第二章安全问题概述——拒绝服务攻击.pptVIP

拒绝服务攻击 （Denial of Service，DoS） ? 并非某一种具体的攻击方式 ? 而是攻击所表现出来的结果—— 使服务器不能正常地对外界提供服务 内存损耗 系统程序和应用程序的漏洞 带宽损耗 网络协议实现中的缺陷 （如TCP三次握手缺陷） TCP的三次握手 　 SYN包,C的序列号 Client 　 SYN+ACK包,S序列号,C应答号　 Server 　 ACK包,S的应答号 ? 源端口(1024高端口) 　 ? 目的端口(1024熟知 ? 源IP地址(寻址只关心 端口，表明Server上 目的IP，不认证源IP地 提供的服务) 址，可能是“假”地址) ? 目的IP地址(提供服务 假冒(另一主机IP地址) 的服务器的IP地址) 虚假(可路由不可到达) 1. UDP Flood 原因： ? 没有修改系统的缺省配置 ? 开放易受攻击的服务端口 ① 没必要打开这些端口（不需要提供小号端口服务） ② 缺省打开则显示系统的功能强 ③ 减少昂贵的技术支持服务的费用 UDP Flood的实现原理（1） UDP Flood利用如下两个服务的弱点： ① Echo服务（TCP7和UDP7）对接收到的每个字符进行回送； ② Chargen服务（TCP19和UDP19）对每个接收到的数据包都返回一些随机生成的字符； 即如果是与Chargen服务在TCP19端口建立了连接，它会不断返回乱字符直到连接中断。 UDP Flood的实现原理（2） 攻击过程和结果： 1）黑客选择两个远程目标A和B； 2）生成伪造的UDP数据包，目的地是B的Chargen端口，来源地“假冒”（两层含义）为A的Echo端口； 3）B的Chargen服务返回的随机字符就发送给A的Echo服务； 4）A再向B回送收到的字符，如此反复，最终导致这两台主机应接不暇而拒绝服务； 5）A和B的内存和两者所在的局域网的带宽都受到严重损耗。 UDP Flood的对策和评价 对策： ? 对于1024以下的源端口，Echo和Chargen都“置之不理”； ? 尽量减少开放不必要的网络服务。 评价： ? 一箭双雕 ? 目前虽已过时，但在当时黑客很有“创意”。 2. Land Attack ? 被攻击主机S是Windows主机，它的139端口一般都是开放的（任一开放端口都可被利用实现此攻击）。 ? 黑客向S的139端口发送TCP请求数据包，并将源IP地址设置为S的IP地址（假冒），源端口（也假冒）设置为139端口——让S自己攻击自己。 Land攻击利用TCP连接建立期间的应答方式存在的 问题，攻击关键在于服务器和客户端有各自序列号。 当目标机器把包发送给自己，等待自己的序列号 （如5000）得到应答，而这个应答却是它自己刚刚才 发送出去的，而且其应答序列号是攻击者的序列号 （如1002）。 由于这个序列号同所期望的序列号相差太大（不在 接收窗口范围），TCP认为这个包有问题，被丢弃。 Land Attack的攻击结果和评价 ? S因试图与自己连接而陷入死循环（S一直给自己发送错误应答，并希望能够看到具有正确序列号的应答返回）。 评价： ? 攻击方法——只有想不到，没有做不到。 ? 现很好防范，已过时，但曾经是DoS的一个很好的思路。 3. SYN Flood（1） 黑客使用TCP三次握手连接服务器的过程中： 1）黑客发送给服务器S的SYN包中的源IP地址是“虚假”地址；（为何不能用“假冒”的地址？） 2）服务器端返回的SYN+ACK包就不能达到声称的源IP地址对应的主机； 3）服务器端就不能“按时”收到对应客户机返回的ACK包，就将其放入自己的“未完成连接队列”中等候； 4）服务器过一段时间再重发SYN+ACK包，再等待； 3. SYN Flood（2） 5）实在等不到回应（超时定时器时间到），将该项从“未完成连接队列”中清除，连接断开，给其他客户机以连接请求的机会； 6）黑客源源不断发送连接请求（用随机产生的虚假源地址：受害者不能进行IP过滤或追查攻击源），使得清除队列总没有进入队