拒绝服务攻击及防范技术(-)课件.ppt

1、国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ DoS概述 案例、定义、特点、分类 DoS攻击技术 DoS攻击防范国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ 政府网站 美国白宫的网站曾经遭受拒绝服务攻击 分布式拒绝服务 2000年2月发生的一次对某些高利润站点Yahoo、eBay等的拒绝服务攻击，持续了近两天，使这些公司遭受了很大的损失。国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ 保密性 完整性 防抵赖 可用性可用性(availability)可控性DoS是针对可用性发起的攻击国家计算机网络入侵防范国家计算机网络入侵防范中心中心ht

2、tp:/ of Service攻击网络协议实现的缺陷或通过各种手段耗尽被攻击对象的资源，以使得被攻击计算机或网络无法提供正常的服务或者资源，合法用户的请求得不到及时的响应国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ 发送一些非法数据 包使系统死机或重起，造成系统或网络瘫痪 向系统发送大量信息，使系统或网络不能响 应国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ 发送大量无用突发数据攻击耗尽资源ICMP flood攻击、Connection flood 攻击欺骗型攻击IP Spoofing DoS攻击 国家计算机网络入侵防范国家计算机网络入侵防范中心中心ht

3、tp:/ DoS攻击 SYN flood攻击 Land攻击 Teardrop攻击利用UDP服务进行的UDP DoS攻击 UDP Flood DoS攻击利用ICMP协议进行的ICMP DoS攻击 Ping of Death攻击 Smurf攻击国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ 早期的Internet蠕虫病毒 消耗网络资源 分片装配，非法的TCP标志，SYN Flood等 利用系统实现上的缺陷，点对点形式 Ping of Death,IP分片重叠 分布式DoS(DDoS)攻击 smurf攻击国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ Ping o

4、f Death 发送异常的(长度超过IP包的最大值)Teardrop IP包的分片装配 UDP Flood Land 程序发送一个TCP SYN包，源地址与目的地址相同，源端口 与目的端口相同，从而产生DoS攻击 SYN Flood 快速发送多个SYN包 Smurf 给广播地址发送ICMP Echo包，造成网络阻塞 国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ of Death原理：直接利用ping包，即ICMP Echo包，有些系统在收到大量比最大包还要长的数据包，会挂起或者死 机 受影响的系统：许多操作系统受影响 攻击做法 直接利用ping工具，发送超大的ping数据包

5、 防止措施 打补丁：现在所有的标准TCP/IP实现都已实现对付超大尺寸 的包，并且大多数防火墙能够自动过滤这些攻击，包括：从 windows98之后的windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。防火墙阻止这样的ping包国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ 162.105.30.200Pinging 162.105.30.200 with 32 bytes of data：Reply from 162.105.30.200:bytes=32 time=10ms

6、 TTL=255Reply from 162.105.30.200:bytes=32 time10ms TTL=255Reply from 162.105.30.200:bytes=32 time10ms TTL=255Reply from 162.105.30.200:bytes=32 timeping-l 65570 162.105.30.200Bad value for option-l,valid range is from 0 to 65500 国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ IP碎片攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包

7、含的信息来实现自 己的攻击。IP分段含有指示该分段所包含的是 原包的哪一段的信息，某些TCP/IP（包括 service pack 4以前的NT）在收到含有重叠偏 移的伪造分段时将崩溃 常见的IP碎片程序有jolt2、teardrop、newtear、syndrop、boink等。防御措施：主要是服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是 转发它们。国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ 原理：利用IP包的分片装配过程中，由于分片重叠，计算过程出现长度为负值，在执行memcpy的时候导 致系统崩溃 受影响的系统：Linux/Windows NT/

8、95，97年发现 攻击特征 攻击非常简单，发送一些IP分片异常的数据包 防止措施 加入条件判断，对这种异常的包特殊处理 打补丁国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ flood 原理：各种各样的假冒攻击利用简单的TCP/IP 服务，如chargen和Echo来传送毫无用处的占 满 带宽的 数据。通过伪造与某一主机的 chargen 服务之间的一次的UDP连接，回复地 址指向开着Echo服务的一台主机，这样就生成 在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽耗尽的服务攻击。对策：关掉不必要的TCP/IP服务，或者对防火 墙进行配置阻断来自Inter

9、net的对这些服务的 UDP请求都可以防范UDP flood攻击。国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ Flood 原理：利用TCP连接三次握手过程，打开大量的半开 TCP连接，使得目标机器不能进一步接受TCP连接。每个机器都需要为这种半开连接分配一定的资源，并 且，这种半开连接的数量是有限制的，达到最大数量 时，机器就不再接受进来的连接请求。受影响的系统：大多数操作系统 攻击细节 连接请求是正常的，但是，源IP地址往往是伪造的，并且是 一台不可达的机器的IP地址，否则，被伪造地址的机器会重 置这些半开连接 一般，半开连接超时之后，会自动被清除，所以，攻击者的 系统

10、发出SYN包的速度要比目标机器清除半开连接的速度要 快 任何连接到Internet上并提供基于TCP的网络服务，都有可能 成为攻击的目标 这样的攻击很难跟踪，因为源地址往往不可信，而且不在线国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ Flood 攻击特征 目标主机的网络上出现大量的SYN包，而没有相应 的应答包 SYN包的源地址可能是伪造的，甚至无规律可循 防止措施 针对网络 防火墙或者路由器可以在给定时间内只允许有限数量的半 开连接 入侵检测，可以发现这样的DoS攻击行为 打补丁 Linux和Solaris使用了一种被称为SYN cookie的技术来解 决SYN Flo

11、od攻击：在半开连接队列之外另设置了一套机 制，使得合法连接得以正常继续国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ 原理：向广播地址发送伪造地址的ICMP Echo数据包。攻击者向一个广播地址发送ICMP Echo请求，并且用 受害者的IP地址作为源地址，于是，广播地址网络上 的每台机器响应这些Echo请求，同时向受害者主机发 送ICMP Echo-Reply应答。于是，受害者主机会被这 些大量的应答包淹没 受影响的系统：大多数操作系统和路由器 变种：fraggle，使用UDP包，或称为udpsmurf 比如，7号端口(echo)，如果目标机器的端口开着，则送回应 答，否

12、则，产生ICM端口不可达消息 技术细节 两个主要的特点：使用伪造的数据包，使用广播地址。不仅被伪造地址的机器受害，目标网络本身也是受害者，它 们要发送大量的应答数据包国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ 攻击特征 涉及到三方：攻击者，中间目标网络，受害者 以较小的网络带宽资源，通过放大作用，吃掉较大 带宽的受害者系统 Smurf放大器 Smurf放大器网络：不仅允许ICMP Echo请求发给网络的 广播地址，并且允许ICMP Echo-Reply发送回去 这样的公司越多，对Internet的危害就越大 实施Smurf攻击 需要长期的准备，首先找到足够多的中间网络 集

13、中向这些中间网络发出ICMP Echo包国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ 针对最终受害者 没有直接的方法可以阻止自己接收ICMP Echo Reply消息 在路由器上阻止这样的应答消息，但结果是路由器本身遭受了DoS攻击 与中间目标网络联系 针对中间网络 关闭外来的IP广播消息，但是，如果攻击者从内部 机器发起攻击，仍然不能阻止smurf攻击 配置操作系统，对于广播地址的ICMP包不响应 在每个路由节点上都记录log，以备查 流量大的路由节点上能够记录所有的流量吗国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ 原理：这是一种比较老的攻击，目前大

14、部分操作系统都能避免。在Land攻击中，构造一个特别的SYN包，它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK 消息，结果这个地址又发回ACK消息并创建一个空连 接，每一个这样的连接都将保留直到超时掉，对Land 攻击反应同许多UNIX实现将崩溃，NT变得极其 缓慢（大约持续五分钟）。对策：打最新的补丁，或者在防火墙进行配置，将那 些在外部接口上入站的含有内部源地址滤掉（包括 10 域、127域、192.168域、172.16到172.31域）都比较有 效的防范Land攻击。国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/

15、原理:电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断大量地向同一地址发送 电子邮件，攻击者能够耗尽接受者网络的带宽。对策:对付这种攻击最简单的方法就是对邮件 地址进行配置，自动删除来自同一主机的过量 或重复的消息。国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ 分布式拒绝服务，Distributed Denial of Service attack 传统的拒绝服务是一台机器向受害者发 起攻击，DDOS不是仅仅一台机器而是多 台主机合作，同时向一个目标发起攻击。国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ 攻击者：攻击者所用的计算机是攻击主控台，可

16、以是网络上的任何一台主机，甚至可以是一个活动的便携 机。攻击者操纵整个攻击过程，它向主控端发送攻击 命令。主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的客户主机。主控端主机的 上面安装了特定的程序，因此它们可以接受攻击者发 来的特殊指令，并且可以把这些命令发送到代理主机 上。代理端：代理端同样也是攻击者侵入并控制的一批主 机，它们上面运行攻击器程序，接受和运行主控端发 来的命令。代理端主机是攻击的执行者，真正向受害 者主机发送攻击。国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ 的主机越多，他的攻击队伍就越壮大。(2)攻击者在入侵主机上安装攻击程序，

17、其中一 部分主机充当攻击的主控端，一部分主机充当 攻击的代理端。(3)最后各部分主机各司其职，在攻击者的调遣 下对攻击对象发起攻击。由于攻击者在幕后操 纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ a TFN(Tribe Flood Network)和TFN2KbTrinooC.Stacheldraht国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ Flood Network)和TFN2K TFN是由著名黑客Mixter编写的，是第 一个公开的UnixDDoS工具。由主控端程 序和客户端程序两部分组

18、成，它主要采 取的攻击方法为：SYN Flood、Ping of death、UDP Flood和SMURF，还允许将 一个root shell 和TCP端口绑定。TFN2K 是由TFN发展而来的，在TFN所具有的 特性上，TFN2K又新增一些特性，它的 主控端和客户端的网络通讯使用基于64 位编码的弱加密方式，可以在不同的攻 击方式之间随机切换。国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/ 出其处理能力的垃圾数据包的过程中，被攻击 主机的网络性能不断下降，直到不能提供正常 服务，乃至崩溃。它对IP地址不做假 国家计算机网络入侵防范国家计算机网络入侵防范中心中心http:/

19、 此它具有TFN的特性。此外它增加了主控端与代理端的加密通讯能力，它对命 令源作假，可以防范一些路由器的 RFC2267过滤。Stacheldrah中有一个内 嵌的客户升级模块，可以自动下载并安 装最新的客户代理程序。1、有事业的峰峦上，有汗水的溪流飞淌；在智慧的珍珠里，有勤奋的心血闪光。2、人们走过的每一个足迹，都是自己生命的留言；留给今天翻过的日历，留给未来永久的历史。3、人生是一座可以采掘开拓的金矿，但总是因为人们的勤奋程度不同，给予人们的回报也不相同。4、理想之风扯满人生的帆；奋斗之杆举起理想之旗。5、人应该学会走自己的路，但更应该掌握手中的罗盘。6、不能因为人生的道路坎坷，就使自己的

20、身躯变得弯曲；不能因为生活的历程漫长，就使求索的脚步迟缓。7、人生的意义在理想的光辉中闪烁；生命的价值在创造的生活中闪现。8、只有走完平凡的路程，才能达到伟大的目标。9、奋斗目标是人生的精神支柱。10、共同的事业，共同的斗争，可以使人们产生忍受一切的力量。奥斯特洛夫斯基11、属于每个人的道路，都在每个人的足下；属于每个人的历史，都在每个人的身后。12、终于有一天，海水和泪都是甜的。13、有志者自有千方百计，无志者只有千难万难。14、贫不足羞，可羞是贫而无志。吕坤15、人，只要有一种信念，有所追求，什么艰苦都能忍受，什么环境也都能适应。丁玲16、人生的途程是遥远的，只要双脚不息地前行，道路就会向

21、远方延伸。17、理想是人生的坚实支柱，如果失去了生活的理想，精神也就会随之而瘫痪。18、目标不是都能达到的，但它可以作为瞄准点。28、我学习了一生，现在我还在学习，而将来，只要我还有精力，我还要学习下去。别林斯基29、任何时候我也不会满足，越是读书，就越是深刻的感到不满足，越是感到自己的知识贫乏。马克思30、外国语是人生斗争的一种武器。马克思31、学习这件事不在乎有没有人教你，最重要的是在于你自己有没有觉悟和恒心。法布尔32、笔落惊风雨,诗成泣鬼神。杜甫33、别裁伪体亲风雅,转益多师是汝师。杜甫28、我学习了一生，现在我还在学习，而将来，只要我还有精力，我还要学习下去。别林斯基29、任何时候我也不会满足，越是读书，就越是深刻的感到不满足，越是感到自己的知识贫乏。马克思30、外国语是人生斗争的一种武器。马克思31、学习这件事不在乎有没有人教你，最重要的是在于你自己有没有觉悟和恒心。法布尔32、笔落惊风雨,诗成泣鬼神。杜甫33、别裁伪体亲风雅,转益多师是汝师。杜甫