- 1、本文档共22页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
拒绝服务攻击的防范-网络流量检测
计算机网络安全基础 计算机网络安全基础 计算机网络安全基础 信息安全综合实验 张焕杰 中国科学技术大学网络信息中心 james@ 0/~james/nms Tel: 3601897(O) 第三章DoS攻击 课程目的 学习DoS攻击的基本概念,了解拒绝服务攻击的分类及其原理 掌握和防御DoS攻击的方法 注意: 职业道德 3.1 拒绝服务攻击 DoS, Denial of Service, 拒绝服务攻击 拒绝服务攻击使系统瘫痪,或明显降低系统的性能。 可能是蓄意的,也可能是偶然的。 DoS攻击难以防范 DoS攻击的次数每天都在增长 拒绝服务攻击分类 使系统或网络瘫痪 发送少量蓄意构造的数据包,使系统死机或重新启动。 主要利用系统软件的Bug,一旦Bug被修正,攻击就不起作用 使系统或网络无法响应正常的请求 发送大量的垃圾数据,使得系统无法处理正常的请求 比较难杜绝 分布式拒绝服务攻击 分布式拒绝服务攻击 检测、防御、响应、取证更困难 TFN2K 通信可以使用TCP、UDP、ICMP数据包 很难检测和进行包过滤 只要连接在Internet上,就无法避免不被DoS攻击 3.2 拒绝服务攻击的例子 Ping of Death 发送长度超过65535字节的ICMP Echo Request 数据包 导致目标机TCP/IP协议栈崩溃,系统死机或重启 现有的操作系统基本上都能正确处理这种异常数据包,不会出现问题 拒绝服务攻击的例子 Jolt2 发送特别构造的IP 数据包 导致目标机TCP/IP协议栈崩溃,系统死锁 现有的操作系统基本上都能正确处理这种异常数据包,不会出现问题 Teardrop 与Jolt2类似 拒绝服务攻击的例子 Land 发送一个TCP SYN包,包的SRC/DST IP相同,SPORT/DPORT相同 导致目标机TCP/IP协议栈崩溃,系统死机或短时失去响应 现有的操作系统基本上都能正确处理这种异常数据包,不会出现问题 Winnuke 发送特别构造的TCP包,使得Windows机器篮屏 拒绝服务攻击的例子 Smurf 拒绝服务攻击的例子 Syn flooding 发送大量的SYN包 系统中处于SYN_RECV状态的 socket SYN flooding 减少SYN_RECV状态的时间 增大backlog队列长度 Syn-cookie 不在内存中存放状态(src/dst, sport/dport, isn1) 根据src/dst sport/dport isn1 HASH出一个ISN2 下次接收到ISN2+1后,再来检查正确性 Linux支持 SYN-cookie Gateway 放置在服务器前,仅仅把established的连接传输过来 Tcp option的处理 MSS sack 拒绝服务攻击的例子 DRDoS Distributed Reflection Denial of Service 伪造TCP SYN包,其中的源地址是要攻击的IP 大量的SYN+ACK数据包会发送给攻击者 3.3 拒绝服务攻击的防范 困难 不容易定位攻击者的位置 Internet上绝大多数网络都不限制源地址,也就是伪造源地址非常容易 通过攻击代理的攻击,只能找到攻击代理的位置 各种反射式攻击,无法定位源攻击者 完全阻止是不可能的 防范工作可以减少被攻击的机会 拒绝服务攻击的防范 有效完善的设计网络 分散服务器的位置,避免被攻击时的瘫痪 设置负载均衡、反向代理、L4/L7交换机的,加强对外提供服务的能力 有些L4/L7交换机本身具备一定的防范拒绝服务攻击能力 拒绝服务攻击的防范 有效完善的设计网络 分散服务器的位置,避免被攻击时的瘫痪 设置负载均衡、反向代理、L4/L7交换机的,加强对外提供服务的能力 有些L4/L7交换机本身具备一定的防范拒绝服务攻击能力 拒绝服务攻击的防范 带宽限制 限制特定协议占用的带宽 并不是完善的方法 及时安装厂商补丁 减少被攻击的机会 运行尽可能少的服务 只允许必要的通信 设置严格的防火墙策略 封锁所有无用的数据 分布式拒绝服务攻击的防范 不要让自己的网络系统成为攻击者的帮凶 保持网络安全 让攻击者无法非法获得对主机系统的访问 安装入侵检测系统 尽早的检测到攻击 使用漏洞扫描工具 及早发现系统的弱点、漏洞并修补 分布式拒绝服务攻击的防范 网络出口过滤 在路由器上进行过滤 入口过滤 所有源地址是保留地址的数据包全部丢弃 所有源地址是本地网络地址的数据包全部丢弃 出口过滤 所有源地址不是本地网络的数据包全部丢弃 防止本地网络用户伪造IP地址攻击别人 教育网主干入口处都做了设置 实验一 耗尽资源的程序 消耗CPU、内存、I/O 实验二 Syn flooding 程序 要求 读懂程序 对自己的机器进行攻击测试 对比是否开启t
文档评论(0)