网络安全第四讲.pptVIP

分布式拒绝服务攻击DDoS DDoS的三级控制结构 4.5 分布式拒绝服务攻击DDoS 传统的拒绝服务攻击的缺点 受网络资源的限制 隐蔽性差 DDoS克服了这两个致命弱点 突破了传统攻击方式从本地攻击的局限性和不安全性 其隐蔽性和分布性很难被识别和防御 4.5 分布式拒绝服务攻击DDoS 被DDoS攻击时可能的现象 被攻击主机上有大量等待的TCP连接 端口随意 大量源地址为假的无用的数据包 高流量的无用数据造成网络拥塞 利用缺陷，反复发出服务请求，使受害主机无法及时处理正常请求 严重时会造成死机 4.5 分布式拒绝服务攻击DDoS举例 DDoS工具 Trinoo UDP TFN（Tribe Flooding Network） Stacheldraht TFN2K（Tribe Flooding Network 2000） 多点攻击、加密传输、完整性检查、随机选择底层协议和攻击手段、IP地址欺骗、哑代理、隐藏身份等特点 Trinity v3 4.5 分布式拒绝服务攻击DDoS 技术挑战 需要Internet范围的分布式响应 缺少攻击的详细信息 缺少防御系统的性能 大范围测试的困难性 社会挑战 DDoS的分布性 所有受保护的目标都需要防护 4.5 分布式拒绝服务攻击DDoS 防御基本方式 给单个主机打上补丁 优化网络结构 过滤危险数据包 防御方法 保护 检测 响应 4.5 分布式拒绝服务攻击DDoS 防御方式一：保护 数据源证实 数据证实 资源分配 目标隐藏 防御方式二：检测 异常检测 误用检测 特征检测 4.5 分布式拒绝服务攻击DDoS 防御方式三：响应 流量策略 过滤 流量限制 攻击追踪 服务区分 4.5 本章小结 基本原理、方法 分类 服务端口攻击 电子邮件轰炸 分布式拒绝服务攻击DDoS 课后讨论 外部用户针对网络连接发动拒绝服务攻击有哪几种模式？请举例说明。 对付分布式拒绝服务攻击的方法有哪些？举例说明。 * * * 第四章 拒绝服务攻击 4 第四章 拒绝服务攻击 4.1 拒绝服务攻击分类 4.2 服务端口攻击 4.3 拒绝服务攻击概述 4 电子邮件轰炸 4.4 分布式拒绝服务攻击 4.5 拒绝服务攻击概述 DoS定义 拒绝服务攻击DoS（Denial of Service）是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式。 DoS攻击思想 服务器的缓冲区满，不接收新的请求。 使用IP欺骗，迫使服务器将合法用户的连接复位，影响合法用户的连接。 4.1 拒绝服务攻击分类 攻击模式 消耗资源 网络带宽、存储空间、 CPU时间等 破坏或改变配置信息 物理破坏或者改变网络部件 利用服务程序中的处理错误使服务失效 发起方式 传统的拒绝服务攻击 分布式拒绝服务攻击（Distributed Denial of Service ） 4.2 拒绝服务攻击分类 攻击模式：消耗资源 针对网络连接的拒绝服务攻击 ping 、flooding、SYN flooding ping、finger广播包 广播风暴（SMURF攻击） 消耗磁盘空间 Email ERROR-LOG FTP站点的incoming目录 制造垃圾文件 4.2 拒绝服务攻击分类 攻击模式：消耗资源 消耗CPU资源和内存资源 main() { fork()； main()； ｝ 4.2 拒绝服务攻击分类 攻击模式：破坏或更改配置信息 修改服务用户群（apache服务器，access.conf配置文件） 删除口令文件（tmp目录安全问题，Linux） 4.2 拒绝服务攻击分类 攻击模式：物理破坏或改变网络部件 计算机、路由器、网络配线室、网络主干段、电源、冷却设备、其它的网络关键设备 攻击模式：利用服务程序中的处理错误使服务失效 LAND攻击 4.2 服务端口攻击 SYN Flooding（同步包风暴拒绝服务攻击） Smurf攻击 利用处理程序错误的拒绝服务攻击 4.3 服务端口攻击 SYN Flooding ACK=y+1 SYN, SEQ=y, ACK=x+1 SYN, SEQ=x 发送端S 接收端D TCP连接的三次握手 为连接分配资源 4.3 服务端口攻击 SYN Flooding SYN, SEQ=y, ACK=x+1 SYN, SEQ=x 发送端S 接收端D SYN Flooding 为连接分配资源 4.3 服务端口攻击 SYN Flooding 具有以下特点 针对TCP/IP协议的薄弱环节进行攻击 发动攻击时，只要很少的数据流量就可以产生显著的效果 攻击来源无法定位（IP欺骗） 在服务端无法区分TCP连接请求是否合法