网络安全4-拒绝服务攻击

null网络安全网络安全西南科技大学 计算机科学与技术学院 第3章回顾第3章回顾网络扫描 网络监听 口令破解 讨论：如何发现和预防ARP欺骗（ARP Poisoning）攻击？ 第4章 拒绝服务攻击第4章 拒绝服务攻击本章介绍DoS攻击的定义、思想和分类，对SYN Flooding攻击、Smurf攻击、利用处理程序错误的拒绝服务攻击、电子邮件轰炸攻击和分布式拒绝服务攻击(DDoS)方法分别进行了详细的分析，并对每一种攻击提供了防范措施。 第4章 拒绝服务攻击第4章 拒绝服务攻击4.1 拒绝服务攻击概述 4.2 拒绝服务攻击分类 4.3 服务端口攻击 4.4 电子邮件轰炸 4.5 分布式拒绝服务攻击DDoS 拒绝服务攻击概述 拒绝服务攻击概述DoS定义 拒绝服务攻击DoS（Denial of Service）是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式 主要方式： 漏洞攻击 发送大量看似合法的数据 物理方式 造成结果： 停止响应 资源耗尽，不能为合法用户提供服务；第4章 第1节 拒绝服务攻击概述 拒绝服务攻击概述举例 January 2001 A DDoS attack on Microsoft prevented about 98% of legitimate users from getting to any of Microsoft's servers. In October 2002 There was an attack on all 13 root Domain Name System (DNS) servers. August 15, 2003 Microsoft.com falls to DoS attack Company's Web site inaccessible for two hours第4章 第1节 拒绝服务攻击概述 拒绝服务攻击概述从某种程度上可以说，DoS攻击永远不会消失。 软件漏洞永远存在 计算机网络（包转发网络）的设计缺陷 发送方和接受方没有专用资源 数据包能通过任意路径从发送方到达接受方 主干上高带宽的数据可以淹没低带宽的边缘连接 目前还没有根本的解诀办法 技术原因 社会原因第4章 第1节 拒绝服务攻击分类 拒绝服务攻击分类攻击模式 消耗资源 网络带宽、存储空间、 CPU时间等 破坏或改变配置信息 物理破坏或者改变网络部件 利用服务程序中的处理错误使服务失效 发起方式 传统的拒绝服务攻击 分布式拒绝服务攻击（Distributed Denial of Service ）第4章 第2节 拒绝服务攻击分类 拒绝服务攻击分类攻击模式：消耗资源 针对网络连接的拒绝服务攻击 ping 、flooding、SYN flooding ping、finger广播包 广播风暴（SMURF攻击） 消耗磁盘空间 Email ERROR-LOG FTP站点的incoming目录 制造垃圾文件第4章 第2节 拒绝服务攻击分类 拒绝服务攻击分类攻击模式：消耗资源 消耗CPU资源和内存资源 main() { fork()； main()； ｝ 第4章 第2节 拒绝服务攻击分类 拒绝服务攻击分类攻击模式：破坏或更改配置信息 修改服务用户群(deny)（apache服务器） 删除口令文件第4章 第2节 拒绝服务攻击分类 拒绝服务攻击分类攻击模式：物理破坏或改变网络部件 计算机、路由器、网络配线室、网络主干段、电源、冷却设备、其它的网络关键设备 攻击模式：利用服务程序中的处理错误使服务失效 LAND攻击 第4章 第2节 4.3 服务端口攻击 4.3 服务端口攻击 SYN Flooding Smurf攻击 利用处理程序错误的拒绝服务攻击 第4章 第3节4.3 服务端口攻击4.3 服务端口攻击SYN Flooding第4章 第3节为连接分配资源4.3 服务端口攻击4.3 服务端口攻击SYN Flooding第4章 第3节为连接分配资源 服务端口攻击 服务端口攻击SYN Flooding192.168.0.210 -> 192.168.0.255 NBT Datagram Service Type=17 Source=ROOTDC[20] 192.168.0.247 -> 192.168.0.255 NBT Datagram Service Type=17 Source=TSC[0] ? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes 192.168.0.200 -> (broadcast) ARP C Who is 192.168.0.102, 192.168.0.102 ? 