DoS攻击原理及防御方法课件.ppt

1、DoSDoS攻击原理及防御方法攻击原理及防御方法及典型及典型DoSDoS攻击软件介绍攻击软件介绍四川交通职业技术学四川交通职业技术学院院高网高网03-103-1蒋虎蒋虎2HONEYWELL-CONFIDENTIALFile Number Internet Internet的出现和不断强大让通讯变得前所未有的的出现和不断强大让通讯变得前所未有的便捷，也让地球变成了一个村落。但是，在便捷，也让地球变成了一个村落。但是，在InternetInternet发发展壮大的同时，网络系统也积下了无数的漏洞和缺陷，展壮大的同时，网络系统也积下了无数的漏洞和缺陷，也正是这些缺陷和漏洞给今天的也正是这些缺陷和漏洞

2、给今天的InternetInternet留下了巨大的留下了巨大的安全隐患，给予了破坏网络的安全隐患，给予了破坏网络的“黑客黑客”们巨大的机会和们巨大的机会和诱惑，破坏网络的攻击方式和手段层出不穷，针对这些诱惑，破坏网络的攻击方式和手段层出不穷，针对这些漏洞和缺陷的攻击软件更是起了漏洞和缺陷的攻击软件更是起了“推波助澜推波助澜”的作用。的作用。虽然，一些漏洞和缺陷在虽然，一些漏洞和缺陷在InternetInternet的壮大和完善的的壮大和完善的过程中被修补和完善，但是，还是有部分漏洞和缺陷随过程中被修补和完善，但是，还是有部分漏洞和缺陷随着着InternetInternet的壮大而的壮大而“壮

3、大壮大”，而且针对这些漏洞和缺，而且针对这些漏洞和缺陷的攻击手段、方式和软件也在不断进步，基于陷的攻击手段、方式和软件也在不断进步，基于InternetInternet最核心的协议最核心的协议TCP/IPTCP/IP协议的缺陷的协议的缺陷的DoSDoS（拒（拒绝服务攻击）就是其中一个。绝服务攻击）就是其中一个。前言：前言：3HONEYWELL-CONFIDENTIALFile Number1.1 Dos1.1 Dos攻击及其实现方式：攻击及其实现方式：什么是什么是DoSDoS攻击？攻击？DoS DoS是是Denial of Denial of ServiceService的简称，即拒绝服的简称

4、，即拒绝服务，造成务，造成DoSDoS的攻击行为被的攻击行为被称为称为DoSDoS攻击，其目的是使攻击，其目的是使计算机或网络无法提供正计算机或网络无法提供正常的服务。常的服务。早期的早期的DoSDoS攻击常为攻攻击常为攻击者在自己的及其或者被击者在自己的及其或者被其控制的单一计算机上安其控制的单一计算机上安装装DoSDoS攻击软件，对目标计攻击软件，对目标计算机或者服务器进行拒绝算机或者服务器进行拒绝服务攻击服务攻击 4HONEYWELL-CONFIDENTIALFile Number什么是什么是DoSDoS攻击？攻击？1.2 DDoS1.2 DDoS攻击及其实现方式：攻击及其实现方式：分布

5、式拒绝服务分布式拒绝服务(DDoS:Distributed(DDoS:Distributed Denial of Service)Denial of Service)攻击是指借助于客户攻击是指借助于客户/服务器技术，将多个服务器技术，将多个计算机联合起来作为计算机联合起来作为攻击平台，对一个或攻击平台，对一个或多个目标发动多个目标发动DoSDoS攻击攻击，从而成倍地提高拒，从而成倍地提高拒绝服务攻击的威力。绝服务攻击的威力。5HONEYWELL-CONFIDENTIALFile Number什么是什么是DoSDoS攻击？攻击？1.3.11.3.1制造大流量无用数据，造成通往被制造大流量无用数据

6、，造成通往被攻击主机的网络拥塞，使被攻击主机无攻击主机的网络拥塞，使被攻击主机无法正常和外界通信。法正常和外界通信。1.3.21.3.2利用被攻击主机提供服务或传利用被攻击主机提供服务或传输协议上处理重复连接的缺陷，反复高输协议上处理重复连接的缺陷，反复高频的发出攻击性的重复服务请求，使被频的发出攻击性的重复服务请求，使被攻击主机无法及时处理其它正常的请求攻击主机无法及时处理其它正常的请求。1.3.31.3.3利用被攻击主机所提供服务程利用被攻击主机所提供服务程序或传输协议的本身实现缺陷，反复发序或传输协议的本身实现缺陷，反复发送畸形的攻击数据引发系统错误的分配送畸形的攻击数据引发系统错误的分

