网络安全4-拒绝服务攻击

1、网络平安西南科技大学计算机科学与技术学院.第3章回想网络扫描网络监听口令破解讨论：如何发现和预防ARP欺骗ARP Poisoning攻击？.第4章 回绝效力攻击本章引见DoS攻击的定义、思想和分类，对SYN Flooding攻击、Smurf攻击、利用途置程序错误的回绝效力攻击、电子邮件轰炸攻击和分布式回绝效力攻击(DDoS)方法分别进展了详细的分析，并对每一种攻击提供了防备措施。 .第4章 回绝效力攻击4.1 回绝效力攻击概述4.2 回绝效力攻击分类4.3 效力端口攻击4.4 电子邮件轰炸4.5 分布式回绝效力攻击DDoS. 回绝效力攻击概述DoS定义回绝效力攻击DoSDenial of Se

2、rvice是阻止或回绝合法运用者存取网络效力器的一种破坏性攻击方式主要方式：破绽攻击发送大量看似合法的数据物理方式呵斥结果：停顿呼应资源耗尽，不能为合法用户提供效力；第4章 第1节. 回绝效力攻击概述举例January 2001A DDoS attack on Microsoft prevented about 98% of legitimate users from getting to any of Microsofts servers. In October 2002There was an attack on all 13 root Domain Name System (DNS) s

3、ervers. August 15, 2003Microsoft falls to DoS attackCompanys Web site inaccessible for two hours第4章 第1节. 回绝效力攻击概述从某种程度上可以说，DoS攻击永远不会消逝。软件破绽永远存在计算机网络包转发网络的设计缺陷发送方和接受方没有公用资源数据包能经过恣意途径从发送方到达接受方主干上高带宽的数据可以淹没低带宽的边缘衔接目前还没有根本的解诀方法技术缘由社会缘由第4章 第1节. 回绝效力攻击分类攻击方式耗费资源网络带宽、存储空间、 CPU时间等破坏或改动配置信息 物理破坏或者改动网络部件 利用效力

4、程序中的处置错误使效力失效 发起方式传统的回绝效力攻击 分布式回绝效力攻击Distributed Denial of Service 第4章 第2节. 回绝效力攻击分类攻击方式：耗费资源针对网络衔接的回绝效力攻击 ping 、flooding、SYN floodingping、finger广播包 广播风暴SMURF攻击 耗费磁盘空间 ERROR-LOG FTP站点的incoming目录 制造渣滓文件第4章 第2节. 回绝效力攻击分类攻击方式：耗费资源耗费CPU资源和内存资源 main()fork()；main()； 第4章 第2节. 回绝效力攻击分类攻击方式：破坏或更改配置信息修正效力用户群(

5、deny)apache效力器删除口令文件第4章 第2节. 回绝效力攻击分类攻击方式：物理破坏或改动网络部件 计算机、路由器、网络配线室、网络主干段、电源、冷却设备、其它的网络关键设备 攻击方式：利用效力程序中的处置错误使效力失效LAND攻击第4章 第2节. 4.3 效力端口攻击SYN Flooding Smurf攻击 利用途置程序错误的回绝效力攻击 第4章 第3节.4.3 效力端口攻击SYN FloodingACK=y+1SYN, SEQ=y, ACK=x+1SYN, SEQ=x发送端S接纳端DTCP衔接的三次握手第4章 第3节为衔接分配资源.4.3 效力端口攻击SYN FloodingSYN

6、, SEQ=y, ACK=x+1SYN, SEQ=x发送端S接纳端DSYN Flooding第4章 第3节为衔接分配资源. 效力端口攻击SYN Flooding10 - 55 NBT Datagram Service Type=17 Source=ROOTDC20 47 - 55 NBT Datagram Service Type=17 Source=TSC0 ? - (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes 00 - (broadcast) ARP C Who is 02, 02 ? 78 - TCP D=124 S=2

7、 Syn Seq=674711609 Len=0 Win=65535 78 - TCP D=125 S=2 Syn Seq=674711609 Len=0 Win=65535 78 - TCP D=126 S=2 Syn Seq=674711609 Len=0 Win=65535 78 - TCP D=128 S=2 Syn Seq=674711609 Len=0 Win=65535 78 - TCP D=130 S=2 Syn Seq=674711609 Len=0 Win=65535 78 - TCP D=131 S=2 Syn Seq=674711609 Len=0 Win=65535

8、78 - TCP D=133 S=2 Syn Seq=674711609 Len=0 Win=65535 78 - TCP D= S=2 Syn Seq=674711609 Len=0 Win=65535 第4章 第3节网络正常数据网络中发生攻击. 效力端口攻击SYN Flooding 同步包风暴回绝效力攻击具有以下特点 针对TCP/IP协议的薄弱环节进展攻击发动攻击时，只需很少的数据流量就可以产生显著的效果攻击来源无法定位IP欺骗在效力端无法区分TCP衔接恳求能否合法第4章 第3节. 效力端口攻击SYN Flooding 同步包风暴攻击的本质是利用TCP/IP协议集的设计弱点和缺陷只需对现有

9、的TCP/IP协议集进展艰苦改动才干修正这些缺陷目前还没有一个完好的处理方案，但是可以采取一些措施尽量降低这种攻击发生的能够性 第4章 第3节. 效力端口攻击SYN Flooding 应对 优化系统配置 优化路由器配置 运用防火墙 自动监视 完善根底设备 第4章 第3节. 效力端口攻击Smurf攻击 这种攻击方法结合运用了IP欺骗和ICMP回复方法使大量网络数据充斥目的系统，引起目的系统回绝为正常恳求进展效力 第4章 第3节. 效力端口攻击Smurf攻击目的主机黑客主机路由器网络主机n因特网1.黑客向网络广播地址发ICMP包2.路由器不过滤广播包5.目的主机遭到大量ICMP包攻击4.网络上各个

10、主机都向目的主机回应ICMP包网络主机1网络主机2 3.网络上各个主机都收到ICMP广播包图中实线部分表示攻击者发出的ICMP包，虚线部分表示对目的攻击的ICMP包第4章 第3节. 效力端口攻击Smurf攻击应对实践发起攻击的网络 过滤掉源地址为其他网络的数据包被攻击者利用的中间网络配置路由器制止IP广播包 被攻击的目的 与ISP协商，由ISP暂时阻止这些流量第4章 第3节. 效力端口攻击错误处置Ping of Death Teardrop Winnuke Land 第4章 第3节. 效力端口攻击错误处置Ping of Death 操作系统无法处置65536字节的ICMP包Windows95如

11、今的操作系统都能处置这个错误。C:ping -l 65507 -n 1 07Bad value for option -l, valid range is from 0 to 65500.第4章 第3节. 效力端口攻击错误处置Teardrop攻击举个例子来阐明这个破绽：第一个碎片：mf=1 offset=0 payload=20第二个碎片：mf=0 offset=10 payload=9memcpy拷贝第二个碎片时: memcpy(ptr + fp-offset), fp-ptr, fp-len)其中拷贝长度为：fp-len=19-20=-1； 那么将拷贝过多的数据导致解体。第4章 第3节分片

12、标志偏移值负载长度目的源长度. 效力端口攻击错误处置Winnuke攻击 Windows : NetBIOS : OOB蓝屏操作系统中心缺点send (sock,&c,1,MSG_OOB);第4章 第3节. 效力端口攻击错误处置Land攻击 攻击者将一个包的源地址和目的地址都设置为目的主机的地址，然后将该包经过IP欺骗的方式发送给被攻击主机，这种包可以呵斥被攻击主机因试图与本人建立衔接而堕入死循环，从而很大程度地降低了系统性能 对Land攻击反响不同，许多UNIX实现将解体，而Windows会变的极其缓慢大约继续五分钟 第4章 第3节. 电子邮件轰炸在很短时间内收到大量无用的电子邮件 SMTP端

13、口 (25)telnet smtpTrying Connected to .Escape character is .220 ESMTPhello yahoo250 mail from: abc250 Okrcpt to: def250 Okdata354 End data with .渣滓邮件内容250 Ok: queued as 96FE61C57EA7Bquit第4章 第4节. 电子邮件轰炸邮件列表炸弹KaBoom!这种攻击有两个特点真正的匿名，发送邮件的是邮件列表难以防止这种攻击，除非被攻击者改换电子邮件地址，或者向邮件列表恳求退出 病毒发送电子邮件炸弹第4章 第4节. 电子邮件轰炸应

14、对配置路由器和防火墙，识别邮件炸弹的源头，不使其经过 提高系统记账才干，对事件进展追踪第4章 第4节. 分布式回绝效力攻击DDoS分布式回绝效力DDoSDistributed Denial of Service攻击是对传统DoS攻击的开展攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目的发起回绝效力攻击 第4章 第5节. 分布式回绝效力攻击DDoSDDoS的三级控制构造第4章 第5节. 分布式回绝效力攻击DDoS传统的回绝效力攻击的缺陷 受网络资源的限制 隐蔽性差DDoS抑制了这两个致命弱点 突破了传统攻击方式从本地攻击的局限性和不平安性 其隐蔽性和分布性很难被识别和防御

15、第4章 第5节. 分布式回绝效力攻击DDoS被DDoS攻击时能够的景象被攻击主机上有大量等待的TCP衔接 端口随意大量源地址为假的无用的数据包高流量的无用数据呵斥网络拥塞 利用缺陷，反复发出效力恳求，使受害主机无法及时处置正常恳求 严重时会呵斥死机第4章 第5节.分布式回绝效力攻击DDoS举例DDoS工具TrinooUDPTFNTribe Flooding NetworkStacheldrahtTFN2KTribe Flooding Network 2000多点攻击、加密传输、完好性检查、随机选择底层协议和攻击手段、IP地址欺骗、哑代理、隐藏身份等特点Trinity v3 第4章 第5节.分布式回绝效力攻击DDoS技术挑战需求Internet范围的分布式呼应短少攻击的详细信息短少防御系统的性能大范围测试的困难性社会挑战DDoS的分布性一切受维护的目的都需求防护. 分布式回绝效力攻击DDoS防御根本方式给单个主机打上补丁优化网络构造过滤危险数据包防御方法维护检测呼应第4章 第5节. 分布式回绝效力攻击DDoS防御方式一：维护数据源证明数据证明资源分配目的隐藏防御方式二：检测异常检测误用检测特征检测第4章 第5节. 分布式回绝效力攻击DDoS防御方式三：呼应流量战略过滤流量限制攻击追踪效力区分第4章 第5节.参考资料JelenaMirkovic,