127.0.0.178 -> lab183.lab.net TCP D=124 S=1352 Syn Seq=674711609 Len=0 Win=65535 127.0.0.178 -> lab183.lab.net TCP D=125 S=1352 Syn Seq=674711609 Len=0 Win=65535 127.0.0.178 -> lab183.lab.net TCP D=126 S=1352 Syn Seq=674711609 Len=0 Win=65535 127.0.0.178 -> lab183.lab.net TCP D=128 S=1352 Syn Seq=674711609 Len=0 Win=65535 127.0.0.178 -> lab183.lab.net TCP D=130 S=1352 Syn Seq=674711609 Len=0 Win=65535 127.0.0.178 -> lab183.lab.net TCP D=131 S=1352 Syn Seq=674711609 Len=0 Win=65535 127.0.0.178 -> lab183.lab.net TCP D=133 S=1352 Syn Seq=674711609 Len=0 Win=65535 127.0.0.178 -> lab183.lab.net TCP D=135 S=1352 Syn Seq=674711609 Len=0 Win=65535 …… …… 第4章 第3节网络正常数据网络中发生攻击 服务端口攻击 服务端口攻击SYN Flooding 同步包风暴拒绝服务攻击具有以下特点 针对TCP/IP 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 的薄弱环节进行攻击 发动攻击时，只要很少的数据流量就可以产生显著的效果 攻击来源无法定位（IP欺骗） 在服务端无法区分TCP连接请求是否合法 第4章 第3节 服务端口攻击 服务端口攻击SYN Flooding 同步包风暴攻击的本质是利用TCP/IP协议集的设计弱点和缺陷 只有对现有的TCP/IP协议集进行重大改变才能修正这些缺陷 目前还没有一个完整的解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ，但是可以采取一些措施尽量降低这种攻击发生的可能性 第4章 第3节 服务端口攻击 服务端口攻击SYN Flooding 应对 优化系统配置 优化路由器配置 使用防火墙 主动监视 完善基础设施 第4章 第3节 服务端口攻击 服务端口攻击Smurf攻击 这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络数据充斥目标系统，引起目标系统拒绝为正常请求进行服务 第4章 第3节 服务端口攻击 服务端口攻击Smurf攻击第4章 第3节 服务端口攻击 服务端口攻击Smurf攻击 应对 实际发起攻击的网络 过滤掉源地址为其他网络的数据包 被攻击者利用的中间网络 配置路由器禁止IP广播包 被攻击的目标 与ISP协商，由ISP暂时阻止这些流量第4章 第3节 服务端口攻击 服务端口攻击错误处理 Ping of Death Teardrop Winnuke Land …第4章 第3节 服务端口攻击 服务端口攻击错误处理 Ping of Death 操作系统无法处理65536字节的ICMP包（Windows95） 现在的操作系统都能处理这个错误。C:\>ping -l 65507 -n 1 192.168.1.107 Bad value for option -l, valid range is from 0 to 65500.第4章 第3节 服务端口攻击 服务端口攻击错误处理 Teardrop攻击举个例子来说明这个漏洞： 第一个碎片：mf=1 offset=0 payload=20 第二个碎片：mf=0 offset=10 payload=9 memcpy拷贝第二个碎片时: memcpy((ptr + fp->offset), fp->ptr, fp->len) 其中拷贝长度为：fp->len=19-20=-1； 那么将拷贝过多的数据导致崩溃。