null网络安全网络安全西南科技大学
计算机科学与技术学院 第3章回顾第3章回顾网络扫描
网络监听
口令破解
讨论:如何发现和预防ARP欺骗(ARP Poisoning)攻击?
第4章 拒绝服务攻击第4章 拒绝服务攻击本章介绍DoS攻击的定义、思想和分类,对SYN Flooding攻击、Smurf攻击、利用处理程序错误的拒绝服务攻击、电子邮件轰炸攻击和分布式拒绝服务攻击(DDoS)方法分别进行了详细的分析,并对每一种攻击提供了防范措施。 第4章 拒绝服务攻击第4章 拒绝服务攻击4.1 拒绝服务攻击概述
4.2 拒绝服务攻击分类
4.3 服务端口攻击
4.4 电子邮件轰炸
4.5 分布式拒绝服务攻击DDoS
拒绝服务攻击概述 拒绝服务攻击概述DoS定义
拒绝服务攻击DoS(Denial of Service)是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式
主要方式:
漏洞攻击
发送大量看似合法的数据
物理方式
造成结果:
停止响应
资源耗尽,不能为合法用户提供服务;第4章 第1节 拒绝服务攻击概述 拒绝服务攻击概述举例
January 2001
A DDoS attack on Microsoft prevented about 98% of legitimate users from getting to any of Microsoft's servers.
In October 2002
There was an attack on all 13 root Domain Name System (DNS) servers.
August 15, 2003
Microsoft.com falls to DoS attack Company's Web site inaccessible for two hours第4章 第1节 拒绝服务攻击概述 拒绝服务攻击概述从某种程度上可以说,DoS攻击永远不会消失。
软件漏洞永远存在
计算机网络(包转发网络)的设计缺陷
发送方和接受方没有专用资源
数据包能通过任意路径从发送方到达接受方
主干上高带宽的数据可以淹没低带宽的边缘连接
目前还没有根本的解诀办法
技术原因
社会原因第4章 第1节 拒绝服务攻击分类 拒绝服务攻击分类攻击模式
消耗资源
网络带宽、存储空间、 CPU时间等
破坏或改变配置信息
物理破坏或者改变网络部件
利用服务程序中的处理错误使服务失效
发起方式
传统的拒绝服务攻击
分布式拒绝服务攻击(Distributed Denial of Service )第4章 第2节 拒绝服务攻击分类 拒绝服务攻击分类攻击模式:消耗资源
针对网络连接的拒绝服务攻击
ping 、flooding、SYN flooding
ping、finger广播包
广播风暴(SMURF攻击)
消耗磁盘空间
Email
ERROR-LOG
FTP站点的incoming目录
制造垃圾文件第4章 第2节 拒绝服务攻击分类 拒绝服务攻击分类攻击模式:消耗资源
消耗CPU资源和内存资源
main()
{
fork();
main();
} 第4章 第2节 拒绝服务攻击分类 拒绝服务攻击分类攻击模式:破坏或更改配置信息
修改服务用户群(deny)(apache服务器)
删除口令文件第4章 第2节 拒绝服务攻击分类 拒绝服务攻击分类攻击模式:物理破坏或改变网络部件
计算机、路由器、网络配线室、网络主干段、电源、冷却设备、其它的网络关键设备
攻击模式:利用服务程序中的处理错误使服务失效
LAND攻击
第4章 第2节 4.3 服务端口攻击 4.3 服务端口攻击
SYN Flooding
Smurf攻击
利用处理程序错误的拒绝服务攻击
第4章 第3节4.3 服务端口攻击4.3 服务端口攻击SYN Flooding第4章 第3节为连接分配资源4.3 服务端口攻击4.3 服务端口攻击SYN Flooding第4章 第3节为连接分配资源 服务端口攻击 服务端口攻击SYN Flooding192.168.0.210 -> 192.168.0.255 NBT Datagram Service Type=17 Source=ROOTDC[20]
192.168.0.247 -> 192.168.0.255 NBT Datagram Service Type=17 Source=TSC[0]
? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
192.168.0.200 -> (broadcast) ARP C Who is 192.168.0.102, 192.168.0.102 ? 127.0.0.178 -> lab183.lab.net TCP D=124 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=125 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=126 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=128 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=130 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=131 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=133 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=135 S=1352 Syn Seq=674711609 Len=0 Win=65535
……
……
第4章 第3节网络正常数据网络中发生攻击 服务端口攻击 服务端口攻击SYN Flooding
同步包风暴拒绝服务攻击具有以下特点
针对TCP/IP
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
的薄弱环节进行攻击
发动攻击时,只要很少的数据流量就可以产生显著的效果
攻击来源无法定位(IP欺骗)
在服务端无法区分TCP连接请求是否合法
第4章 第3节 服务端口攻击 服务端口攻击SYN Flooding
同步包风暴攻击的本质是利用TCP/IP协议集的设计弱点和缺陷
只有对现有的TCP/IP协议集进行重大改变才能修正这些缺陷
目前还没有一个完整的解决
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
