拒接服务防范与攻击教材.pptVIP

拒接服务攻击与防范 目录 基本概念 攻击原理 攻击手段 攻击实例 如何防范与抵御攻击 一、基本概念 故意攻击网络协议实现的缺陷，或直接通过野蛮手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃的手段叫做拒接服务攻击。 在此攻击中并不包括侵入目标服务器或目标网络设备。 二、攻击原理 为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？ 1.搜集了解目标的情况 被攻击目标主机数目、地址情况 目标主机的配置、性能 目标的带宽 2. 占领傀儡机 链路状态好的主机 性能好的主机 安全管理水平差的主机 3. 实际攻击 三、攻击手段 (3)自身消耗的拒绝服务攻击 这是一种老式的攻击手法。说老式，是因为老式的系统有这样的自身BUG。比如Win95 (winsock v1), Cisco IOS v.10.x, 和其他过时的系统。 这种拒绝服务攻击就是把请求客户端IP和端口弄成主机的IP端口相同，发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快把资源消耗光。直接导致当机。这中伪装对一些身份认证系统还是威胁巨大的。 上面这些实施拒绝服务攻击的手段最主要的就是构造需要的TCP数据，充分利用TCP协议。这些攻击方法都是建立在TCP基础上的。还有其他的拒绝服务攻击手段。 (4)塞满服务器的硬盘 通常，如果服务器可以没有限制地执行写操作，那么都能成为塞满硬盘造成拒绝服务攻击的途径，比如： 发送垃圾邮件。一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。破坏者可以发送大量的垃圾邮件，这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中，直到邮箱被撑破或者把硬盘塞满。 (5)合理利用策略 一般服务器都有关于帐户锁定的安全策略，比如，某个帐户连续3次登陆失败，那么这个帐号将被锁定。这点也可以被破坏者利用，他们伪装一个帐号去错误登陆，这样使得这个帐号被锁定，而正常的合法用户就不能使用这个帐号去登陆系统了。 (6) SYN Flood攻击 SYN-Flood是目前最流行的拒接服务攻击手段，早先的拒绝服务的手段在向分布式这一阶段发展的时候也经历了浪里淘沙的过程。SYN-Flood的攻击效果最好，应该是众黑客不约而同选择它的原因吧。它的原理如下图所示： 四、攻击实例 五、如何防范与抵御攻击 对拒接服务攻击来说并没有100％有效的防御手段。但是由于攻击者必须付出比防御者大得多的资源和努力才能实现有效的攻击，所以只要我们更好地了解拒接服务攻击，积极部署防御措施，还是能在很大程度上缓解和抵御这类安全威胁的。另外，加强用户的安全防范意识，提高网络系统的安全性也是很重要的措施。 （1）监控骨干网络设备，减少骨干网主机的漏洞 关闭不必要的服务。 限制同时打开的Syn半连接数目。 缩短Syn半连接的time out 时间。 及时更新系统补丁。 （2）合理配置路由器及防火墙，实现IDS和防火墙的联动 企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是与外界的接口设备。需要注意的是防DDoS的设置是以牺牲效率为代价的。 配置路由器（以Cisco路由器为例）1． Cisco Express Forwarding（CEF）。2．使用 unicast reverse-path。 3．访问控制列表（ACL）过滤。 4．设置SYN数据包流量速率。5．升级版本过低的ISO。 6．为路由器建立log server。 防火墙 1．禁止对主机的非开放服务的访问。 2．限制同时打开的SYN最大连接数。 3．限制特定IP地址的访问。 4．启用防火墙的防DDoS属性。 5．严格限制对外开放的服务器的向外访问。 （3）加强网络管理，建立合理的应对策略 确保手头有一张最新的网络拓扑图。 在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。 与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。 当用户发现自己正在遭受DDoS攻击时，应当启动自己的应付策略，尽可能快地追踪攻击包，并及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点。 确保管理员对所有主机进行检查，而不仅针对关键主机。 对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权（例如管理员账号）的密码设置要谨慎。 谢 谢 ！ * * 答：这就是导致拒接服务攻击难以追查的原因之一了。做为攻击者的