网络安全4拒绝服务攻击.ppt

网络安全,西南科技大学计算机科学与技术学院,第3章回顾,网络扫描网络监听口令破解讨论：如何发现和预防ARP欺骗（ARP Poisoning）攻击？,第4章 拒绝服务攻击,本章介绍DoS攻击的定义、思想和分类，对SYN Flooding攻击、Smurf攻击、利用处理程序错误的拒绝服务攻击、电子邮件轰炸攻击和分布式拒绝服务攻击(DDoS)方法分别进行了详细的分析，并对每一种攻击提供了防范措施。,第4章 拒绝服务攻击,4.1 拒绝服务攻击概述4.2 拒绝服务攻击分类4.3 服务端口攻击4.4 电子邮件轰炸4.5 分布式拒绝服务攻击DDoS,拒绝服务攻击概述,DoS定义拒绝服务攻击DoS（Denial of Service）是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式主要方式：漏洞攻击发送大量看似合法的数据物理方式造成结果：停止响应资源耗尽，不能为合法用户提供服务；,第4章 第1节,拒绝服务攻击概述,举例January 2001A DDoS attack on Microsoft prevented about 98%of legitimate users from getting to any of Microsofts servers.In October 2002There was an attack on all 13 root Domain Name System(DNS)servers.August 15,2003M falls to DoS attackCompanys Web site inaccessible for two hours,第4章 第1节,拒绝服务攻击概述,从某种程度上可以说，DoS攻击永远不会消失。软件漏洞永远存在计算机网络（包转发网络）的设计缺陷发送方和接受方没有专用资源数据包能通过任意路径从发送方到达接受方主干上高带宽的数据可以淹没低带宽的边缘连接目前还没有根本的解诀办法技术原因社会原因,第4章 第1节,拒绝服务攻击分类,攻击模式消耗资源网络带宽、存储空间、CPU时间等破坏或改变配置信息 物理破坏或者改变网络部件 利用服务程序中的处理错误使服务失效 发起方式传统的拒绝服务攻击 分布式拒绝服务攻击（Distributed Denial of Service）,第4章 第2节,拒绝服务攻击分类,攻击模式：消耗资源针对网络连接的拒绝服务攻击 ping、flooding、SYN floodingping、finger广播包 广播风暴（SMURF攻击）消耗磁盘空间 EmailERROR-LOG FTP站点的incoming目录 制造垃圾文件,第4章 第2节,拒绝服务攻击分类,攻击模式：消耗资源消耗CPU资源和内存资源,main()fork()；main()；,第4章 第2节,拒绝服务攻击分类,攻击模式：破坏或更改配置信息修改服务用户群(deny)（apache服务器）删除口令文件,第4章 第2节,拒绝服务攻击分类,攻击模式：物理破坏或改变网络部件 计算机、路由器、网络配线室、网络主干段、电源、冷却设备、其它的网络关键设备 攻击模式：利用服务程序中的处理错误使服务失效LAND攻击,第4章 第2节,4.3 服务端口攻击,SYN Flooding Smurf攻击 利用处理程序错误的拒绝服务攻击,第4章 第3节,4.3 服务端口攻击,SYN Flooding,第4章 第3节,为连接分配资源,4.3 服务端口攻击,SYN Flooding,第4章 第3节,为连接分配资源,服务端口攻击,SYN Flooding,192.168.0.210-192.168.0.255 NBT Datagram Service Type=17 Source=ROOTDC20 192.168.0.247-192.168.0.255 NBT Datagram Service Type=17 Source=TSC0?-(broadcast)ETHER Type=886F(Unknown),size=1510 bytes 192.168.0.200-(broadcast)ARP C Who is 192.168.0.102,192.168.0.102?,127.0.0.178-TCP D=124 S=1352 Syn Seq=674711609 Len=0 Win=65535 127.0.0.178-TCP D=125 S=1352 Syn Seq=674711609 Len=0 Win=65535 127.0.0.178-TCP D=126 S=1352 Syn Seq=674711609 Len=0 Win=65535 127.0.0.178-TCP D=128 S=1352 Syn Seq=674711609 Len=0 Win=65535 127.0.0.178-TCP D=130 S=1352 Syn Seq=674711609 Len=0 Win=65535 127.0.0.178-TCP D=131 S=1352 Syn Seq=674711609 Len=0 Win=65535 127.0.0.178-TCP D=133 S=1352 Syn Seq=674711609 Len=0 Win=65535 127.0.0.178-TCP D=135 S=1352 Syn Seq=674711609 Len=0 Win=65535,第4章 第3节,网络正常数据,网络中发生攻击,服务端口攻击,SYN Flooding 同步包风暴拒绝服务攻击具有以下特点 针对TCP/IP协议的薄弱环节进行攻击发动攻击时，只要很少的数据流量就可以产生显著的效果攻击来源无法定位（IP欺骗）在服务端无法区分TCP连接请求是否合法,第4章 第3节,服务端口攻击,SYN Flooding 