常见的攻击技术介绍攻击.ppt

常见攻击种类介绍 －－DOS和DDOS攻击 学习目标 理解拒绝服务攻击的原理 理解拒绝服务攻击的特征（抓包分析） 了解拒绝服务攻击的各种防护原理（重点学习syncookie算法） 思考如何有效的进行拒绝服务攻击的防护 拒绝服务和分布式拒绝服务 拒绝服务攻击（DoS）中，黑客阻止合法的用户访问某一种服务。如表现在试图让一个系统工作超负荷。 分布式拒绝服务（DDoS）攻击是指几个远程系统在一起工作并产生网络传输，目的在于崩溃一个远程主机 。 早期的Dos攻击技术 20世纪90年代中期的Dos攻击活动差不多都是基于利用操作系统里的各种软件缺陷。这些缺陷大都属于会导致软件或硬件无法处理例外情况的程序设计失误。这些“早期的”Dos攻击技术当中，最具危害性的是以某种操作系统的TCP/IP协议栈作为攻击目标的“发送异常数据包”手段。 经典DoS攻击技术 超长数据包　　这是最早出现的Dos攻击技术之一，攻击者在一台Windows系统上发出“Ping of death ”（运行“ ping -1 65510 ”命令，其中“”是被攻击者的IP地址）是这种攻击技术的典型运用之一。Jolt程序也属于这类攻击工具，攻击者可以利用这个简单的C程序在操作系统自带的Ping命令无法生成超长数据包时发动这种攻击。 数据包片断重叠　　这种攻击技术的要点是迫使目标系统的操作系统去处理彼此有重叠的TCP/IP数据包片断，而这将导致很多系统发生崩溃或出现资源耗尽问题。这类工具主要有:teardrop、bonk和nestea。 自反馈洪水　　这类攻击的早期经典实现之一是利用UNIX系统上的Chargen服务生成一个数据流并把这个数据流的目的地设置为同一个系统上echo服务，这样就形成一个无限循环，而那台系统将被他自己生成的数据“冲”垮。 经典DoS攻击技术 “原子弹”　　这类攻击与前些年发现的一个Windows安防漏洞有关：有这个漏洞的系统在收到OOB数据包时会发生崩溃。这类攻击在聊天和游戏网络里很流行，它们可以让玩家把惹恼了自己的对手赶出网络。 “超级碎片”　　TCP/IP协议允许发送者按照他自己的想法把数据包拆分成一些片断。如果发送方的系统把每个数据包都拆分成非常多的片断，接受方的系统或网络就不得不进行大量的计算才能把那些片段重新拼装起来。 NETBIOS/SMB　　微软专利的组网协议多年来一直存在着各种各样的问题，他们的某些缓冲区溢出漏洞可以导致Dos攻击和NetBILS名字重叠攻击，遭到攻击的Windows系统将无法接入自己所属的局域网。 DOS工具包　　因为没有耐心去一种一种地尝试哪种攻击手段可以奏效，所以有些黑客干脆利用脚本把自己收集到的攻击工具打包在一起去攻击目标系统。 近期DDOS攻击方式 目前网络上能真正构成威胁的现代DoS技术：能力消耗　（capacity depletion）攻击；也有人称之为带宽耗用攻击。 　　早期的DOS攻击技术主要通过耗尽攻击目标的某种资源来达到目的，但它们所利用的安防漏洞现在差不多都被修好了。在可供利用的安防漏洞越来越少的情况下，现代DOS攻击技术采取了一个更直接的战术:设法耗尽目标系统的全部带宽，让它无法向合法用户提供服务。两类最重要的能力消耗DOS：通信层和应用层。 TCP三次握手 正常的三次握手建立通讯的过程 DDoS攻击介绍——SYN Flood SYN_RECV状态 半开连接队列 遍历，消耗CPU和内存 SYN|ACK 重试 SYN Timeout：30秒~2分钟 无暇理睬正常的连接请求—拒绝服务 SYN FLOOD 攻击实例 SYN FLOOD 攻击实例 演示和体会DoS/DDoS攻击-SYN FLOOD SnakDos Hgod SYNbingdun DDoS攻击介绍——ACK Flood 大量ACK冲击服务器 受害者资源消耗 查表 回应ACK/RST ACK Flood流量要较大才会对服务器造成影响 DDoS攻击介绍——Connection Flood 连接耗尽攻击实例 演示和体会DoS/DDoS攻击－连接耗尽 SYNbingdun UDP洪水攻击 　因为UDP的不可靠性，通过发送大量UDP数据包而导致目标系统的计算负载出现显著增加的事情并不那么容易发生。除了能够在最短时间里发出尽可能多的UDP数据包以外，UDP洪水没有任何技术方面的突出之处。然而，他确给网络带来巨大的威胁（考虑为什么？） UDP FLOOD 实例 演示和体会DoS/DDoS攻击－udp flood 阿拉丁UDP攻击器 udpflood（可变包长） HGOD Ping溢出 属于拒绝服务攻击的一种类型，其原理是使用简单的Ping命令在短时间 内发送大量的ping数据包到服务器，那么服务器就需