,但是可以采取一些措施尽量降低这种攻击发生的可能性 第4章 第3节 服务端口攻击 服务端口攻击SYN Flooding
应对
优化系统配置
优化路由器配置
使用防火墙
主动监视
完善基础设施
第4章 第3节 服务端口攻击 服务端口攻击Smurf攻击
这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络数据充斥目标系统,引起目标系统拒绝为正常请求进行服务
第4章 第3节 服务端口攻击 服务端口攻击Smurf攻击第4章 第3节 服务端口攻击 服务端口攻击Smurf攻击
应对
实际发起攻击的网络
过滤掉源地址为其他网络的数据包
被攻击者利用的中间网络
配置路由器禁止IP广播包
被攻击的目标
与ISP协商,由ISP暂时阻止这些流量第4章 第3节 服务端口攻击 服务端口攻击错误处理
Ping of Death
Teardrop
Winnuke
Land
…第4章 第3节 服务端口攻击 服务端口攻击错误处理
Ping of Death
操作系统无法处理65536字节的ICMP包(Windows95)
现在的操作系统都能处理这个错误。C:\>ping -l 65507 -n 1 192.168.1.107
Bad value for option -l, valid range is from 0 to 65500.第4章 第3节 服务端口攻击 服务端口攻击错误处理
Teardrop攻击举个例子来说明这个漏洞:
第一个碎片:mf=1 offset=0 payload=20
第二个碎片:mf=0 offset=10 payload=9
memcpy拷贝第二个碎片时:
memcpy((ptr + fp->offset), fp->ptr, fp->len)
其中拷贝长度为:fp->len=19-20=-1;
那么将拷贝过多的数据导致崩溃。第4章 第3节分片标志偏移值负载长度目的源长度 服务端口攻击 服务端口攻击错误处理
Winnuke攻击
Windows : NetBIOS : 139
OOB
蓝屏(操作系统核心故障)
send (sock,&c,1,MSG_OOB);第4章 第3节 服务端口攻击 服务端口攻击错误处理
Land攻击
攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能
对Land攻击反应不同,许多UNIX实现将崩溃,而Windows会变的极其缓慢(大约持续五分钟)
127.0.0.1 第4章 第3节 电子邮件轰炸 电子邮件轰炸在很短时间内收到大量无用的电子邮件
SMTP端口 (25)
telnet smtp.ercist.net smtp
Trying 2.4.6.8…
Connected to smtp.ercist.net.
Escape character is ‘^ ]’.
220 smtp.ercist.net ESMTP
hello yahoo.com
250 smtp.ercist.net
mail from: abc@ercist.net
250 Ok
rcpt to: def@university.net
250 Ok
data
354 End data with
.
垃圾邮件内容
250 Ok: queued as 96FE61C57EA7B
quit第4章 第4节 电子邮件轰炸 电子邮件轰炸邮件列表炸弹
KaBoom!
这种攻击有两个特点
真正的匿名,发送邮件的是邮件列表
难以避免这种攻击,除非被攻击者更换电子邮件地址,或者向邮件列表申请退出
病毒发送电子邮件炸弹第4章 第4节 电子邮件轰炸 电子邮件轰炸应对
配置路由器和防火墙,识别邮件炸弹的源头,不使其通过
提高系统记账能力,对事件进行追踪第4章 第4节 分布式拒绝服务攻击DDoS 分布式拒绝服务攻击DDoS分布式拒绝服务DDoS(Distributed Denial of Service)攻击是对传统DoS攻击的发展
攻击者首先侵入并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击
第4章 第5节 分布式拒绝服务攻击DDoS 分布式拒绝服务攻击DDoSDDoS的三级控制结构第4章 第5节 分布式拒绝服务攻击DDoS 分布式拒绝服务攻击DDoS传统的拒绝服务攻击的缺点
受网络资源的限制
隐蔽性差DDoS克服了这两个致命弱点
突破了传统攻击方式从本地攻击的局限性和不安全性
其隐蔽性和分布性很难被识别和防御 第4章 第5节 分布式拒绝服务攻击DDoS 分布式拒绝服务攻击DDoS被DDoS攻击时可能的现象
被攻击主机上有大量等待的TCP连接
端口随意
大量源地址为假的无用的数据包
高流量的无用数据造成网络拥塞
利用缺陷,反复发出服务请求,使受害主机无法及时处理正常请求
严重时会造成死机第4章 第5节分布式拒绝服务攻击DDoS举例分布式拒绝服务攻击DDoS举例DDoS工具
Trinoo
UDP
TFN(Tribe Flooding Network)
Stacheldraht
TFN2K(Tribe Flooding Network 2000)
多点攻击、加密传输、完整性检查、随机选择底层协议和攻击手段、IP地址欺骗、哑代理、隐藏身份等特点
Trinity v3 第4章 第5节分布式拒绝服务攻击DDoS分布式拒绝服务攻击DDoS技术挑战
需要Internet范围的分布式响应
缺少攻击的详细信息
缺少防御系统的性能
大范围测试的困难性
社会挑战
DDoS的分布性
所有受保护的目标都需要防护 分布式拒绝服务攻击DDoS 分布式拒绝服务攻击DDoS防御基本方式
给单个主机打上补丁
优化网络结构
过滤危险数据包
防御方法
保护
检测
响应第4章 第5节 分布式拒绝服务攻击DDoS 分布式拒绝服务攻击DDoS防御方式一:保护
数据源证实
数据证实
资源分配
目标隐藏
防御方式二:检测
异常检测
误用检测
特征检测第4章 第5节 分布式拒绝服务攻击DDoS 分布式拒绝服务攻击DDoS防御方式三:响应
流量策略
过滤
流量限制
攻击追踪
服务区分第4章 第5节参考材料参考材料Jelena Mirkovic, Sven Dietrich, David Dittrich, Peter Reiher. Internet Denial of Service: Attack and Defense Mechanisms. Prentice Hall PTR. 2004拒绝服务攻击拒绝服务攻击基本原理、方法
分类
服务端口攻击
电子邮件轰炸
分布式拒绝服务攻击DDoS
第4章 小结第4章 拒绝服务攻击习题第4章 拒绝服务攻击习题课后习题
外部用户针对网络连接发动拒绝服务攻击有哪几种模式?请举例说明。
对付分布式拒绝服务攻击的方法有哪些?举例说明。 第4章 习题