淚滴攻擊是一種拒絕服務 (DoS) 攻擊,這種攻擊使用零碎的資料封包來淹沒受害者的伺服器或網絡。由於伺服器無法重新組合封包,因此會造成負載過重,最終導致系統關閉。
淚滴攻擊通常會針對已存在 TCP/IP 漏洞的伺服器為目標。最後,這種攻擊會利用 IP 封包被分成片段和重新組合的機制來逃避本地伺服器或網絡的傳統安全控制。由於很多機構經常執行未修補或過時的系統軟件,淚滴攻擊正好可以利用這些漏洞。因此,淚滴攻擊較常針對地方政府、醫院和小型銀行,尤其是那些使用非常舊的操作系統 (例如 Windows 95 或更舊的操業系統) 的機構。
本指南將詳細探討淚滴攻擊,包括它們是甚麼、如何運作以及如何防禦,從而幫助你盡量減少將來成為淚滴攻擊或類似攻擊的受害者的風險。
淚滴攻擊如何發生?
想像一下,你每天都在家裡(或辦公室裡)工作,忙碌地做自己的事情,但突然間,你的本地電腦在毫無警告的情況下關閉。或者,你的本地網絡在整個辦公室範圍被切斷,你無法存取任何你需要的本地資料。這就是拒絕服務(Denial-of-Service)和分佈式拒絕服務(Distributed Denial-of-Service)攻擊時發生的情況。
DDoS 網絡攻擊令人感到煩擾,並且可能會造成嚴重後果,而在美國這種攻擊並不罕見。2017 年 9 月,Google(及其大部分數碼基礎設施)成為這種攻擊的受害者長達六個月,而攻擊的規模達到每秒 2.54 兆位元組。GitHub 在 2015 年和 2018 年都曾經成為受害者,甚至 AWS 在 2020 年也發生了達到每秒 2.3 兆位元組的攻擊。
對現今的一般使用者來說,更不幸的是,DDoS 和 DoS 攻擊有各種不同的形式。自從最初出現以來,這種攻擊就如過去 20 年來大部分的網絡安全環境一樣已經發生大幅演變。其中最難捕捉的攻擊就是淚滴攻擊。淚滴攻擊因其漸進式的方式而得名,如果你不小心,成功的淚滴攻擊可能會令你的電腦(或其所連接的系統)完全毀損且毫無反應。
淚滴攻擊是如何運作的?
一般數碼系統的設計是為了處理同時傳入一定數量的資料而建立的。因此,資料或網絡流量通常會被分解成較小的片段,然後在稱為片段偏移欄位的地方標記特定的數字。在沒有受到攻擊時,通常的做法是當資料到達後,以正確的次序重新排列。
然而,在淚滴攻擊中,網絡罪犯會在片段偏移欄位中注入漏洞,破壞重新排序的程序。結果,你的系統收集了大量無法正確重新組合的損壞資料片段。不幸的是,你的系統會在沒有警告的情況下會因為過載而崩潰。
淚滴攻擊的例子
多年來,已出現了幾個針對大型系統的著名攻擊,對很多網絡安全從業員來說可能都頗為熟悉。這些攻擊包括(但不限於):
- Windows NT 和 95:淚滴攻擊在 1990 年代末期首次在 Windows 3.1x、NT 和 95 上造成重大影響,促使微軟為應對很多系統故障案例而發佈修補程式來堵塞漏洞。
- 家用系統:這類型的攻擊在老舊的 Windows 和 Linux 系統上都很常見,主要是在 Windows 95 和Linux 內核 2.1.63 之前的版本中發生。
- Android/Rowhammer:性質類似淚滴攻擊的攻擊,稱為 RAMpage,對 2012 年至 2018 年間推出的所有 Android 裝置構成威脅。
預防淚滴攻擊
有幾種不同的方法可預防網絡或本地系統遭受淚滴攻擊。以下的網絡安全建議適用於很多不同的數碼威脅和惡意軟件,不僅是淚滴攻擊。
更新你的操作系統
首先,我們建議你更新所有軟件和操作系統,並確保從相關的開發商下載所有可用的安全修補程式。如前所述,系統漏洞是淚滴攻擊的通常入侵媒介,因此這是保護你的本地電腦和更廣泛網絡的簡單方法。
封鎖連接端口
如果你無法修補舊版軟件或關鍵任務應用程式,防止淚滴攻擊的最佳方法之一就是停用連接端口 139 和 445。這樣,你就可以針對那些無法從供應商接收安全更新的系統,阻擋來自任何有潛在危險的伺服器的訊息。
啟動防火牆
預防淚滴攻擊(以及保護你的本地電腦)的最簡單方法之一,就是確保你的機器或網絡已安裝可靠且全面的防火牆或網絡安全解決方案。我們建議你使用我們的專用安全軟件 Kaspersky Premium 來為你提供全面保護、定期更新以及一致性的幫助和支援。
常見問題
甚麼是淚滴攻擊?
淚滴攻擊是一種拒絕服務 (DOS) 攻擊,這種攻擊會使用存在瑕疵、零碎的資料封包來淹沒使用者的系統,直到系統(或網絡)死機並關閉。有時也稱為淚滴 DDoS 攻擊,淚滴攻擊通常以存在 TCP/IP 漏洞和使用老舊軟件的伺服器為目標。
推薦的相關文章和連結:
推薦產品:
