网络安全原理与技术(第二版) 作者 冯登国 徐静 chapter6c.pptVIP

拒绝服务（Denial of Service) 回顾信息安全的三个主要需求： – 必威体育官网网址性、完整性、可用性(availability) – DoS是针对可用性发起的攻击 关于DoS – 定义：通过某些手段使得目标系统或者网络不能提供正常的服务 – DoS攻击主要是利用了TCP/IP 协议中存在的设计缺陷和操作系统及网络设备的网络协议栈存在的实现缺陷。 – 难以防范,永远不可能完全地消除威胁 DoS攻击类型 粗略来看，分为三种形式： 使一个系统或网络瘫痪，发送一些非法数据 包使系统死机或重起 向系统或网络发送大量无用的信息，使系统或网络不能响应 物理部件的移除，或破坏 DoS攻击种类 基于网络带宽消耗的拒绝服务攻击 消耗磁盘空间的拒绝服务攻击 消耗CPU资源和内存资源的拒绝服务攻击 基于系统缺陷的拒绝服务攻击 分布式拒绝服务攻击（DDoS） 基于网络带宽消耗的拒绝服务攻击 SYN flood UDP flood Smurf 攻击 SYN flood 原理：利用TCP连接三次握手过程，打开大量的半开TCP连接，使得目标机器不能进一步接受TCP连接。每个机器都需要为这种半开连接分配一定的资源，并且，这种半开连接的数量是有限制的，达到最大数量时，机器就不再接受进来的连接请求。 受影响的系统：大多数操作系统 SYN flood SYN flood 如果被假冒源IP地址的主机确实存在，它会向受害主机返回一个RST包，受害主机可以立即清除半连接状态的相关表项。 这种攻击是较为流行的Dos攻击方式之一 受影响的系统：大多数操作系统 2000年雅虎等网站遭受的Dos攻击，SYN Flood 便是罪魁祸首。 单机实施SYN Flood已过时，将其应用到DDos。 SYN flood 防范措施： 借助于防火墙提供的抵御SYN Flood攻击的专门措施 增加TCP监听套接字未完成连接队列的最大长度 减少未完成连接队列的超时等待时间 UDP flood 原理：各种各样的假冒攻击恶意利用UDP服务，如chargen和Echo来传送毫无用处的占满带宽的数据。 Echo服务对接收到的每一个字符进行回送，Chargen服务对每个接收到的数据包都返回一些随机生成的字符。这两个服务都是作为测试用的。 UDP flood 攻击者通过伪造与某一主机的chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽耗尽的服务攻击。 UDP flood 对策： 关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的对这些服务的UDP请求都可以防范UDP flood攻击。 这种攻击方法现在已不起作用，大多数操作系统即便提供这种服务，也是有选择的响应：对1024以下的源端口，都对Echo和Chargen置之不理。 Smurf 原理：攻击者向一个广播地址发送ICMP Echo请求，并且用受害者的IP地址作为源地址，于是，广播地址网络上的每台机器响应这些Echo请求，同时向受害者主机发送ICMP Echo-Reply应答。于是，受害者主机会被这些大量的应答包淹没. 不仅被伪造地址的机器受害，目标网络本身也是受害者，它们要发送大量的应答数据包 消耗磁盘空间的拒绝服务攻击 垃圾邮件： 利用邮件缺少验证（允许匿名发信）及邮件服务器的漏洞（允许邮件中继，提供转发服务），给受害用户发送垃圾信息，占满磁盘空间，无法使用这个信箱。 故意制造大量日志信息。消耗系统磁盘空间。 消耗CPU资源和内存资源的拒绝服务攻击 操作系统要提供CPU和内存资源给许多进程共用。攻击者利用系统缺陷，有意使用大量CPU和内存资源，导致服务性能下降甚至系统崩溃。 典型的攻击方法是蠕虫程序，如Nimda病毒。 基于系统缺陷的拒绝服务攻击 利用目标系统的漏洞和通信协议的弱点来实现。例如攻击者假冒合法用户多次输入错口令，使用户无法得到相应服务。 Ping of death Teardrop attack Ping of death 原理：直接利用ping包，即ICMP Echo包，有些系统在收到大量比最大包还要长的数据包，会挂起或者死机. 攻击做法 直接利用ping工具，发送超大的ping数据包 Ping of death 防范措施： 这是一个古老的问题，目前大多数系统都有补丁，来对付超大尺寸的包。 可以用路由器或防火墙阻断过大的ping数据包，使其不能到达受害者的计算机。 Teardrop attack 利用IP数据包分解与重组上的弱点。 在IP数据包传输于网络的过程中，被分解成许多不同的分片传送，并借由偏移量位(offset fie