网络安全4-拒绝服务攻击.pptx

网络安全4-拒绝服务攻击.pptx

《网络安全4-拒绝服务攻击.pptx》由会员分享，可在线阅读，更多相关《网络安全4-拒绝服务攻击.pptx（42页珍藏版）》请在冰点文库上搜索。

网络安全,西南科技大学计算机科学与技术学院,第3章回顾,网络扫描网络监听口令破解讨论：

如何发现和预防ARP欺骗（ARPPoisoning）攻击？

第4章拒绝服务攻击,本章介绍DoS攻击的定义、思想和分类，对SYNFlooding攻击、Smurf攻击、利用处理程序错误的拒绝服务攻击、电子邮件轰炸攻击和分布式拒绝服务攻击（DDoS）方法分别进行了详细的分析，并对每一种攻击提供了防范措施。

第4章拒绝服务攻击,4.1拒绝服务攻击概述4.2拒绝服务攻击分类4.3服务端口攻击4.4电子邮件轰炸4.5分布式拒绝服务攻击DDoS,拒绝服务攻击概述,DoS定义拒绝服务攻击DoS（DenialofService）是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式主要方式：

漏洞攻击发送大量看似合法的数据物理方式造成结果：

停止响应资源耗尽，不能为合法用户提供服务；,第4章第1节,拒绝服务攻击概述,举例January2001ADDoSattackonMicrosoftpreventedabout98%oflegitimateusersfromgettingtoanyofMicrosoftsservers.InOctober2002Therewasanattackonall13rootDomainNameSystem（DNS）servers.August15,2003MfallstoDoSattackCompanysWebsiteinaccessiblefortwohours,第4章第1节,拒绝服务攻击概述,从某种程度上可以说，DoS攻击永远不会消失。

软件漏洞永远存在计算机网络（包转发网络）的设计缺陷发送方和接受方没有专用资源数据包能通过任意路径从发送方到达接受方主干上高带宽的数据可以淹没低带宽的边缘连接目前还没有根本的解诀办法技术原因社会原因,第4章第1节,拒绝服务攻击分类,攻击模式消耗资源网络带宽、存储空间、CPU时间等破坏或改变配置信息物理破坏或者改变网络部件利用服务程序中的处理错误使服务失效发起方式传统的拒绝服务攻击分布式拒绝服务攻击（DistributedDenialofService）,第4章第2节,拒绝服务攻击分类,攻击模式：

消耗资源针对网络连接的拒绝服务攻击ping、flooding、SYNfloodingping、finger广播包广播风暴（SMURF攻击）消耗磁盘空间EmailERROR-LOGFTP站点的incoming目录制造垃圾文件,第4章第2节,拒绝服务攻击分类,攻击模式：

消耗资源消耗CPU资源和内存资源,main（）fork（）；main（）；,第4章第2节,拒绝服务攻击分类,攻击模式：

破坏或更改配置信息修改服务用户群（deny）（apache服务器）删除口令文件,第4章第2节,拒绝服务攻击分类,攻击模式：

物理破坏或改变网络部件计算机、路由器、网络配线室、网络主干段、电源、冷却设备、其它的网络关键设备攻击模式：

利用服务程序中的处理错误使服务失效LAND攻击,第4章第2节,4.3服务端口攻击,SYNFloodingSmurf攻击利用处理程序错误的拒绝服务攻击,第4章第3节,4.3服务端口攻击,SYNFlooding,第4章第3节,为连接分配资源,4.3服务端口攻击,SYNFlooding,第4章第3节,为连接分配资源,服务端口攻击,SYNFlooding,192.168.0.210-192.168.0.255NBTDatagramServiceType=17Source=ROOTDC20192.168.0.247-192.168.0.255NBTDatagramServiceType=17Source=TSC0?

-（broadcast）ETHERType=886F（Unknown）,size=1510bytes192.168.0.200-（broadcast）ARPCWhois192.168.0.102,192.168.0.102?

127.0.0.178-TCPD=124S=1352SynSeq=674711609Len=0Win=65535127.0.0.178-TCPD=125S=1352SynSeq=674711609Len=0Win=65535127.0.0.178-TCPD=126S=1352SynSeq=674711609Len=0Win=65535127.0.0.178-TCPD=128S=1352SynSeq=674711609Len=0Win=65535127.0.0.178-TCPD=130S=1352SynSeq=674711609Len=0Win=65535127.0.0.178-TCPD=131S=1352SynSeq=674711609Len=0Win=65535127.0.0.178-TCPD=133S=1352SynSeq=674711609Len=0Win=65535127.0.0.178-TCPD=135S=1352SynSeq=674711609Len=0Win=65535,第4章第3节,网络正常数据,网络中发生攻击,服务端口攻击,SYNFlooding同步包风暴拒绝服务攻击具有以下特点针对TCP/IP协议的薄弱环节进行攻击发动攻击时，只要很少的数据流量就可以产生显著的效果攻击来源无法定位（IP欺骗）在服务端无法区分TCP连接请求是否合法,第4章第3节,服务端口攻击,SYNFlooding同步包风暴攻击的本质是利用TCP/IP协议集的设计弱点和缺陷只有对现有的TCP/IP协议集进行重大改变才能修正这些缺陷目前还没有一个完整的解决方案，但是可以采取一些措施尽量降低这种攻击发生的可能性,第4章第3节,服务端口攻击,SYNFlooding应对优化系统配置优化路由器配置使用防火墙主动监视完善基础设施,第4章第3节,服务端口攻击,Smurf攻击这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络数据充斥目标系统，引起目标系统拒绝为正常请求进行服务,第4章第3节,服务端口攻击,Smurf攻击,第4章第3节,服务端口攻击,Smurf攻击应对实际发起攻击的网络过滤掉源地址为其他网络的数据包被攻击者利用的中间网络配置路由器禁止IP广播包被攻击的目标与ISP协商，由ISP暂时阻止这些流量,第4章第3节,服务端口攻击,错误处理PingofDeathTeardropWinnukeLand,第4章第3节,服务端口攻击,错误处理PingofDeath操作系统无法处理65536字节的ICMP包（Windows95）现在的操作系统都能处理这个错误。

C:

ping-l65507-n1192.168.1.107Badvalueforoption-l,validrangeisfrom0to65500.,第4章第3节,服务端口攻击,错误处理Teardrop攻击,举个例子来说明这个漏洞：

第一个碎片：

mf=1offset=0payload=20第二个碎片：

mf=0offset=10payload=9memcpy拷贝第二个碎片时:

memcpy（ptr+fp-offset）,fp-ptr,fp-len）其中拷贝长度为：

fp-len=19-20=-1；那么将拷贝过多的数据导致崩溃。

第4章第3节,分片标志,偏移值,负载长度,目的,源,长度,服务端口攻击,错误处理Winnuke攻击Windows:

NetBIOS:

139OOB蓝屏（操作系统核心故障）,send（sock,第4章第3节,服务端口攻击,错误处理Land攻击攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能对Land攻击反应不同，许多UNIX实现将崩溃，而Windows会变的极其缓慢（大约持续五分钟）127.0.0.1,第4章第3节,电子邮件轰炸,在很短时间内收到大量无用的电子邮件SMTP端口（25）,telnetsmtpTrying2.4.6.8Connectedto.Escapecharacteris.220ESMTPhello250mailfrom:

250Ok,rcptto:

250Okdata354Enddatawith.垃圾邮件内容250Ok:

queuedas96FE61C57EA7Bquit,第4章第4节,电子邮件轰炸,邮件列表炸弹KaBoom!

这种攻击有两个特点真正的匿名，发送邮件的是邮件列表难以避免这种攻击，除非被攻击者更换电子邮件地址，或者向邮件列表申请退出病毒发送电子邮件炸弹,第4章第4节,电子邮件轰炸,应对配置路由器和防火墙，识别邮件炸弹的源头，不使其通过提高系统记账能力，对事件进行追踪,第4章第4节,分布式拒绝服务攻击DDoS,分布式拒绝服务DDoS（DistributedDenialofService）攻击是对传统DoS攻击的发展攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击,第4章第5节,分布式拒绝服务攻击DDoS,DDoS的三级控制结构,第4章第5节,分布式拒绝服务攻击DDoS,传统的拒绝服务攻击的缺点受网络资源的限制隐蔽性差,DDoS克服了这两个致命弱点突破了传统攻击方式从本地攻击的局限性和不安全性其隐蔽性和分布性很难被识别和防御,第4章第5节,分布式拒绝服务攻击DDoS,被DDoS攻击时可能的现象被攻击主机上有大量等待的TCP连接端口随意大量源地址为假的无用的数据包高流量的无用数据造成网络拥塞利用缺陷，反复发出服务请求，使受害主机无法及时处理正常请求严重时会造成死机,第4章第5节,分布式拒绝服务攻击DDoS举例,DDoS工具TrinooUDPTFN（TribeFloodingNetwork）StacheldrahtTFN2K（TribeFloodingNetwork2000）多点攻击、加密传输、完整性检查、随机选择底层协议和攻击手段、IP地址欺骗、哑代理、隐藏身份等特点Trinityv3,第4章第5节,分布式拒绝服务攻击DDoS,技术挑战需要Internet范围的分布式响应缺少攻击的详细信息缺少防御系统的性能大范围测试的困难性社会挑战DDoS的分布性所有受保护的目标都需要防护,分布式拒绝服务攻击DDoS,防御基本方式给单个主机打上补丁优化网络结构过滤危险数据包防御方法保护检测响应,第4章第5节,分布式拒绝服务攻击DDoS,防御方式一：

保护数据源证实数据证实资源分配目标隐藏防御方式二：

检测异常检测误用检测特征检测,第4章第5节,分布式拒绝服务攻击DDoS,防御方式三：

响应流量策略过滤流量限制攻击追踪服务区分,第4章第5节,参考材料,JelenaMirkovic,SvenDietrich,DavidDittrich,PeterReiher.InternetDenialofService:

AttackandDefenseMechanisms.PrenticeHallPTR.2004,拒绝服务攻击,基本原理、方法分类服务端口攻击电子邮件轰炸分布式拒绝服务攻击DDoS,第4章小结,第4章拒绝服务攻击习题,课后习题外部用户针对网络连接发动拒绝服务攻击有哪几种模式？

请举例说明。

对付分布式拒绝服务攻击的方法有哪些？

举例说明。

第4章习题,