Q006 Snort如何检测Chargen/Echo DoS攻击？

DOS攻击类型有很多，这里以Chargen/Echo DoS攻击为例加以说明。Chargen服务端口为UDP 19，Echo为UDP 7。当UDP Chargen服务器收到一个数据包后，就会发回一个确认数据包。若它发现与客户端连接存在，则会不断发送数据包，这种往返发送的数据包就会被放大，以致占满整个网络带宽。在这里攻击者伪造了数据包，在两台开放Chargen/Echo的服务器上互相发送流量，从而造成资源耗尽，如图1-5所示。

图1-5 DoS攻击的例子

在OSSIM中打开文件/etc/snort/rules/dos.rules，第一行内容如下：

alert udp any 19 <> any 7 (msg:"DOS UDP echo+chargen bomb"; flow:to_server; reference: cve,1999-0103; reference:cve,1999-0635; classtype:attempted-dos; sid:271; rev:9;)

该特征检测的DoS条件是Chargen/Echo服务无限循环。还有一些DoS攻击会出现异常的数据输入，这些输入的内容会使服务器瘫痪。当然这是比较老的漏洞，新的操作系统不存在这种问题。