同步包风暴攻击的本质是利用TCP/IP协议集的设计弱点和缺陷只有对现有的TCP/IP协议集进行重大改变才能修正这些缺陷目前还没有一个完整的解决方案，但是可以采取一些措施尽量降低这种攻击发生的可能性,第4章 第3节,服务端口攻击,SYN Flooding 应对 优化系统配置 优化路由器配置 使用防火墙 主动监视 完善基础设施,第4章 第3节,服务端口攻击,Smurf攻击 这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络数据充斥目标系统，引起目标系统拒绝为正常请求进行服务,第4章 第3节,服务端口攻击,Smurf攻击,第4章 第3节,服务端口攻击,Smurf攻击应对实际发起攻击的网络 过滤掉源地址为其他网络的数据包被攻击者利用的中间网络配置路由器禁止IP广播包 被攻击的目标 与ISP协商，由ISP暂时阻止这些流量,第4章 第3节,服务端口攻击,错误处理Ping of Death Teardrop Winnuke Land,第4章 第3节,服务端口攻击,错误处理Ping of Death 操作系统无法处理65536字节的ICMP包（Windows95）现在的操作系统都能处理这个错误。,C:ping-l 65507-n 1 192.168.1.107Bad value for option-l,valid range is from 0 to 65500.,第4章 第3节,服务端口攻击,错误处理Teardrop攻击,举个例子来说明这个漏洞：第一个碎片：mf=1 offset=0 payload=20第二个碎片：mf=0 offset=10 payload=9memcpy拷贝第二个碎片时:memcpy(ptr+fp-offset),fp-ptr,fp-len)其中拷贝长度为：fp-len=19-20=-1；那么将拷贝过多的数据导致崩溃。,第4章 第3节,分片标志,偏移值,负载长度,目的,源,长度,服务端口攻击,错误处理Winnuke攻击 Windows:NetBIOS:139OOB蓝屏（操作系统核心故障）,send(sock,第4章 第3节,服务端口攻击,错误处理Land攻击 攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能 对Land攻击反应不同，许多UNIX实现将崩溃，而Windows会变的极其缓慢（大约持续五分钟）127.0.0.1,第4章 第3节,电子邮件轰炸,在很短时间内收到大量无用的电子邮件 SMTP端口(25),telnet smtpTrying 2.4.6.8Connected to.Escape character is.220 ESMTPhello 250 mail from:250 Ok,rcpt to:250 Okdata354 End data with.垃圾邮件内容250 Ok:queued as 96FE61C57EA7Bquit,第4章 第4节,电子邮件轰炸,邮件列表炸弹KaBoom!这种攻击有两个特点真正的匿名，发送邮件的是邮件列表难以避免这种攻击，除非被攻击者更换电子邮件地址，或者向邮件列表申请退出 病毒发送电子邮件炸弹,第4章 第4节,电子邮件轰炸,应对配置路由器和防火墙，识别邮件炸弹的源头，不使其通过 提高系统记账能力，对事件进行追踪,第4章 第4节,分布式拒绝服务攻击DDoS,分布式拒绝服务DDoS（Distributed Denial of Service）攻击是对传统DoS攻击的发展攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击,第4章 第5节,分布式拒绝服务攻击DDoS,DDoS的三级控制结构,第4章 第5节,分布式拒绝服务攻击DDoS,传统的拒绝服务攻击的缺点 受网络资源的限制 隐蔽性差,DDoS克服了这两个致命弱点 突破了传统攻击方式从本地攻击的局限性和不安全性 其隐蔽性和分布性很难被识别和防御,第4章 第5节,分布式拒绝服务攻击DDoS,被DDoS攻击时可能的现象被攻击主机上有大量等待的TCP连接 端口随意大量源地址为假的无用的数据包高流量的无用数据造成网络拥塞 利用缺陷，反复发出服务请求，使受害主机无法及时处理正常请求 严重时会造成死机,第4章 第5节,分布式拒绝服务攻击DDoS举例,DDoS工具TrinooUDPTFN（Tribe Flooding Network）StacheldrahtTFN2K（Tribe Flooding Network 2000）多点攻击、加密传输、完整性检查、随机选择底层协议和攻击手段、IP地址欺骗、哑代理、隐藏身份等特点Trinity v3,第4章 第5节,分布式拒绝服务攻击DDoS,技术挑战需要Internet范围的分布式响应缺少攻击的详细信息缺少防御系统的性能大范围测试的困难性社会挑战DDoS的分布性所有受保护的目标都需要防护,分布式拒绝服务攻击DDoS,防御基本方式给单个主机打上补丁优化网络结构过滤危险数据包防御方法保护检测响应,第4章 第5节,分布式拒绝服务攻击DDoS,防御方式一：保护数据源证实数据证实资源分配目标隐藏防御方式二：检测异常检测误用检测特征检测,第4章 第5节,分布式拒绝服务攻击DDoS,防御方式三：响应流量策略过滤流量限制攻击追踪服务区分,第4章 第5节,参考材料,JelenaMirkovic,SvenDietrich,DavidDittrich,PeterReiher.Internet Denial of Service:Attack and Defense Mechanisms.Prentice Hall PTR.2004,拒绝服务攻击,基本原理、方法分类服务端口攻击电子邮件轰炸分布式拒绝服务攻击DDoS,第4章 小结,第4章 拒绝服务攻击习题,课后习题外部用户针对网络连接发动拒绝服务攻击有哪几种模式？请举例说明。对付分布式拒绝服务攻击的方法有哪些？举例说明。,第4章 习题,