7、配大量系统资源，使主机处于挂起状态甚大量系统资源，使主机处于挂起状态甚至死机。至死机。1.31.3攻击原理攻击原理 6HONEYWELL-CONFIDENTIALFile Number什么是什么是DoSDoS攻击？攻击？1.41.4攻击手段攻击手段 1.4.1 Synflood1.4.1 Synflood：1.4.2 Smurf1.4.2 Smurf：1.4.3 Land-based1.4.3 Land-based：1.4.4 Ping of 1.4.4 Ping of DeathDeath：1.4.5 Teardrop1.4.5 Teardrop：1.4.6 PingSweep1.4.6 P

8、ingSweep：1.4.7 Pingflood1.4.7 Pingflood：该攻击以多个随机的源该攻击以多个随机的源主机地址向目的主机发主机地址向目的主机发送送SYNSYN包，而在收到目的包，而在收到目的主机的主机的SYN ACKSYN ACK后并不回后并不回应，这样，目的主机就应，这样，目的主机就为这些源主机建立了大为这些源主机建立了大量的连接队列，而且由量的连接队列，而且由于没有收到于没有收到ACKACK一直维护一直维护着这些队列，造成了资着这些队列，造成了资源的大量消耗而不能向源的大量消耗而不能向正常请求提供服务。正常请求提供服务。该攻击向一个子网的该攻击向一个子网的广播地址发一个带

9、有广播地址发一个带有特定请求特定请求(如如ICMPICMP回应回应请求请求)的包，并且将源的包，并且将源地址伪装成想要攻击地址伪装成想要攻击的主机地址。子网上的主机地址。子网上所有主机都回应广播所有主机都回应广播包请求而向被攻击主包请求而向被攻击主机发包，使该主机受机发包，使该主机受到攻击。到攻击。攻击者将一个包的源攻击者将一个包的源地址和目的地址都设地址和目的地址都设置为目标主机的地址置为目标主机的地址，然后将该包通过，然后将该包通过IPIP欺骗的方式发送给被欺骗的方式发送给被攻击主机，这种包可攻击主机，这种包可以造成被攻击主机因以造成被攻击主机因试图与自己建立连接试图与自己建立连接而陷入死

10、循环，从而而陷入死循环，从而很大程度地降低了系很大程度地降低了系统性能。统性能。根据根据TCP/IPTCP/IP的规范，的规范，一个包的长度最大为一个包的长度最大为6553665536字节。尽管一个字节。尽管一个包的长度不能超过包的长度不能超过6553665536字节，但是一个字节，但是一个包分成的多个片段的包分成的多个片段的叠加却能做到。当一叠加却能做到。当一个主机收到了长度大个主机收到了长度大于于6553665536字节的包时，字节的包时，就是受到了就是受到了Ping of Ping of DeathDeath攻击，该攻击会攻击，该攻击会造成主机的宕机。造成主机的宕机。IPIP数据包在网络

11、传递时数据包在网络传递时，数据包可以分成更小，数据包可以分成更小的片段。攻击者可以通的片段。攻击者可以通过发送两段过发送两段(或者更多或者更多)数据包来实现数据包来实现TearDropTearDrop攻击。第一个包的偏移攻击。第一个包的偏移量为量为0 0，长度为，长度为N N，第二，第二个包的偏移量小于个包的偏移量小于N N。为。为了合并这些数据段，了合并这些数据段，TCP/IPTCP/IP堆栈会分配超乎堆栈会分配超乎寻常的巨大资源，从而寻常的巨大资源，从而造成系统资源的缺乏甚造成系统资源的缺乏甚至机器的重新启动。至机器的重新启动。使用使用ICMP EchoICMP Echo轮询轮询多个主机。

12、多个主机。该攻击在短时间内向该攻击在短时间内向目的主机发送大量目的主机发送大量pingping包，造成网络堵包，造成网络堵塞或主机资源耗尽。塞或主机资源耗尽。7HONEYWELL-CONFIDENTIALFile Number什么是什么是DoSDoS攻击？攻击？1.31.3攻击后果攻击后果 当目标主机受到当目标主机受到DoSDoS的成功攻击后，的成功攻击后，通常会响应速度变慢通常会响应速度变慢或停止响应，连合法或停止响应，连合法用户都不能访问该主用户都不能访问该主机，严重的还会造成机，严重的还会造成目标主机的重新启动目标主机的重新启动、死机甚至崩溃。、死机甚至崩溃。8HONEYWELL-CON

13、FIDENTIALFile Number2、典型、典型DoS攻击软件介绍攻击软件介绍2.1 HGOD2.1 HGOD：HGODHGOD是在是在 命令提示行命令提示行 中进行中进行UDP/ICMP/IGMPUDP/ICMP/IGMP各端口或端口段攻击的各端口或端口段攻击的DoSDoS软件，可以手工设定攻击时间、攻击目标软件，可以手工设定攻击时间、攻击目标端口（支持多端口同时攻击）、攻击时发端口（支持多端口同时攻击）、攻击时发送的数据包大小、包发送间隔时间、网络送的数据包大小、包发送间隔时间、网络速度、源速度、源IPIP变化范围等参数变化范围等参数 9HONEYWELL-CONFIDENTIALF

