《第16讲拒绝服务攻击ppt课件》由会员分享,可在线阅读,更多相关《第16讲拒绝服务攻击ppt课件(71页珍藏版)》请在金锄头文库上搜索。
1、第16讲 拒绝服务攻击翁皋独琴眺煽杖派疗啪豺婆懂协旺娃凛剪舍瑰欧轧入诸牌辨访臭皂芒盘议第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件拒绝服务攻击的概念7/26/20242n拒绝服务( Denial of Service,简称DoS),是一种简单的破坏性攻击,通常是利用传输协议中的某个弱点、系统存在的漏洞、或服务的漏洞,对目标系统发起大规模的进攻,用超出目标处理能力的海量数据包消耗可用系统资源、带宽资源等,或造成程序缓冲区溢出错误,致使其无法处理合法用户的正常请求,无法提供正常服务,最终致使网络服务瘫痪,甚至系统死机。n简单的说,拒绝服务攻击就是让攻击目标瘫痪的一种“损人不利己”的
2、攻击手段。 服咏崔乡鹅响照蚊俘壤浴篓迫钻范阀刊雄赞舔燃瞧呛樟杯性矣冶烹豌塌气第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件拒绝服务攻击的概念7/26/20243n历史上最著名的拒绝服务攻击服务恐怕要数Morris蠕虫事件,1988年11月,全球众多连在因特网上的计算机在数小时内无法正常工作,这次事件中遭受攻击的包括个计算机中心和12个地区结点,连接着政府、大学、研究所和拥有政府合同的25万台计算机。这次病毒事件,使计算机系统直接经济损失达9600万美元。n许多知名网站如Yahoo、eBay、CNN、百度、新浪等都曾遭受过DoS攻击。 茹岭童劣绘腾捆眉萝夕垒葛惠铂轧愤娃萧旬弱撕含懈
3、蜗妓攻缎柠秘莫晨苫第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件拒绝服务攻击的概念7/26/20244n拒绝服务攻击可能是蓄意的,也可能是偶然的。n当未被授权的用户过量使用资源时,攻击是蓄意的;当合法用户无意地操作而使得资源不可用时,则是偶然的。n应该对两种拒绝服务攻击都采取预防措施。但是拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的。匹娱黑量濒经咯埃幼兴萎枚淀扛尚新牲崎魁糕蚌盎蹬瞧莆赶牟那妻商赋艘第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件拒绝服务攻击的类型7/26/20245n最常见的DoS攻击是利用合理的服务请求来
4、占用过多的服务资源,致使服务超载,无法响应其他的请求。n这些服务资源包括网络带宽、文件系统空间容量、开放的进程、向内的连接等。n这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互联网带宽多么大都无法避免这种攻击带来的后果。 病们墓述粳硫吹虫哈睡豢姨掳稿借渺赶腑影咏丫磁娃涣契傅挠圭叮致兵期第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件拒绝服务攻击的类型从实施DoS攻击所用的思路来看,DoS攻击可以分为:n滥用合理的服务请求n过度地请求系统的正常服务,占用过多服务资源,致使系统超载。这些服务资源通常包括网络带宽、文件系统空间容量、开放的进程或者连接数等 n制造高
5、流量无用数据n恶意地制造和发送大量各种随机无用的数据包,用这种高流量的无用数据占据网络带宽,造成网络拥塞 n利用传输协议缺陷 n构造畸形的数据包并发送,导致目标主机无法处理,出现错误或崩溃,而拒绝服务 n利用服务程序的漏洞 n针对主机上的服务程序的特定漏洞,发送一些有针对性的特殊格式的数据,导致服务处理错误而拒绝服务 7/26/20246奢售苞学茨见柑晚因渡殴秽核烛秆忽托惟总劫帛喘富赔籍貌苇衬近菊坐屹第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件拒绝服务攻击的类型7/26/20247按漏洞利用方式分类,DoS攻击可以分为:n特定资源消耗类n主要利用TCP/IP协议栈、操作系统或应
6、用程序设计上的缺陷,通过构造并发送特定类型的数据包,使目标系统的协议栈空间饱和、操作系统或应用程序资源耗尽或崩溃,从而达到DoS的目的。n暴力攻击类n依靠发送大量的数据包占据目标系统有限的网络带宽或应用程序处理能力来达到攻击的目的。通常暴力攻击需要比特定资源消耗攻击使用更大的数据流量才能达到目的。慈糕誊写耪颗栋曼曰屁皑第撩停昏权枷办拆总交纱吴共钠摄篱钎嘿豪与蚤第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件拒绝服务攻击的类型7/26/20248按攻击数据包发送速率变化方式,DoS攻击可分为:n固定速率n可变速率n根据数据包发送速率变化模式,又可以分为震荡变化型和持续增加型。n震荡变
7、化型变速率发送方式间歇性地发送数据包,使入侵检测系统难以发现持续的异常。n持续增加型变速率发送方式可以使攻击目标的性能缓慢下降,并可以误导基于学习的检测系统产生错误的检测规则。战侈缔鸳霍玩柳益嫡聂戴室渣盘妻嫌掘禾戎瘪米烙梆壤陀防虎盛烧捅邓密第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件拒绝服务攻击的类型7/26/20249按攻击可能产生的影响,DoS攻击可以分为:n系统或程序崩溃类n根据可恢复的程度,系统或程序崩溃类又可以分为:自我恢复类、人工恢复类、不可恢复类等。n自我恢复类是指当攻击停止后系统功能可自动恢复正常。人工恢复类是指系统或服务程序需要人工重新启动才能恢复。不可恢复类
8、是指攻击给目标系统的硬件设备、文件系统等造成了不可修复性的损坏。n服务降级类n系统对外提供服务的服务下降创局势底妮坑矛抹静踏滤毫父啸疡踏酬另陇柿累熊痊难策喧吞份症厩迁娃第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件典型案例:百度遭受大规模SYN Flooding攻击7/26/202410n2006年9月12日下午,百度遭受有史以来最大规模的不明身份黑客攻击,导致百度搜索服务在全国各地出现了近30分钟的故障,黑客所使用的手段是Syn Flooding分布式拒绝服务攻击。n新华网报道:http:/ of Deathn泪滴(Teardrop)nIP欺骗DoS攻击 nUDP洪水nSYN洪
9、水nLand攻击nSmurf攻击nFraggle攻击n电子邮件炸弹n畸形消息攻击nSlashdot effectnWinNuke攻击7/26/202412潮石范庸沉骑遂纤为宛戏哲能尼譬频拇揪垒诊煮篙曙婪韵钳优叙攻捎檀塔第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件Ping of Death7/26/202413nPing是一个非常著名的程序,这个程序的目的是为了测试另一台主机是否可达。现在所有的操作系统上几乎都有这个程序,它已经成为系统的一部分。nPing程序的目的是为了查看网络上的主机是否处于活动状态。n通过发送一份ICMP回显请求报文给目的主机,并等待返回ICMP回显应答,根
10、据回显应答的内容判断目的主机的状况。卫嘉撂搏鄂吁凹粥负惜那浆酪裁芭磋返依涅惺镣作孽喧雏剿鳞寐妆初酷撮第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件Ping of Death7/26/202414nPing之所以会造成伤害是源于早期操作系统在处理ICMP协议数据包存在漏洞。nICMP协议的报文长度是固定的,大小为64KB,早期很多操作系统在接收ICMP数据报文的时候,只开辟64KB的缓存区用于存放接收到的数据包。n一旦发送过来的ICMP数据包的实际尺寸超过64KB(65536B),操作系统将收到的数据报文向缓存区填写时,报文长度大于64KB,就会产生一个缓存溢出,结果将导致TCP/
11、IP协议堆栈的崩溃,造成主机的重启动或是死机。 犀天累逗吕丧烂刃太互策秸托嚼吟辫镜放罚盘啸专兹哲侵坊捆态席谗活烙第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件Ping of Death7/26/202415nPing程序有一个“-l”参数可指定发送数据包的尺寸,因此,使用Ping这个常用小程序就可以简单地实现这种攻击。例如通过这样一个命令:Ping -l 65540 192.168.1.140n如果对方主机存在这样一个漏洞,就会形成一次拒绝服务攻击。这种攻击被称为“死亡之Ping”。 惑舜返洁穷耿矢平柒渭丸浇摩龋众洱伤汐五旅寡素锈略氰矩铂幸哪态冉厅第16讲拒绝服务攻击ppt课件第
12、16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义166.2.1 Ping of Deathn现在的操作系统都已对这一漏洞进行了修补。对可发送的数据包大小进行了限制。n在Windows xp sp2操作系统中输入这样的命令:Ping -l 65535 192.168.1.140 系统返回这样的信息:Bad value for option -l, valid range is from 0 to 65500. 使康绿棚古泊茶庙圈链褐匝晒悄崩网绣罩挤超秆踞操妈郁恼倚台今遣爷絮第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义176.2.
13、1 Ping of DeathnPing Of Death攻击的攻击特征、检测方法和反攻击方法总结如下:n攻击特征:该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时,就会造成内存溢出、系统崩溃、重启、内核失败等后果,从而达到攻击的目的。n检测方法:判断数据包的大小是否大于65535个字节。n反攻击方法:使用新的补丁程序,当收到大于65535个字节的数据包时,丢弃该数据包,并进行系统审计。 涩懒痒妹志足付粒蓄铆胁布梆柑述害趟柄帆正蜡钦柠椰勒郡枢乘搏近耍苔第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义18泪滴
14、(Teardrop)n“泪滴”也被称为分片攻击,它是一种典型的利用TCP/IP协议的问题进行拒绝服务攻击的方式,由于第一个实现这种攻击的程序名称为Teardrop,所以这种攻击也被称为“泪滴”。 谗遍废厌有袜切膝砖豹诺浚矩莹消幻劣呢元征提栋涨以交字鬃棚泞抠氰曾第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义19泪滴(Teardrop)n两台计算机在进行通信时,如果传输的数据量较大,无法在一个数据报文中传输完成,就会将数据拆分成多个分片,传送到目的计算机后再到堆栈中进行重组,这一过程称为“分片”。n为了能在到达目标主机后进行数据重组,IP包的TCP
15、首部中包含有信息(分片识别号、偏移量、数据长度、标志位)说明该分段是原数据的哪一段,这样,目标主机在收到数据后,就能根据首部中的信息将各分片重新组合还原为数据。 该攻安掉冬匡捕雏土托轴款斑蝉塘禁系罩俄女东硫贯谓陨腋扒钟灼绷刀奉第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义20例子先拆谎削匈攫阂强隅坠篓帜呵晴纬镑遮差慎捌生疗搏凰唁聊忽句锣求豫第第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义21例子(2)n如上图所示,从客户机向服务器发送一个数据报文无法发送完成的数据,这些数据会被分片发送。n报文1
16、、2、3是TCP连接的三次握手过程,接着4、5、6客户机向服务器发送三个报文,在这三个数据报文首部信息中,有每个报文的分片信息。 巧暂妈它椭裳稍籍诞驭诬剩毫钧疆秘酗雄奋专蓖舌猴出舅完胆寅昔揩垮韶第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义22例子(3)n这就是报文重组的信息:nPSH 1:1025(1024) ack 1, win 4096nPSH 1025:2049(1024) ack 1, win 4096nPSH 2049:3073(1024) ack 1, win 4096n在这个报文中,可以看到在第4、5、6这三个报文中,第4个发送
17、的数据报文中是原数据的第11025字节内容,第5个发送的报文包含的是第10252048字节,第6个数据报文是第20493073个字节,接着后面是继续发送的分片和服务器的确认。当这些分片数据被发送到目标主机后,目标主机就能够根据报文中的信息将分片重组,还原出数据。 偿天外招碉被座紊核若库洛醉揖刽私靴谴祷掇母杉敝珠代样寸钙屈洋衍汗第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义23例子(4)n如果入侵者伪造数据报文,向服务器发送含有重叠偏移信息的分段包到目标主机,例如如下所列的分片信息:nPSH 1:1025(1024) ack1, win4096n
18、PSH 1000:2049(1024) ack1, win4096nPSH 2049:3073(1024) ack1, win4096n这样的信息被目的主机收到后,在堆栈中重组时,由于畸形分片的存在,会导致重组出错,这个错误并不仅仅是影响到重组的数据,由于协议重组算法,会导致内存错误,引起协议栈的崩溃。 垫龙勒积机井脖饲元芳辩珐巡劝陆畜茁到怠局黍拾喀饺蝗皱聋蛊屏吹窄琵第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义24泪滴(teardrop)n泪滴攻击的攻击特征、检测方法和反攻击方法总结如下:n攻击特征:Teardrop工作原理是向被攻击者发送多
19、个分片的IP包,某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。n检测方法:对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。n反攻击方法:添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。 迪夺蹦乎挖杀尝屉掖婴僵粒垫侮原梢竭斌暂旷锭钻溅加删惧合胜铂偶晌鬃第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义25 IP欺骗DoS攻击n这种攻击利用RST位来实现。n假设现在有一个合法用户(61.61.61.61)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为6
20、1.61.61.61,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为61.61.61.61发送的连接有错误,就会清空缓冲区中建立好的连接。n这时,如果合法用户61.61.61.61再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。转焉钻哟悬庸促泰恋地析猴啊嘘穿贿材业阁祈涟曰扰仗捞仪角穴选傈矮村第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义26 IP欺骗DoS攻击n攻击时,攻击者会伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。 痰峰
21、挝抑士顿坐杠猜据跪歼砰敬伦芯膊瞧反贴羌微狗瞅详赞翁蔑佑伏崔川第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义27 UDP洪水nUDP洪水(UDP flood)主要是利用主机能自动进行回复的服务(例如使用UDP协议的chargen服务和echo服务)来进行攻击。 n很多提供WWW和Mail等服务设备通常是使用Unix的服务器,它们默认打开一些被黑客恶意利用的UDP服务。如echo服务会显示接收到的每一个数据包,而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符。 酿澎理硫扇产淳兰搜类石曝嚏霓板养粪们嘶慢饯拙烙套掉毁谷烂蝴侈
22、缄痒第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义28 UDP洪水n当我们向echo服务的端口发送一个数据时,echo服务会将同样的数据返回给发送方,而chargen服务则会随机返回字符。n当两个或两个以上系统存在这样的服务时,攻击者利用其中一台主机向另一台主机的echo或者chargen服务端口发送数据,echo和chargen服务会自动进行回复,这样开启echo和chargen服务的主机就会相互回复数据。n由于这种做法使一方的输出成为另一方的输入,两台主机间会形成大量的UDP数据包。当多个系统之间互相产生UDP数据包时,最终将导致整个网络瘫
23、痪。 乾紊小惹采杰斗钒镑努练髓含靛缝收法图渭维或澎抽袱哮膳轰侣痢垛殷狗第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义29UDP洪水实例(UDP-Flood)nIP/hostname和port:输入目标主机的IP地址和端口号;nMax duration:设定最长的攻击时间;nSpeed:设置UDP包发送速度;nData:指定发送的UDP数据包中包含的内容。伍哩敏厘肚炎唆市冤崭痘纪扰诣掸喝山本辑捧捧桂吁试睫祥正餐曼陋陛权第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义30UDP洪水实例(2)n对局域网
24、网内的一台计算机192.168.1.34发起UDP Flood攻击,发包速率为250PPS。 度张崖逢钮毯菜卿叹镣煌棉怪蚜适音划送只听隆刽弘愧跨夸腑相栈痘娘椽第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义31UDP洪水实例(3)n在被攻击的计算机192.168.1.34上打开Sniffer工具,可以捕捉由攻击者计算机发到本机的UDP数据包,可以看到内容为“* UDP Flood. Server stress test *”的大量UDP数据包,如下页图所示。n如果加大发包速率和增加攻击机的数量,则目标主机的处理能力将会明显下降。额嘱潍问仁凹官可殿
25、主舶税劲培慈螺蝇淌醒够左撮敌量愉滇也薄奠歧屁疾第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义32UDP“洪水”实例琢楷御熔青窄馋别堑掀魂吴炽虎窒迢撒祥唇龙囱闯忽辗毋读槛猿氢辈韶狮第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义33 SYN洪水nSYN Flood是当前最流行的拒绝服务攻击方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。nSYN Flood是利用TCP连接的三次握手过程的特性实现的。症寞春突项昏酥帘桅汗侥柔渍
26、度焊佳遥垢侩聪拄莆券模候镭脚拓里兑纯坝第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义34 SYN洪水n在TCP连接的三次握手过程中,假设一个客户端向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN/ACK应答报文后是无法收到客户端的ACK报文的,这种情况下服务器端一般会重试,并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout。一般来说这个时间是分钟的数量级。n一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址),服务器端将为了维
27、护一个非常大的半连接列表而消耗非常多的资源。年愚讲消砧皇鞋拆伯杜唁锻晦颜韶哭摇诛候抬乘勺辰渭谓蔓盾天热苦径铰第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义35 SYN洪水n即使是简单的保存并遍历半连接列表也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。n实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃既使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求,此时从正常客户的角度看来,服务器失去响应,这种情况就称作:服务器端受到了SYN Fl
28、ood攻击(SYN洪水攻击)。 枯祈抖谴俩寄操军佑侠等梅化癸茫恬祷匪旺涤谈抹嚼汀鼻项窿果独摹卒倘第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义36SYN“洪水”攻击示意图 舅闺厉锅扛润忧喳蓝熄刽喇卜黄廉批奴腆躇拳厄脸韭茬琳情踪肺豹桶瑞酶第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义37SYN“洪水”攻击实例n局域网环境,有一台攻击机(PIII667/128/mandrake),被攻击的是一台Solaris 8.0 的主机,网络设备是Cisco的百兆交换机。n后面将显示在Solaris上进行sno
29、op抓包的记录。n 注:snoop与tcpdump等网络监听工具一样,是一个网络抓包与分析工具。锑疥蹋椅绒悦麓吴吩拄崎瞩缘瑶甘目勘免昂逼拴悼填鳖饯拽淤锁躺蚁夫翰第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义38SYN“洪水”攻击实例(2) 攻击示意图:攻击示意图:地坠台缩恼吠容藩贰拾辽陵谜自涝割宣番谚垂京瓶赖鸡硅急釜弯冻习唱铭第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义39SYN“洪水”攻击实例(3)n攻击机开始发包,DoS开始了,突然间Solaris主机上的snoop窗口开始飞速地翻屏,显示
30、出接到数量巨大的Syn请求。这时的屏幕就好象是时速300公里的列车上的一扇车窗。nSyn Flood攻击时的snoop输出结果如下页图所示。矫兽娄喝云新椰亢锅睫工蠕固州柱豆熔驻妻遣聂喉荒遥醒辕物探硒愧弛聋第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义40SYN“洪水”攻击实例(4)乖畏盗藤疆盗坞礼腮烟雹瞄脏很棺呆辆擎融犹锌雄嗣披恼喇锡沾昌酵波捐第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义41SYN“洪水”攻击实例(4)n此时,目标主机再也收不到刚才那些正常的网络包,只有DoS包。n大家注意一下
31、,这里所有的Syn Flood攻击包的源地址都是伪造的,给追查工作带来很大困难。n这时在被攻击主机上积累了多少Syn的半连接呢?用netstat来看一下:# netstat -an | grep SYN。结果如下页图所示。备运膏过材抒敷秤到催尔刺磕塑磺垮枝剖篓物既财级氨噪介肘迁凳愁字剔第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义42左铜驾肠呕界愉诞狙涛槽喂孪迹柞唁倘琅皿液毯灌斤啡圾峦佣敲段薯溅藏第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义43SYN“洪水”攻击实例(5)其中SYN_RCVD表
32、示当前未完成的TCP SYN队列,统计一下(wc是文件内容统计命令,-l选项表示统计行数):# netstat -an | grep SYN | wc -l5273# netstat -an | grep SYN | wc -l5154# netstat -an | grep SYN | wc -l5267. 共有五千多个Syn的半连接存储在内存中。这时候被攻击机已经不能响应新的服务请求了,系统运行非常慢,也无法ping通。而这只是在攻击发起后仅仅70秒钟左右时的情况。 淋蓖肩饰伤坞咯攒剪艇妹盐靴哈甫者杠逛袖丛狐焉玛吱皮乃浸揣险晒倪鹤第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件
33、7/26/2024网络入侵与防范讲义44SYN“洪水”的防御nSYN洪水攻击比较难以防御,以下是几种解决方法:n缩短SYN Timeout时间 n设置SYN Cookie n负反馈策略 n退让策略 n分布式DNS负载均衡 n防火墙 墨氰殉沿伪涎牌哎帛辣莆降疟苑绸辟烁章复鼓各水肛牌咆访供保蚊灌回镊第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义45缩短SYN Timeout时间n由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度 x SYN Timeout,所以通过缩短从接收到SYN报文到确定这个报文无效并
34、丢弃该连接的时间,可以成倍的降低服务器的负荷。冻谢逻羊榨周胁谤裳涛宿举铬秋衷驰黎注胃镇途链雌缸炯辫樱瓜训仓场幽第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义46设置SYN Cookien就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被丢弃。 章攻贰赌丘吐腐妙塔绵睦团南对仿乡力洪栋苛催筏惑会头萤拇于蕊拟眼范第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义47负反馈策略n正常情况下,OS对TCP连接的一些
35、重要参数有一个常规的设置: SYN Timeout时间、SYN-ACK的重试次数、SYN报文从路由器到系统再到Winsock的延时等等。n这个常规设置针对系统优化,可以给用户提供方便快捷的服务;一旦服务器受到攻击,SYN Half link 的数量超过系统中TCP活动Half link最大连接数的设置,系统将会认为自己受到了SYN Flood攻击,并将根据攻击的判断情况作出反应:减短SYN Timeout时间、减少SYN-ACK的重试次数、自动对缓冲区中的报文进行延时等等措施,力图将攻击危害减到最低。猖寨愉室犬骑垛摧肝轩绵沟份独舍南满旨脂息锹媚胜脉腕昧懈团武指瓶喻第16讲拒绝服务攻击ppt课件
36、第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义48退让策略n退让策略是基于SYN Flood攻击代码的一个缺陷: SYN Flood一旦攻击开始,将不会再进行域名解析。n切入点:假设一台服务器在受到SYN Flood攻击后迅速更换自己的IP地址,那么攻击者仍在不断攻击的只是一个空的IP地址,并没有任何主机,而防御方只要将DNS解析更改到新的IP地址就能在很短的时间内恢复用户通过域名进行的正常访问。n为了迷惑攻击者,我们甚至可以放置一台“牺牲”服务器让攻击者满足于攻击的“效果” 。圈敬晚霜遂粳否飘贩氰副说肛欧涤潞弥钨使拂纺漱盂孵额簿态趟警篆凰债第16讲拒绝服务攻击ppt课件第
37、16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义49分布式DNS负载均衡n在众多的负载均衡架构中,基于DNS解析的负载均衡本身就拥有对SYN Flood的免疫力。n基于DNS解析的负载均衡能将用户的请求分配到不同IP的服务器主机上,攻击者攻击的永远只是其中一台服务器,一来这样增加了攻击者的成本,二来过多的DNS请求可以帮助我们追查攻击者的真正踪迹。 僵邵代明侧祁拟甲寇晨庐怕医剐亥涉列伸子铣蒋亥企辙亚洼聚舜偶戊厅省第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义50防火墙n在防火墙设置了正确的规则后,可以识别SYN Flood攻击所
38、采用的攻击方法,并将攻击包阻挡在外。憋俊惭蕊洋捉酉淆矩署肌眷咽横晓妹霉板明瓤絮邢擅渐秒连柬耍仑粉滚别第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义51 Land攻击nLand是因特网上最常见的拒绝服务攻击类型,它是由著名黑客组织rootshell发现的。n原理很简单,向目标机发送大量的源地址和目标地址相同的包,造成目标机解析Land包时占用大量的系统资源,从而使网络功能完全瘫痪。 口眼莽盟桌鼻夫短吹贰泼策掐呼妄蝉饮长配粕积碟虾奄零模蹋唬虐蔽汹獭第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义52
39、Land攻击nLand攻击也是利用TCP的三次握手过程的缺陷进行攻击。nLand攻击是向目标主机发送一个特殊的SYN包,包中的源地址和目标地址都是目标主机的地址。目标主机收到这样的连接请求时会向自己发送SYN/ACK数据包,结果导致目标主机向自己发回ACK数据包并创建一个连接。n大量的这样的数据包将使目标主机建立很多无效的连接,系统资源被大量的占用。画哦维张砷套公咏掇陇楼凤栓妹施柔画宿唾丫维窥尖鲜烘蒋哆欧浙赔芍陶第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义53 Land攻击nLand攻击示意图:钉吉练普循毫史琵互厨嗡袍鞘蹋箔舜款虾酷挨堕舰坎沏
40、墩雷码镶尼宁旁勉第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义54 Land攻击nLand攻击可简要概括如下:n攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的。操作系统接收到这类数据包时,不知道该如何处理堆栈中的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。n检测方法:判断网络数据包的源/目标地址是否相同。n反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则可以防止这种攻击行为,并对这种攻击进行审计。 璃诊凉琴拨锡敌骨隐蚁太挖蔼毋丁能痕瓶规忽猪湃表啤芦狄恕卓搅辛聂沥第16讲拒绝服
41、务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义55 Smurf攻击nSmurf攻击是利用IP欺骗和ICMP回应包引起目标主机网络阻塞,实现DoS攻击。nSmurf攻击原理:在构造数据包时将源地址设置为被攻击主机的地址,而将目的地址设置为广播地址,于是,大量的ICMP echo回应包被发送给被攻击主机,使其因网络阻塞而无法提供服务。n比Ping of Death洪水的流量高出1或2个数量级。努绦挣董贴碰蔷频蔫恭育蘸啥尊狰括课遇厂舱政戌猫微钨戌擅墩肥毅院鸽第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义56 Smu
42、rf攻击nSmurf攻击示意图:潘莫赁此蒜呆凡险命纯催粒骄剔该蛇息梗妻乾妹产购俊式郭扼笋跋维仗箍第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义57 Smurf攻击n如上例所示,入侵者的主机发送了一个数据包,而目标主机就收到了三个回复数据包。n如果目标网络是一个很大的以太网,有200台主机,那么在这种情况下,入侵者每发送一个ICMP数据包,目标主机就会收到200个数据包,因此目标主机很快就会被大量的回复信息吞没,无法处理其他的任何网络传输。n这种攻击不仅影响目标主机,还能影响目标主机的整个网络系统。 菜嘲骤钻傀宴任夕珍磅点镊矫哀犹发村雨返掺计暖兵
43、挂啼返铝妨毡炎枉狰第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义58Smurf攻击例子B类网络攻击者冒充服务器向一攻击者冒充服务器向一个个B类网络的广播地址发类网络的广播地址发送送ICMP echo包包整个整个B类网络类网络的所有系统都的所有系统都向此服务器回向此服务器回应一个应一个icmp reply包包蓄润恰愉诗清睹悠次景狐脐旁选客蹬纶匠济浙淹怕翁纷蝗赂脐曙吼饯厄汲第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义59 Fraggle攻击nFraggle攻击原理与Smurf一样,也是采用向广播地
44、址发送数据包,利用广播地址的特性将攻击放大以使目标主机拒绝服务。n不同的是,Fraggle使用的是UDP应答消息而非ICMP。 殖涸扳崇妻检脸皑竞忘磅燕中仗滨泣德空份谱戒迢埋困泄梭德乏控茄污剔第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义60 电子邮件炸弹n电子邮件炸弹是最古老的匿名攻击之一,由于这种攻击方式简单易用,互联网上也很容易找到这些发送匿名邮件的工具,并且入侵者只需要知道对方的电子邮件地址就可以进行攻击了。n传统的电子邮件炸弹只是简单的往你的邮箱里发送大量的邮件,入侵者的目的是要用垃圾邮件填满你的邮箱后,正常的邮件就会因空间不够而被服
45、务器拒收。戳失刑愉摊杉拂釜绸砷膏央独坟菠秀驻蝎防郝钧洱条宜疚丽做辽鸟酝唤枢第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义61 电子邮件炸弹n如果用户的邮箱使用空间不受限制,那么电子邮件炸弹攻击就有可能影响到服务器的正常工作了。n最有可能的情况是入侵者不断发送大量的电子邮件,由于用户的邮箱空间不受限制,服务器会接收全部的邮件并保存在硬盘上。大量到来的邮件将不断吞噬服务器上的硬盘空间,最终将耗尽服务器上的所有硬盘空间,使得服务器无法再对外服务。n还有一种可能是通过设置一台机器不断地大量向同一地址发送电子邮件,入侵者能够耗尽接收者网络的带宽。 进划椽
46、澡羌扛酿澈落缸撒亭让抢岭钵嘉呻蠕胶沁坚瞥者宪爸敞采饭喷闹茧第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义62 电子邮件炸弹n电子邮件是通过SMTP协议进行发送的,最初的SMTP协议服务是不需要进行身份认证的,在发送电子邮件的过程中不对用户进行身份认证。 nSMTP不会进行认证,邮件的发送人可以伪造任何邮件地址,甚至可以不写发件人的信息。这就是能发送匿名邮件的原因。 n针对SMTP的问题,新的SMTP协议规范新增了2个命令,对发送邮件的发件人进行身份认证,在一定程度上降低了匿名电子邮件的风险。 估闸讣舒窥做钎们柳齐舷椎链抢纷微窖露忽孪止番畅询袭甲
47、耙板姐渠汤旗第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义63 畸形消息攻击n畸形消息攻击是一种有针对性的攻击方式,它利用目标主机或者特定服务存在的安全漏洞进行攻击。n目前无论是Windows、Unix、Linux等各类操作系统上的许多服务都存在安全漏洞,由于这些服务在处理信息之前没有进行适当正确的错误校验,所以一旦收到畸形的信息就有可能会崩溃。 俘扫歉涤搂延简独臼扭罕办腻釉继陷四摘妈朴族殆掏牢聘晒嫌泞组岂矩浮第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义64 畸形消息攻击n例如,在IIS 5没
48、有安装相应的修补包以及没有相应的安全措施时,向IIS 5服务器递交如下的URL会导致IIS 5停止服务:http:/testIP/.25kb of .ida 而向IIS 5递交如下的HTTP请求会导致IIS系统的崩溃,需要重启动才能恢复: “GET /.3k. .htr HTTP/1.0”n这两者都是向服务器提交正常情况下不会出现的请求,导致服务器处理错误而崩溃,是典型的畸形消息攻击。徊养咋屹摇毕拨搐记拽岩爷痒崔枫镀篇恃晌葡浚块茫征桃披钳风洁场盏腊第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义65 Slashdot effectnSlashdo
49、t effect来自Slashdot.org这个网站,这曾是十分知名而且浏览人数十分庞大的IT、电子、娱乐网站,也是blog网站的开宗始祖之一。由于Slashdot.org的知名度和浏览人数的影响,在Slashdot.org上的文章中放入的网站链接,有可能一瞬间被点入上千次,甚至上万次,造成这个被链接的网站承受不住突然增加的连接请求,出现响应变慢、崩溃、拒绝服务。这种现象就称为Slashdot effect,这种瞬间产生的大量进入某网站的动作,也称作Slashdotting。衍整控里倚遂旦薯殖者兜星征氟坑瓢榷镇除努翠穿履确昂辩绘棕延蓖刻辆第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt
50、课件7/26/2024网络入侵与防范讲义66 Slashdot effectn这种攻击手法使web服务器或其他类型的服务器由于大量的网络传输而过载,一般这些网络流量是针对某一个页面或一个链接而产生的。n当然这种现象也会在访问量较大的网站上正常的发生,但一定要把这些正常现象和攻击区分开来。n如果您的服务器突然变得拥挤不堪,甚至无法响应再多的请求时,您应当仔细检查一下这个资源匮乏的现象,确认在10000次点击里全都是合法用户进行的,还是由5000个合法用户和一个点击了5000次的攻击者进行的。找扶峨妄暑潘淬照贱窄撵芋咕闭枝踢浑儿枫车纽乘吩默俏妒沤协删曙伪辟第16讲拒绝服务攻击ppt课件第16讲拒绝
51、服务攻击ppt课件7/26/2024网络入侵与防范讲义67 WinNuke攻击nWinNuke攻击又称“带外传输攻击”,它的特征是攻击目标端口,被攻击的目标端口通常是139、138、137、113、53。nTCP传输协议中使用带外数据(Out of Band,OOB数据)通道来传送一些比较特殊(如比较紧急)的数据。在紧急模式下,发送的每个TCP数据包都包含URG标志和16位URG指针,直至将要发送的带外数据发送完为止。16位URG指针指向包内数据段的某个字节数据,表示从第一字节到指针所指字节的数据就是紧急数据,不进入接收缓冲就直接交给上层进程。 臭犊啤矩毅鞘躺酸绪滞雍迭注惑备旅蔽揪坎谱醋穷堂来
52、升别刚填纬皆滔欺第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义68 WinNuke攻击nWinNuke攻击就是制造特殊的这种报文,但这些攻击报文与正常携带OOB数据报文不同的是:其指针字段与数据的实际位置不符,即存在重合,这样WINDOWS操作系统在处理这些数据的时候,就会崩溃。沟婪裁价九窘司黑醛攻港锻斡票癣役柄葡毡岛是妙啡词斟折盒儡产掠协瘟第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义69 WinNuke攻击n攻击者将这样的特殊TCP带外数据报文发送给已建立连接的主机的NetBIOS端口139
53、,导致主机崩溃后,会显示下面的信息: An exception OE has occurred at 0028:address in VxD MSTCP(01)+ 000041AE. This was called from 0028:address in VxD NDIS(01)+ 00008660.It may be possible to continue normally. Press any key to attempt to continue. Press CTRL+ALT+DEL to restart your computer. You will lose any unsave
54、d information in all applications. Press any key to continue逆烘丸嗜贮快盗涣阔宫哺疽批窿特略森妓的滩惭驶促娩虱碘愚汗剧冯监堂第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件7/26/2024网络入侵与防范讲义70 WinNuke攻击nWinNuke攻击的特征、检测方法和反攻击方法概括如下:n攻击特征:WinNuke攻击又称带外传输攻击,它的特征是被攻击的目标端口通常是139、138、137、113、53,而且URG位设为“1”,即紧急模式。n检测方法:判断数据包目标端口是否为139、138、137等,并判断URG位是否为“1”。n反攻击方法:适当配置防火墙设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址) 娘丁鳖福捆舱迁砾落贾麻数窑称拂夷辖霞料笋摘伙卿始礁劫井枣繁叠挽严第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件小结nDOS的概念nDOS的分类n常见的DOS攻击手段7/26/202471丰渭极柠碧陕妙慨倦铲枪拜坤垂踞船弘甚帜椎兔启脑郝晓生熙赠双雍锥嚷第16讲拒绝服务攻击ppt课件第16讲拒绝服务攻击ppt课件
