计算机网络安全教程 培训课件.ppt

原理：攻击者伪造一个ICMP echo请求包，其源地址为目标受害者地址，目的地址为中间脆弱网络的广播地址，并将该echo请求包发送到中间脆弱网络。中间脆弱网络中的主机收到该echo请求包时，会以echo响应包作为回答，而这些包最终被发送到目标受害者。这样大量同时返回的echo响应数据包造成目标网络严重拥塞、丢包，甚至完全不可用等现象。 Smurf攻击手段 Smurf攻击手段 攻击特征 涉及到三方：攻击者，中间目标网络，受害者 以较小的网络带宽资源，通过放大作用，吃掉较大带宽的受害者系统 Smurf放大器 Smurf放大器网络：不仅允许ICMP Echo请求发给网络的广播地址，并且允许ICMP Echo-Reply发送回去 这样的公司越多，对Internet的危害就越大 Smurf攻击手段 实施Smurf攻击 需要长期的准备，首先找到足够多的中间网络 集中向这些中间网络发出ICMP Echo包 Smurf攻击手段 针对最终受害者 没有直接的方法可以阻止自己接收ICMP Echo Reply消息 在路由器上阻止这样的应答消息，但是，结果是，路由器本身遭受了DoS攻击 与中间目标网络联系 针对中间网络 关闭外来的IP广播消息，但是，如果攻击者从内部机器发起攻击，仍然不能阻止smurf攻击 配置操作系统，对于广播地址的ICMP包不响应 Smurf攻击的防止措施 针对发起攻击的主机及其网络： 在路由器上配置其过滤规则，丢弃那些即将发到外部网而源IP地址不具有内部网络地址的包。 Smurf攻击的防止措施 SYN flooding和Smurf攻击利用TCP/IP协议中的设计弱点，通过强行引入大量的网络包来占用带宽。迫使弥补受害主机拒绝对正常的服务请求进行响应。 利用处理程序错误进行攻击 3 原理：利用TCP/IP协议实现中的处理程序错误进行攻击，即故意错误地设定数据包头的一些重要字段。 将这些错误的IP数据包发送出去。在接收端，服务程序通常都存在一些问题，因而在将接收到的数据包组装成一个完整的数据包的过程中，就会使系统当机、挂起或崩溃，从而无法继续提供服务。 利用处理程序错误进行攻击 3 Ping of Death 发送异常的(长度超过IP包的最大值) Teardrop IP包的分片装配 Land 程序发送一个TCP SYN包，源地址与目的地址相同，源端口与目的端口相同，从而产生DoS攻击 一些利用处理程序错误进行攻击例子 Ping of Death 原理：直接利用ping包，即ICMP Echo包，有些系统在收到大量比最大包还要长的数据包，会挂起或者死机 受影响的系统：许多操作系统受影响 攻击做法 直接利用ping工具，发送超大的ping数据包 防止措施 打补丁 防火墙阻止这样的ping包 Teardrop 原理：利用IP包的分片装配过程中，由于分片重叠，计算过程中出现长度为负值，在执行memcpy的时候导致系统崩溃 受影响的系统：Linux/Windows NT/95，97年发现 攻击特征 攻击非常简单，发送一些IP分片异常的数据包 防止措施 加入条件判断，对这种异常的包特殊处理 打补丁 参考：/security/denial/w/teardrop.dos.html 分布式拒绝服务攻击 5.8 Ddos的特点 1 攻击手段 2 Ddos的著名攻击工具 3 拒绝服务攻击的发展趋势 4 1999年7月，出现了分布式拒绝服务攻击，根据其攻击的方式也可称为协同拒绝服务攻击。 分布式攻击系统一般都是基于客户—服务器模式 DDoS的介绍 分布式拒绝服务攻击的特点： 先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数十台，数百台甚至上千台机器的力量对单一攻击目标实施攻击。 具有隐蔽性和分布性很难被识别和防御 DDoS的特点 1 DDoS攻击的结构 1 攻击者 主控端 分布端 目标主机 攻击者在客户端操纵攻击过程。每个主控端是一台已被攻击者入侵并运行了特定程序的系统主机。 每个主控端主机能够控制多个代理端/分布端。每个代理端也是一台已被入侵并云溪某种特定程序的系统主机，是执行攻击的角色。 多个分布端能够同时响应攻击命令并向被攻击目标主机发送拒绝服务攻击数据包 攻击手段 2 攻击过程实施的顺序为： 攻击者---主控端---分布端---目标主机 发动DDoS攻击分为两个阶段： 1、初始的大规模入侵阶段： 利用自动工具扫描远程脆弱主机，对远程主机进行控制，并安装DDoS代理端 攻击手段 2 2、大规模DoS攻击阶段： 通过主控端和代理端对目标受害主机发起大规模拒绝服务攻击。 攻击手段 2 DDoS比较著名的攻击工具包括： Trin00，TFN，Stacheldraht和TFN2K DDoS