第4章 第3节分片标志偏移值负载长度目的源长度 服务端口攻击 服务端口攻击错误处理 Winnuke攻击 Windows : NetBIOS : 139 OOB 蓝屏（操作系统核心故障） send (sock,&c,1,MSG_OOB);第4章 第3节 服务端口攻击 服务端口攻击错误处理 Land攻击 攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能 对Land攻击反应不同，许多UNIX实现将崩溃，而Windows会变的极其缓慢（大约持续五分钟） 127.0.0.1 第4章 第3节 电子邮件轰炸 电子邮件轰炸在很短时间内收到大量无用的电子邮件 SMTP端口 (25) telnet smtp.ercist.net smtp Trying 2.4.6.8… Connected to smtp.ercist.net. Escape character is ‘^ ]’. 220 smtp.ercist.net ESMTP hello yahoo.com 250 smtp.ercist.net mail from: abc@ercist.net 250 Ok rcpt to: def@university.net 250 Ok data 354 End data with . 垃圾邮件内容 250 Ok: queued as 96FE61C57EA7B quit第4章 第4节 电子邮件轰炸 电子邮件轰炸邮件列表炸弹 KaBoom! 这种攻击有两个特点 真正的匿名，发送邮件的是邮件列表 难以避免这种攻击，除非被攻击者更换电子邮件地址，或者向邮件列表申请退出 病毒发送电子邮件炸弹第4章 第4节 电子邮件轰炸 电子邮件轰炸应对 配置路由器和防火墙，识别邮件炸弹的源头，不使其通过 提高系统记账能力，对事件进行追踪第4章 第4节 分布式拒绝服务攻击DDoS 分布式拒绝服务攻击DDoS分布式拒绝服务DDoS（Distributed Denial of Service）攻击是对传统DoS攻击的发展 攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击 第4章 第5节 分布式拒绝服务攻击DDoS 分布式拒绝服务攻击DDoSDDoS的三级控制结构第4章 第5节 分布式拒绝服务攻击DDoS 分布式拒绝服务攻击DDoS传统的拒绝服务攻击的缺点 受网络资源的限制 隐蔽性差DDoS克服了这两个致命弱点 突破了传统攻击方式从本地攻击的局限性和不安全性 其隐蔽性和分布性很难被识别和防御 第4章 第5节 分布式拒绝服务攻击DDoS 分布式拒绝服务攻击DDoS被DDoS攻击时可能的现象 被攻击主机上有大量等待的TCP连接 端口随意 大量源地址为假的无用的数据包 高流量的无用数据造成网络拥塞 利用缺陷，反复发出服务请求，使受害主机无法及时处理正常请求 严重时会造成死机第4章 第5节分布式拒绝服务攻击DDoS举例分布式拒绝服务攻击DDoS举例DDoS工具 Trinoo UDP TFN（Tribe Flooding Network） Stacheldraht TFN2K（Tribe Flooding Network 2000） 多点攻击、加密传输、完整性检查、随机选择底层协议和攻击手段、IP地址欺骗、哑代理、隐藏身份等特点 Trinity v3 第4章 第5节分布式拒绝服务攻击DDoS分布式拒绝服务攻击DDoS技术挑战 需要Internet范围的分布式响应 缺少攻击的详细信息 缺少防御系统的性能 大范围测试的困难性 社会挑战 DDoS的分布性 所有受保护的目标都需要防护 分布式拒绝服务攻击DDoS 分布式拒绝服务攻击DDoS防御基本方式 给单个主机打上补丁 优化网络结构 过滤危险数据包 防御方法 保护 检测 响应第4章 第5节 分布式拒绝服务攻击DDoS 分布式拒绝服务攻击DDoS防御方式一：保护 数据源证实 数据证实 资源分配 目标隐藏 防御方式二：检测 异常检测 误用检测 特征检测第4章 第5节 分布式拒绝服务攻击DDoS 分布式拒绝服务攻击DDoS防御方式三：响应 流量策略 过滤 流量限制 攻击追踪 服务区分第4章 第5节参考材料参考材料Jelena Mirkovic, Sven Dietrich, David Dittrich, Peter Reiher. Internet Denial of Service: Attack and Defense Mechanisms. Prentice Hall PTR. 2004拒绝服务攻击拒绝服务攻击基本原理、方法 分类 服务端口攻击 电子邮件轰炸 分布式拒绝服务攻击DDoS 第4章 小结第4章 拒绝服务攻击习题第4章 拒绝服务攻击习题课后习题 外部用户针对网络连接发动拒绝服务攻击有哪几种模式？请举例说明。 对付分布式拒绝服务攻击的方法有哪些？举例说明。 第4章 习题