DoS攻击-课件（PPT-精）.pptVIP

西南大学计算机与信息科学学院 拒绝服务攻击 拒绝服务(DoS)是使计算机或网络无法对外提供正常服务，这是一种典型破坏行为。 主要表现：不断对网络服务系统进行干扰，改变正常作业流程；执行无关程序使系统响应减慢甚至瘫痪，影响正常用户使用，甚至使合法用户被排斥而不能进入系统或不能得到相应的服务。 拒绝服务攻击 典型的DoS攻击包括： 死亡之ping ICMP Smurf Land攻击 teardrop攻击 SYN flood UDP Flood DdoS 电子邮件炸弹 Ping of Death 原理：早期路由器对包大小限制在64KB以内。若遇到超过64 KB的ICMP 包，就会出现内存分配错误，导致TCP/IP堆栈崩溃，使接收方计算机死机。 如：ping *.*.*.* -t –l 75500 防御方法：当收到大于65 535字节的数据包时，丢弃该包，并进行系统审计。 现在所有标准TCP/IP协议都已具有对付超过64KB 大小数据包的处理能力，常见操作系统都具有抵抗一般死亡之Ping攻击的能力。 ICMP/Smurf攻击 原理：攻击者伪造一个IP 报文，将IP包源地址改为受害者IP，向网络上发送ICMP广播，使所有主机都对此ICMP 请求作出答复，导致网络阻塞或目标主机死机。 Smurf攻击比“Ping of Death”和“SYN Flood”的流量高出一至两个数量级，更容易成功。 Smurf攻击示意图 Teardrop攻击 原理：对大的IP 包，需对其拆分以迎合链路层MTU。IP报头中有偏移字段和拆分标志MF，如果MF置1，表示该包是一个大IP包的片段，偏移字段指出了该片段在整个IP包中的位置。 如果把偏移字段设置成不正确的值，接收端在收到这些分拆数据包后，就不能正确组合，但会不断尝试，这可使目标计算机因资源耗尽而崩溃。 Teardrop攻击 防御方法： 对接收到的分片数据包进行分析，计算片偏移量是否有误。丢弃收到的病态分片数据包。 尽可能采用必威体育精装版的操作系统。 在防火墙上设置分段重组功能，由防火墙先完成重组工作，而不是直接转发。 SYN Flood攻击 原理：TCP/IP 栈只能等待有限数量的ACK消息，因为缓冲区有限。如果缓冲区已满，则会对接下来的连接停止响应，直到缓冲区里的连接超时。SYN Flood攻击正是利用了这一系统漏洞。 两种攻击方式： 伪造地址进行SYN请求 发送大量的tcp connect连接请求，占用系统资源 SYN Flood攻击 正常的三次握手建立通讯的过程 SYN Flood攻击原理I TCP 同步 泛滥 TCP SYN 泛滥 SYN Flood攻击原理II SYN Flood攻击效果 Land 攻击 源地址和目标地址相同! 即目标与自己在联接。 Land 攻击 源地址和目标地址相同! 即目标与自己在联接。 Land 攻击防护: 代理类的防火墙 UDP-Flood攻击 UDP-Flood攻击 UDP协议无状态，应用五花八门。 利用小报文冲击应用服务器：Radius认证服务器、DNS服务器、流媒体服务器。 针对DNS攻击的手段 只针对53端口发NULL数据包，危害性不大。 请求解析固定的域名，由于有CACHE存在，需要较大数量。 随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求，引起连锁反应。 蠕虫扩散带来的大量域名解析请求。 UDP-Flood攻击预防 杜绝UDP Flood攻击的最好办法是关掉不必要的TCP/IP服务，或者配置防火墙以阻断来自Internet的UDP服务请求，不过这可能会阻断一些正常的UDP服务请求。 HTTP Get Flood攻击 利用代理服务器发起大量的HTTP Get请求。 主要是请求动态页面。 数据库服务器负载极高，无法正常响应。 分布式拒绝服务（DDOS） 以破坏系统或网络的可用性为目标 常用的工具： Trinoo, TFN/TFN2K, Stacheldraht Mstream Stacheldraht Naptha 应用层的CC攻击 很难防范 伪造源地址，流量加密，因此很难跟踪 分布式拒绝服务攻击网络结构图 分布式拒绝服务攻击步骤1 DDoS攻击效果 由于整个过程是自动化的，攻击者能在5秒钟内入侵一台主机并安装攻击工具。也就是说，在一小时内可入侵数千台主机。并使某台主机可能遭受1000MB/S数据量的猛烈攻击，这相当于1.04亿人同时拨打某公司的一部电话号码。 预防DDoS攻击的措施 确保主机不被入侵且是安全的； 周期性审核系统； 检查文件完整性； 优化路由和网络结构； 优化对外开放访问的主机； 在网络上建立过滤器(filter)或侦测器(sniffer)，在攻击信息到达网站服务器之前阻挡攻击信息。 电子邮件炸弹 最古老