14、ile Number2、典型、典型DoS攻击软件介绍攻击软件介绍2.2 DDoSer：DDoSerDDoSer属于分布式拒绝服务攻击属于分布式拒绝服务攻击软件，采用的是与普通软件，采用的是与普通DDoSDDoS软件软件不同的另一种结构，软件分为生不同的另一种结构，软件分为生成器成器(DDoSMaker.exe)(DDoSMaker.exe)与与DDoSDDoS攻攻击者程序击者程序(DDoSer.exe)(DDoSer.exe)两部分。两部分。软件在下载安装后没有软件在下载安装后没有DDoSDDoS攻击攻击者程序的者程序的(只有生成器只有生成器 DDoSMaker.exe)DDoSMaker.e

15、xe)，DDoSDDoS攻击者程攻击者程序要通过生成器进行生成。序要通过生成器进行生成。生成时，可以自定义攻击目标的生成时，可以自定义攻击目标的域名或域名或IPIP地址、端口等设置（如地址、端口等设置（如右图）。右图）。DDoSDDoS攻击者程序默认的攻击者程序默认的文件名为文件名为DDoSer.exeDDoSer.exe，可以在生，可以在生成时或生成后任意改名。成时或生成后任意改名。10HONEYWELL-CONFIDENTIALFile Number3 3、DoSDoS攻击的防御攻击的防御 DoS DoS攻击几乎是从互联网络的诞生以来，就伴随着互联网络的发展而攻击几乎是从互联网络的诞生以来

16、，就伴随着互联网络的发展而一直存在也不断发展和升级，而且一直存在也不断发展和升级，而且DoSDoS攻击工具可以轻易地在互联网上获攻击工具可以轻易地在互联网上获得，所以任何一个上网者都可能构成网络安全的潜在威胁。得，所以任何一个上网者都可能构成网络安全的潜在威胁。DoSDoS攻击给飞攻击给飞速发展的互联网络安全带来重大的威胁。然而从某种程度上可以说，速发展的互联网络安全带来重大的威胁。然而从某种程度上可以说，DoSDoS攻击永远不会消失而且从技术上目前没有根本的解决办法。但是，可以根攻击永远不会消失而且从技术上目前没有根本的解决办法。但是，可以根据造成缺陷和漏洞的原因来预防和避免据造成缺陷和漏洞

17、的原因来预防和避免DoSDoS攻击：攻击：1 1软件弱点是包含软件弱点是包含在操作系统或应用在操作系统或应用程序中与安全相关程序中与安全相关的系统缺陷的系统缺陷 安装安装hot fixhot fix或者或者SPSP2 2错误配置也会成错误配置也会成为系统的安全隐患为系统的安全隐患 修改网络修改网络/系统相关系统相关配置配置3 3重复请求导致重复请求导致过载的拒绝服务攻过载的拒绝服务攻击。当对资源的重击。当对资源的重复请求大大超过资复请求大大超过资源的支付能力时就源的支付能力时就会造成拒绝服务攻会造成拒绝服务攻击。击。11HONEYWELL-CONFIDENTIALFile Number结语：结

18、语：由于由于3030多年前制定的多年前制定的InternetInternet的核心协议族的核心协议族TCP/IPTCP/IP沿沿用至今，许多用至今，许多TCP/IPTCP/IP协议族中的固有缺陷和漏洞还将继续协议族中的固有缺陷和漏洞还将继续存在，攻击者也会继续研究和利用这些漏洞、缺陷来攻击存在，攻击者也会继续研究和利用这些漏洞、缺陷来攻击网络系统。加之，计算机软硬件系统变得越来越复杂，不网络系统。加之，计算机软硬件系统变得越来越复杂，不可避免地导致了由于人为疏忽出现的软硬件漏洞，而且也可避免地导致了由于人为疏忽出现的软硬件漏洞，而且也正是因为这些协议本身和计算机系统的软硬件的缺陷和漏正是因为这

19、些协议本身和计算机系统的软硬件的缺陷和漏洞给了攻击者可乘之机，洞给了攻击者可乘之机，DoSDoS的攻击手段也不断地的攻击手段也不断地“推陈出推陈出新新”，让让DoSDoS日益成为威胁日益成为威胁InternetInternet正常运行的首要威胁正常运行的首要威胁之一。但是之一。但是DoSDoS攻击并不是完全不可避免的，通过一定的技攻击并不是完全不可避免的，通过一定的技术手段可以防范和减少术手段可以防范和减少DoSDoS攻击者得手的机会，或者降低攻击者得手的机会，或者降低DoSDoS攻击导致的破坏和损失。攻击导致的破坏和损失。12HONEYWELL-CONFIDENTIALFile NumberThe EndThank You!