udp flood dos攻击.pptVIP

常見網路攻擊介紹 A0923338　許博淞 服務拒絕(DoS) 攻擊 透過阻塞網路訊息通道，降低網路頻寬來實現攻擊。 通訊任務獨佔CPU處理時間，降低系統處理其它系統任務的即時性能。 TCP DoS攻擊、UDP Flood DoS攻擊、DDoS攻擊，以及ICMP DoS攻擊 。 TCP DoS攻擊 由於攻擊主機發送大量的或不正常的TCP網路封包，造成目標網段的交通壅塞，或是被攻擊的目標主機當機、重新啟動，以致於該主機無法繼續進行某項服務。 主要三種攻擊途徑：Land攻擊 、Teardrop攻擊 、TCP SYN攻擊 Land攻擊 利用特殊的TCP封包傳送至目標主機，使其因無法判別而當機或被迫重新啟動 Land攻擊是利用TCP通訊協定中，定義規則與作業系統之間漏洞所造成的攻擊手法 ，主要與作業系統相關 定期更新作業系統 Teardrop攻擊 封包分割後的大小必須小於傳輸介面（interface）的MTU（maximum transfer unit，最大傳送單位），並且符合以8 byte為單位的倍數。 利用IP層中定義的封包分割與重組間的漏洞而產生的攻擊方式 不正常封包序列（如封包大小改變等）傳入目標主機，有可能會造成某些作業系統的當機或暫停服務 TCP SYN攻擊 利用TCP協定缺陷，發送大量偽造的TCP連接請求(SYN)，從而使得被攻擊方資源耗 盡（CPU滿負荷或記憶體不足）的攻擊方式。 伺服器端將忙於處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求 UDP Flood DoS攻擊 透過UDP protocol送出假造來源的UDP broadcast封包至目標網路，當目的網域中的眾多主機回應之後產生放大的資料流，造成網路的壅塞 DDoS攻擊 利用許多分散在世界各處的DoS agent，在某一時刻對特定目標主機以上述各種攻擊手法的混和方式，將大量封包傳入目標網域，以阻絕被攻擊者的服務功能。 必須先選定一定數目的主機，入侵並植入其DDoS agent程式，並在攻擊發起時遠端操控它們的行為 ICMP DoS攻擊 ICMP主要是利用Echo Request/Reply來進行錯誤偵測與回報機制 主要攻擊手法：Ping of Death 、Smurf攻擊 ICMP(Internet Control Message Protocol) Ping of Death ICMP Echo Request/Reply的封包格式包括Option Data這一部分，當Echo Request包含此部分資料時，接收端必須將這些資料原封不動的包含在Echo Reply中回送給發送端。 刻意地將Echo Request的Option Data塞入大量資料，製造出超過65535 bytes的TCP/IP封包，讓作業系統無法處理，進而當機 Smurf攻擊 假冒目標主機（受害者）之名向中介者（router）發出broadcast的ICMP Echo Request封包，所有的電腦在接收到此訊息之後，會對來源主機（亦即被假冒的攻擊目標）送出ICMP Echo Reply回應 所有的ICMP封包在極短的時間內湧入目標主機內，不但造成網路壅塞，更會使目標主機因為無法反應如此多的系統interrupt而導致當機、暫停服務 參考資料 .tw/adc/papers/thesis/00B02.htm /tips/syn_flood.htm * Three-Way Handshack UDP Header (User Datagram Protocol) Data ::: UDP header IP header MAC header Data ::: ICMP header IP header MAC header Data ::: ICMP header checksum Code Type 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 09 08 07 06 05 04 03 02 01 00 *