《典型攻击技术PPT课件》由会员分享,可在线阅读,更多相关《典型攻击技术PPT课件(54页珍藏版)》请在金锄头文库上搜索。
1、5 典型攻击技术,二、拒绝服务攻击,(Denial of Service),DoS/DDoS攻击事件介绍,世界上第一个DoS攻击:1988年11月发生的Morris蠕虫事件。导致了5000多台主机瘫痪。,2000年,世界上著名的电子商务网站:Yahoo、eBay、Amazon、CNN等都遭到了分布式拒绝服务攻击。,1999年秋天,CMU大学的CERT中心发布出现一种新的攻击:DDoS。,拒绝服务攻击,拒绝服务攻击(DoS):就是利用网络协议本身的漏洞以及操作系统或应用程序软件实现的漏洞对计算机发动攻击,使计算机无法正常对外提供服务。除了利用各种漏洞进行攻击,拒绝服务攻击也可以利用合法的服务请求
2、来占用过多的服务资源,使服务过载,从而无法响应其他用户的合法请求。这些服务资源包括网络带宽、系统文件空间、CPU处理能力、内存空间、连接的进程数。,目的:使目标主机无法提供正常的服务或是使目标主机崩溃。而其他类型攻击的目的都是为了获取其控制权。,拒绝服务攻击(Dienial of Service),拒绝服务攻击是一种广泛存在的系统攻击,这种攻击的目的是使目标主机停止网络服务,而其他攻击的目的往往是欲获取主机的控制权。 这种攻击的危险性在于它可以在没有获得主机的任何权限的情况下进行,只要主机连接在网络上就可能受到攻击。 攻击简单、容易达到目的、难于防止和追查困难,拒绝服务攻击产生的根源,当一个对
3、资源的合理请求大大超过系统的处理能力时就会造成拒绝服务攻击,例如,对已经满载的Web 服务器进行过多的请求,或者不断生成新的文件将系统的磁盘空间耗尽。 资源包括网络带宽、文件系统空间容量、进程或者内存空间、CPU 处理能力、处理队列等。 还有一些恶意的拒绝服务攻击利用操作系统或软件的漏洞,产生特殊的请求使系统崩溃或进入等待状态,而正常的服务请求却无法得到响应 。,DoS攻击方法,利用软件实现的缺陷 利用协议的漏洞 合理请求大大超过系统的处理能力,DoS攻击种类,停止服务:破坏或是迫使目标服务器关闭一个特定服务。,消耗资源:服务进程本身还能够运行,但攻击者消耗了计算机和网络资源,阻止了合法用户的
4、正常访问。,攻击种类,攻击方法,利用网络传输协议的缺陷,发送畸形的数据包,导致目标主机的TCP/IP协议栈无法处理而拒绝服务。,利用主机上的服务程序的漏洞,发送特殊格式的数据导致服务处理错误而拒绝服务。,产生高流量的无用数据,造成网络拥塞,使受害主机无法与外界正常通信。,利用应用服务协议的缺陷,提交大量的请求将主机资源耗尽。,DoS攻击分类,停止服务,消耗资源,本地,远程,恶意数据包型DoS攻击,Land攻击,死亡之ping攻击,TearDrop泪滴攻击,恶意数据包型DoS攻击利用某些操作系统的TCP/IP协议栈或是其他一些网络应用服务的软件实现中存在漏洞,构造一些非法、恶意的数据包,由于开发
5、时没有预计到会出现这些非法数据包,系统相应的响应也是随机的。因此,这类攻击会递归执行,导致许多系统崩溃、停止响应等。,畸形消息攻击,Land攻击,Land攻击原理是利用某些TCP/IP协议栈的三次握手过程实现中存在缺陷,而进行DoS攻击的。,Land攻击是向目标主机发送一个特殊的SYN包,包中的源地址和目的地址都是目标主机的地址。目标主机收到这样的连接请求时会向自己发送SYN/ACK数据包,结果导致目标主机向自己发回ACK数据包并创建一个连接,大量的这样数据包使目标主机建立了很多无效的连接,系统资源被耗尽。,死亡之ping(Ping of Death),Ping程序使用的ICMP协议,而ICM
