系统软件,泪滴攻击很容易利用这些漏洞。因此,泪滴攻击在地方政府、医院和小型银行中更为常见,尤其是那些使用非常老旧的操作系统(如 Windows 95 或更早版本)的组织。
本指南将详细探讨泪滴攻击,包括它们的定义、运作原理和防御方法,尽可能降低您将来成为它们或类似攻击的受害者的风险。
泪滴攻击来自于何处?
想象一下,您日常在家(或在办公室)工作,专心做自己的事情,然后突然间,本地计算机毫无预警地关闭了。或者,您办公空间的局域网被切断,您无法访问任何所需的本地数据。这是拒绝服务和分布式拒绝服务攻击期间会发生的情况。
DDoS 网络攻击既令人烦恼又可能造成严重后果,在美国并不罕见。2017 年 9 月,Google(及其大部分数字基础设施)遭受了六个月之久的此类攻击,攻击规模达 2.54 Tbps。GitHub 在 2015 年和 2018 年都曾是这类攻击的受害者,甚至 AWS 在 2020 年也遭受了一次攻击,规模达 2.3 Tbps。
不幸的是,对于当今的普通用户来说,DDoS 和 DoS 攻击有多种不同的形式。这些攻击自首次出现以来已发生了显著变化,就像过去 20 年来网络安全格局的许多方面一样。其中最难捕捉的攻击可以说是泪滴攻击。泪滴攻击因其渐进式的方法而得名,如果不小心应对,成功的泪滴攻击可能导致您的计算机(或者其连接的系统)完全崩溃且无响应。
泪滴攻击是如何运作的?
一般的数字系统被设计为能同时处理一定量的数据。因此,数据或网络流量通常会被分解成较小的片段,然后在所谓的片段偏移字段中标记特定的编号。当这些片段到达后,系统再按照正确的顺序进行重新排列,这是没有攻击时的通常情况。
然而,在泪滴攻击期间,网络犯罪分子会在片段偏移字段中注入缺陷,干扰重新排序的过程。结果是,您的系统会收集大量损坏的碎片数据,无法正确重组。不幸的是,您的系统只会在没有(充分)警告的情况下过载并崩溃。
泪滴攻击的例子
多年来,发生过多起针对大型系统的知名攻击,网络安全行业的许多人可能都历历在目。这些攻击包括(但绝不限于):
- Windows NT 和 95:泪滴攻击在 20 世纪 90 年代末首次对 Windows 3.1x、NT 和 95 产生重大影响,迫使微软发布补丁修复漏洞,以应对众多系统故障案例。
- 家庭系统:这类攻击常见于旧版 Windows 和 Linux 系统,主要出现在 Windows 95 和 2.1.63 之前的 Linux 内核中。
- Android/Rowhammer:一种与泪滴攻击性质类似的攻击,名为 RAMpage,对 2012 年至 2018 年间发布的每一台 Android 设备都构成了威胁。
泪滴攻击预防
有几种不同的方法可防止网络或本地系统受到泪滴攻击。以下网络安全建议适用于多种不同的数字威胁和恶意软件,而不仅仅是泪滴攻击。
更新操作系统
首先,我们建议更新所有软件和操作系统,并确保从相关开发商处下载所有可用的安全补丁。如前所述,系统漏洞是泪滴攻击的常见入口载体,因此这是保护本地计算机和更广泛网络的简单方法。
端口阻止
如果您无法给老旧软件或任务关键型应用程序打补丁,那么防止泪滴攻击的最佳方法之一是禁用端口 139 和 445。这样,您将阻止无法从供应商处接收安全更新的系统中任何潜在的危险服务器消息。
激活防火墙
防止泪滴攻击(以及保护本地计算机)的最简单方法之一是确保在计算机或网络上安装信誉良好且全面的防火墙或网络安全解决方案。我们建议使用我们的专用安全软件 – 卡巴斯基优选版,它可以为您提供坚不可摧的防火墙、定期更新,以及持续的帮助和支持。
常见问题
什么是泪滴攻击?
泪滴攻击是一种拒绝服务 (DoS) 攻击,它用有缺陷的碎片数据包淹没用户系统,直到系统(或网络)崩溃并关闭。泪滴攻击有时也称为泪滴 DDoS 攻击,通常以存在 TCP/IP 漏洞的服务器和旧版软件为目标。
推荐文章和链接:
推荐的产品:
