SQL注入攻击的原理及其防范措施

三、攻击时直接借用

与上述各类情况不同，直接利用其他计算机做为攻击平台时，黑客并不需要首先入侵这些被利用的计算机，而是误导它们去攻击目标。黑客在这里利用了TCP/IP协议和操作系统本身的缺点漏洞，这种攻击更难防范，特别是制止，尤其是后面两种反射式分布拒绝服务攻击和DNS分布拒绝服务攻击。

3.1 Smurf攻击

原理介绍

Smurf攻击是这种攻击的早期形式，是一种在局域网中的攻击手段。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如ping请求时，会接到它的回应；如果向本网络的广播地址发送请求包，实际上会到达网络上所有的计算机，这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的，每处理一个就要占用一份系统资源，如果同时接到网络上所有计算机的回应，接收方的系统是有可能吃不消的，就象遭到了DDoS攻击一样。大家会疑问，谁会无聊得去向网络地址发包而招来所有计算机的攻击呢？

当然做为一个正常的操作者是不会这么做的，但是当黑客要利用这个原理进行Smurf攻击的时候，他会代替受害者来做这件事。

黑客向广播地址发送请求包，所有的计算机得到请求后，却不会把回应发到黑客那里，而是被攻击的计算机处。这是因为黑客冒充了被攻击主机。黑客发包所用的软件是可以伪造源地址的，接到伪造数据包的主机会根据源地址把回应发出去，这当然就是被攻击目标的地址。黑客同时还会把发包的间隔减到几毫秒，这样在单位时间能发出数以千计的请求，使受害者接到被欺骗计算机那里传来的洪水般的回应。象遭到其他类型的拒绝服务攻击一样，被攻击主机会网络和系统无法响应，严重时还会导致系统崩溃。

黑客借助了网络中所有计算机来攻击受害者，而不需要事先去占领这些被欺骗的主机。

在实际使用中，黑客不会笨到在本地局域网中干这件事的，那样很容易被查出。他们会从远程发送广播包到目标计算机所在的网络来进行攻击。

防御方法

局域网中是不必进行Smurf攻击的防御的。我们只需在路由器上进行设置，在收到定向广播数据包时将其丢弃就可以了，这样本地广播地址收不到请求包，Smurf攻击就无从谈起。注意还要把网络中有条件成为路由器的多宿主主机（多块网卡）进行系统设置，让它们不接收和转发这样的广播包。

3.2 DrDoS（反射式分布拒绝服务攻击）

原理介绍

这是DDoS攻击的变形，它与DDoS的不同之处就是DrDoS不需要在实际攻击之前占领大量的傀儡机。这种攻击也是在伪造数据包源地址的情况下进行的，从这一点上说与Smurf攻击一样，而DrDoS是可以在广域网上进行的。其名称中的"r"意为反射，就是这种攻击行为最大的特点。黑客同样利用特殊的发包工具，首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上，根据TCP三次握手的规则，这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。同Smurf攻击一样，黑客所发送的请求包的源IP地址是被害者的地址，这样受欺骗的计算机就都会把回应发到受害者处，造成该主机忙于处理这些回应而被拒绝服务攻击。

3.3 DNS分布拒绝服务攻击

原理介绍
DNS拒绝服务攻击原理同DrDoS攻击相同，只是在这里被欺骗利用的不是一般的计算机，而是DNS服务器。黑客通过向多个DNS服务器发送大量的伪造的查询请求，查询请求数据包中的源IP地址为被攻击主机的IP地址，DNS服务器将大量的查询结果发送给被攻击主机，使被攻击主机所在的网络拥塞或不再对外提供服务。

防御方法
通过限制查询主机的IP地址可以减轻这种攻击的影响，比较糟糕的是在现实环境中这么做的DNS服务器很少。目前不能从根本上解决这个问题。另外可以从自己的网络设备上监视和限制对DNS查询请求的回应，如果突然出现流量剧增的情况，限制一下到达DNS服务器的查询请求，这样可以避免自己管理的服务器被欺骗而去攻击无辜者。