6、P报文长度是固定的,64K。早期的很多操作系统在接收ICMP数据报文时,只开辟64K的缓冲区用于存放接收到的ICMP报文,并且没有检查接收到ICMP报文的实际长度,如果ICMP报文的实际长度大于64K,则产生一个缓冲区溢出错误,导致TCP/IP协议堆栈崩溃。造成主机的重启动或死机。这就是Ping of Death的原理。,Ping of Death攻击实例,Ping l 65540 192.168.1.12 参数“l”:指定发送ICMP报文的长度。,Windows98/2K中,使用下面的命令 Ping l 65540 192.168.1.12 系统返回的信息: Bad value for op
7、tion l,valid range is from 0 to 65500,泪滴(teardrop)攻击简介,泪滴(teardrop)攻击又称为分片攻击。它是一种典型的利用TCP/IP协议栈的漏洞进行DoS攻击。由于第一个实现这种攻击的程序叫teardrop,所以这种攻击也被称为“泪滴”攻击。,泪滴攻击的原理,Teardrop攻击主要是利用IP数据包的分片机制,通过发送重叠的分片偏移地址,使的TCP/IP协议栈无法正确的对IP分片重组,最终导致目标主机的TCP/IP协议栈的崩溃。,Teardrop攻击示意图,客户端,服务器,PSH 1:1025,PSH 800:1000,三次握手,PSH 1:
8、1025,PSH 800:1000,目标主机TCP/IP协议栈,重组时崩溃,畸形消息攻击,畸形消息攻击是一种有针对性的拒绝服务攻击方式,它利用操作系统或是应用程序存在某些处理消息时没有适当的错误校验的漏洞进行攻击。所以一旦收到这些畸形的消息,目标系统或程序就会崩溃。,向IIS5服务器递交如下的URL会导致IIS5的停止服务: http:/dstIP/.25kb of . .ida GET /.3k.htr HTTP/1.0,远程拒绝服务式攻击的恶意数据包-1,远程拒绝服务式攻击的恶意数据包2,远程资源消耗型DoS攻击,SYN FLOOD攻击,目前最流行的DoS攻击技术就是远程占用目标主机的资源
9、,特别是网络带宽。,UDP FLOOD攻击,Smurf攻击,Fraggle攻击,电子邮件炸弹攻击,SYN FLOOD攻击原理,进行syn flood攻击的程序向服务器发送一个带有虚假源地址(未被使用的)的SYN包,当服务器收到这个数据包时,向这个虚假地址发送一个SYN/ACK的响应数据包,由于源地址是不存在的地址,因此,目标主机发送的SYN/ACK包不会得到确认,目标主机一直等待这个连接直至超时,当这种带有虚假地址的连接请求数目超过了系统规定的最大连接请求数目时,目标主机就无法为其他正常用户提供服务。,UDP Flood攻击,echo服务和chargen服务 Echo和chargen服务都是自
10、动回复的网络服务。当用户向echo服务的端口发送一个字符,则echo服务也返回一个相同的字符。而chargen服务返回一个随机的字符。,黑客找到两台启动echo或chargen服务的主机,然后伪装成其中一台主机向另一台主机echo或chargen服务发送一个字符,这样这两台主机就互相回复数据,两台主机间形成大量的UDP数据包,当多个系统之间互相服务对方的echo/chargen服务时,就导致整个网络的瘫痪。,Smurf攻击原理,Smurf攻击属于放大攻击。放大攻击的原理就是发送一个数据包产生多个响应。比如:黑客向一个LAN的广播地址发送一个ping数据包,如果这个LAN的路由器配置允许广播数据
11、包,那么这个LAN与广域网相连接的路由器首先收到这个ping数据包,路由器将这个广播消息发送给LAN的每一台主机,然后每台主机都发送一个ping响应数据包。,Smurf攻击的条件,smurf攻击中包括三方:攻击者,中间网络(也属于受害对象)、受害主机。smurf攻击中攻击者发送一个源地址为受害主机的ICMP回显请求给中间网络。smurf攻击的关键是找到允许广播数据包的中间网络。,Smurf攻击示意图,Fraggle攻击,Fraggle攻击原理与smurf攻击一样,都是向广播地址发送数据包,利用广播地址的特殊性将攻击放大,导致对目标主机的DoS攻击。只是Fraggle使用的是UDP应答消息。,电
12、子邮件炸弹,电子邮件炸弹是最古老的匿名攻击之一,它的原理就是利用旧的SMTP协议不要求对发信人进行身份认证,黑客以受害者的email地址订阅大量的邮件列表,从而导致受害者的邮箱空间被占满。,新的SMTP协议增加了2个命令,对发信人进行身份认证,在一定程度上降低了电子邮件炸弹的风险。,邮箱炸弹,邮箱炸弹就是向受害者的信箱发送大批量的垃圾邮件,塞满整个信箱,使正常的Mail通信无法进行。 早期的ISP提供的收费信箱常常不限制信箱大小,在遭受垃圾邮件的轰炸后,受害者不仅Mail通信受到阻塞,而且在经济上也会受到巨大的损失。,SMB攻击,SMB(Session Message Block,会话消息块协
13、议)又叫做NetBIOS或LanManager协议,用于不同计算机之间文件、打印机、串口和通讯的共享和用于Windows平台上提供磁盘和打印机的共享。 SMB协议版本有很多种,在Windows 98、Windows NT、Windows 2000和XP使用的是NTLM 0.12版本。 利用该协议可以进行各方面的攻击,比如可以抓取其他用户访问自己计算机共享目录的SMB会话包,然后利用SMB会话包登录对方的计算机。下面介绍利用SMB协议让对方操作系统系统重新启动或者蓝屏。,SMB攻击,使用的工具软件是:SMBDie V1.0,该软件对打了SP3、SP4的计算机依然有效,必须打专门的SMB补丁,软件
14、的主界面如图5-32所示。,致命攻击,然后再点按钮“Kill”,如果参数输入没有错误的话,对方计算机立刻重启或蓝屏,命中率几乎100%,被攻击的计算机蓝屏界面如图5-34所示。,带宽阻塞攻击,拥有宽带连接的计算机还可以对窄带接入的计算机发起带宽阻塞攻击,造成其由于接收了过多的连接请求或过量的数据包而导致网络带宽耗尽而阻塞。,网络阻断,有些黑客攻击软件可以监控网络中的通信连接,通过发出复位信号使通信双方的连接中断,甚至连续地阻断双方的连接。 一般情况下,网络阻断攻击如果不和其它的攻击手段配合,就是一种纯粹的拒绝服务,使受害用户的计算机无法和自己的服务器建立会话连接,使正常的通信业务无法进行。,(
15、DDoS),分布式拒绝服务,DDoS攻击原理,大量主机同时对同一个目标或多个目标发动拒绝服务攻击,这种协同攻击方式被称为分布式拒绝服务攻击。,为了发动DDoS,黑客必须先控制大量的主机(这些主机被称为zombie),在这些主机上安装进行DoS攻击的软件。,DDoS攻击软件一般分为守护程序和服务器程序。黑客在客户端通过客户端软件向服务器软件发出攻击命令,服务器端软件在接到命令后,控制守护进程向目标主机发动DDoS攻击。一旦客户端发出攻击命令后,就与服务器断开,由服务器指挥守护进程进行攻击。,2020/12/20,36,分布式拒绝服务攻击示意图,客户端Client (黑客),服务器(handler
16、/master),守护进程 (agent),目标主机 (被攻击对象),DDoS攻击过程,第一步:探测扫描大量主机以寻找可入侵主 机目标。,第二步:入侵有安全漏洞的主机并获取控制权,第三步:在每台入侵主机中安装攻击程序,一些 主机 上安装handler,另一些主机上安装 agent。,第四步:黑客向handler发送攻击指令,handler 控制agent发动DDoS攻击。,常见的DDoS攻击工具,TFN/TFN2K,Trinoo,Stacheldraht,Trinity,MStream,TFN2K,TFN(Tribe Flood Network)是德国著名黑客Mixter编写的DDoS工具,由服务器端程序和守护进程组成,能实施ICMP FLOOD,SYN FLOOD,UDP FLOOD,Smurf等多种拒绝服务攻击。TFN2K是目前网上最流行的DDoS工具,它支持Unix/Linux以及Win NT/Win2K等多种操作系统。,TFN2K特点
