淚滴攻擊是一種阻斷服務(DoS)攻擊,其使用碎片資料包來癱瘓受害者的伺服器或網路,讓伺服器因無法重新組裝資料包而導致超載並導致系統關閉。
淚滴攻擊通常針對存在 TCP/IP 漏洞的伺服器,並最終會利用 IP 封包的分段和重組方式來躲避本地伺服器或網路上的傳統安全管控。有鑑於許多組織經常運行未修補或過時的系統軟體,淚滴攻擊經常能夠利用此類漏洞。因此,淚滴攻擊在地方政府、醫院和小型銀行中更為常見,尤其是那些使用非常舊的作業系統(例如 Windows 95 或更早版本)的機構。
本指南將詳細探討淚滴攻擊,包括淚滴攻擊的定義、其運作原理以及防禦方式,幫助使用者避免成為其受害者並盡可能減少受到類似攻擊的風險。
淚滴攻擊的由來?
想像一下,您在家(或在辦公室)忙著一天的工作內容,突然間,您的本地電腦在沒有任何提示的情況下自動關閉了。或者,您的辦公空間中的本地網路突然中斷,導致您無法存取所需的任何本地資料。這些都是受到阻斷服務(DoS)和分散式阻斷服務(DDoS)攻擊時常見的情況。
儘管 DDoS 網路攻擊可能很嚴重,但其並不罕見。2017 年 9 月,Google(及其大部分數位基礎設施)成為持續六個月的此類攻擊的受害者,攻擊規模達到每秒 2.54 太比特。2017 年 9 月,Google(及其大部分數位基礎設施)成為持續六個月的此類攻擊的受害者,攻擊規模達到 2.3 Tbps。
可怕的是,對於現今的一般使用者來說,DDoS 和 DoS 攻擊有多種不同的形式。如同網路安全領域過去 20 年的大部分方面一樣,此類攻擊自最初出現以來也發生了顯著的演變,而其中最難捕捉的攻擊之一就是淚滴攻擊。淚滴攻擊因其逐漸增加攻擊量的手法而能導致電腦(或其連接的系統)完全被摧毀並無法回應。
淚滴攻擊的運作方式為何?
數位系統一般是為了處理同時接受到的一定量的資料而建構。因此,資料或網路流量通常被分解為較小的片段,然後在稱為片段偏移欄位的特定數字中進行標記,並在收到後再按照正確的順序重新排列。但這是沒有受到攻擊時的情況。
當受到淚滴攻擊時,網路犯罪人士會在片段偏移欄位中加入缺陷的內容,進而擾亂重新排序的過程,並導致系統收集大量損壞的碎片資料而無法正確重組,而系統就會在完全沒有(或沒有足夠的)警告的情況下超載並癱瘓。
淚滴攻擊範例
網路安全產業的許多人可能都熟悉多年來一些針對大型系統的著名攻擊。其中包括(但不限於):
- Windows NT 和 95:淚滴攻擊首先在 20 世紀 90 年代末對 Windows 3.1x、NT 和 95 造成了重大影響,讓微軟因此需要發布修補程式來因應其漏洞,以應對許多系統發生故障的情況。
- 居家系統:此類攻擊在老舊 Windows 和 Linux 系統上很常見,主要出現在 Windows 95 和 2.1.63 之前的 Linux 核心中。
- Android/Rowhammer:一種名為 RAMpage 並與淚滴攻擊類似的攻擊,對 2012 年至 2018 年間發布的所有 Android 裝置造成了威脅。
淚滴攻擊的預防
有幾種方法能防止網路或本地系統受到淚滴攻擊,下列網路安全建議可用於抵禦許多類型的數位威脅和惡意軟體,而不僅僅是淚滴攻擊。
更新作業系統
首先,我們建議保持所有軟體和作業系統的更新,並確保自相關開發單位下載所有可用的安全性修補程式。如前所述,系統漏洞是淚滴攻擊的常見入侵點,因此這是保護本地電腦和其他多種網路的簡單方法。
封鎖連接埠
如果您無法修補舊軟體或重要任務的應用程式,防止淚滴攻擊的最佳方法之一就是停用連接埠 139 和 445。如此一來便能阻止系統因無法從供應商收到安全性更新而收到潛在危險的伺服器訊息。
啟用防火牆
抵禦淚滴攻擊(並保護本機電腦)最簡單的方法之一就是確保電腦或網路上安裝了信譽良好且全面的防火牆或網路安全解決方案。建議您使用我們的卡巴斯基專業版,該專業安全軟體能提供您牢不可破的防火牆、定期更新以及不間斷的協助和支援。
問與答
什麼是淚滴攻擊?
淚滴攻擊是一種阻斷服務(DOS)攻擊,讓有缺陷的碎片資料包充斥使用者的系統,直到系統(或網路)癱瘓並關閉。淚滴攻擊(有時稱也為淚滴 DDoS 攻擊)通常會針對具有現有 TCP/IP 漏洞和老舊軟體的伺服器。
建議文章和連結:
推薦產品
