黑客攻防技术与实践 教学课件 作者 李建华 第四章 拒绝服务攻击.pptVIP

* * * * * 第4章 拒绝服务攻击 4.1 拒绝服务攻击 4.2 分布式拒绝服务攻击 4.3 分布式反射拒绝服务攻击 4.4 小结 4.1 拒绝服务攻击 4.1.1 DoS攻击的网络基础 4.1.2 DoS攻击的原理 4.1.3 典型的DoS攻击 4.1.1 DoS攻击的网络基础 要明白DoS攻击的基本原理，必须深入理解TCP报文头部及TCP连接建立的过程。 （1）TCP报文头部 （2）“三次握手” 4.1.2 DoS攻击的原理 4.1.3 典型的DoS攻击 1. 死亡之ping 2. 泪滴 3. UDP洪水 4. SYN洪水 5. Land攻击 6. IP 欺骗DoS攻击 7. 塞满服务器的硬盘 8. 利用安全策略进行DoS攻击 死亡之ping ICMP (Internet Control Message Protocol，Internet控制信息协议)在Internet上用于错误处理和传递控制信息。它的功能之一是与主机联系，通过发送一个“回音请求”（echo request）信息包看看主机是否处于活动状态。最普通的ping程序就是这个功能。而在TCP/IP的RFC文档中对包的最大尺寸都有严格限制规定，许多操作系统的TCP/IP协议栈都规定ICMP包大小为64KB，且在对包头进行读取之后，要根据该包头包含的信息来为有效载荷生成缓冲区。“Ping of Death” 就是故意产生畸形的测试Ping包，声称自己的尺寸超过 ICMP 上限，也就是加载的尺寸超过 64KB上限，使未采取保护措施的网络系统出现内存分配错误，导致 TCP/IP 协议栈崩溃，最终接收方死机。 泪滴 对于一些大的IP包，需要对其进行分片传送，这是为了迎合链路层MTU（最大传输单元）的要求。比如，一个4500字节的IP包，在MTU为1500的链路上传输的时候，就需要分成三个IP包。在IP报头中有一个偏移字段和一个分片标志（MF），如果MF标志设置为1，则表面这个IP包是一个大IP包的片断，其中偏移字段指出了这个片断在整个IP包中的位置。例如，对一个4500字节的IP包进行分片（MTU为1500），则三个片断中偏移字段的值依次为：0，1500，3000。这样接收端就可以根据这些信息成功的组装该IP包。如果一个攻击者打破这种正常情况，把偏移字段设置成不正确的值，即可能出现重合或断开的情况，就可能导致目标操作系统崩溃。比如，把上述偏移设置为0，1300，3000。这就是所谓的泪滴攻击。 泪滴是采用碎片包进行攻击的一种远程攻击工具，他的最大的特点是除了Windows平台外，还可攻击Linux。 UDP洪水 如今在Internet上UDP（用户数据报协议）的应用比较广泛，很多提供WWW和Mail等服务设备通常是使用Unix的服务器，它们默认打开一些被黑客恶意利用的UDP服务。如echo服务会显示接收到的每一个数据包，而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符。UDP flood假冒攻击就是利用这两个简单的 TCP/IP 服务的漏洞进行恶意攻击，通过伪造与某一主机的 Chargen 服务之间的一次的 UDP 连接，回复地址指向开着Echo 服务的一台主机，通过将Chargen 和 Echo服务互指，来回传送毫无用处且占满带宽的垃圾数据，在两台主机之间生成足够多的无用数据流，这一拒绝服务攻击可以飞快地导致网络可用带宽耗尽。 SYN洪水 SYN Flood是当前最流行的DoS与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。 SYN Flood利用服务器的连接缓冲区（Backlog Queue）的局限，向服务器不断地大量发送只有SYN标志的TCP连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。 如果SYN请求超过了服务器能容纳的限度，缓冲区队列满，那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。 Land攻击 在Land攻击中，黑客利用一个特别打造的SYN 包——它的源地址和目标地址都被设置成某一个服务器地址——进行攻击。此举将导致接受服务器向它自己的地址发送 SYN-ACK 消息，结果这个地址又发回 ACK 消息并创建一个空连接，每一个这样的连接都将保留直到超时。在Land攻击下，许多Unix将崩溃，Windows NT变得极其缓慢（大约持续五分钟）。 IP 欺骗DoS攻击 这种攻击利用TCP协议栈的RST位实现。黑客通过使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。假设现在有一个合法用户(00)已经同服务器建立