[计算机软件及应用]拒绝服务攻击介绍.pptVIP

拒绝服务攻击 提纲 拒绝服务攻击的概念 DOS与DDOS Syn Flood技术 DOS的检测和对策 什么是拒绝服务攻击 定义D.O.S （Denial of Service ） 拒绝服务攻击是用来显著降低系统提供服务的质量或可用性的一种有目的行为。 D.D.O.S （Distributed Denial of service） 分布式拒绝服务攻击使用了分布式客户服务器功能，加密技术及其它类的功能，它能被用于控制任意数量的远程机器，以产生随机匿名的拒绝服务攻击和远程访问。 D.O.S攻击 拒绝服务攻击示意图 D.D.O.S攻击 分布式拒绝服务攻击示意图 拒绝服务攻击分类 网络层 SYN Flood ICMP Flood UDP Flood Ping of Death 应用层 垃圾邮件 CGI资源耗尽 针对操作系统 winnuke D.O.S攻击类型 Syn Flood Icmp Smurf　(directed　broadcast) Udp Flood Icmp Ping Flood TARGA3(堆栈突破) 应用级别的拒绝服务（pcanywhere） D.D.O.S攻击类型 Trinoo TFN TFN2K Stacheldraht FunTime Apocalypse Syn Flood SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。 Syn Flood Syn Flood 解剖SYN Flood攻击 Syn Flood Syn Flood 侦查 Syn Flood 解决办法 Syn Flood 遗留问题 Syn Flood 其它办法 Syn Flood 其它办法 Icmp Smurf　 Smurf攻击是以最初发动这种攻击的程序名Smurf来命名。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。 攻击的过程是这样的：Attacker向一个具有大量主机和因特网连接的网络的广播地址发送一个欺骗性Ping分组（echo 请求），这个目标网络被称为反弹站点，而欺骗性Ping分组的源地址就是攻击者希望攻击的系统。 这种攻击的前提是，路由器接收到这个发送给IP广播地址（如55）的分组后，会认为这就是广播分组，并且把以太网广播地址FF:FF:FF:FF:FF:FF:映射过来。这样路由器人因特网上接收到该分组，会对本地网段中的所有主机进行广播。 Icmp Smurf 网段中的所有主机都会向欺骗性分组的IP地址发送echo响应信息。如果这是一个很大的以太网段，可以会有500个以上的主机对收到的echo请求进行回复。 由于多数系统都会尽快地处理ICMP传输信息，Attacker把分组的源地址设置为目标系统，因些目标系统都很快就会被大量的echo信息吞没，这样轻而易举地就能够阻止该系统处理其它任何网络传输，从而引起拒绝为正常系统服务。 这种攻击不仅影响目标系统，还影响目标系统的网络状况。 分析Smurf攻击 Icmp Smurf 阻塞Smurf攻击的源头 Smurf攻击依靠攻击者的力量使用欺骗性源地址发送echo请求。用户可以使用路由路的访问保证内部网络中发出的所有传输信息都具有合法的源地址，以防止这种攻击。这样可以使欺骗性分组无法找到反弹站点。 阻塞Smurf的反弹站点 用户可以有两种选择以阻塞Smurf攻击的反弹站点。第一种方法可以简单地阻塞所有入站echo请求，这们可以防止这些分组到达自己的网络。 如果不能阻塞所有入站echo请求，用户就需要罅自己的路由器把网络广播地址映射成为LAN广播地址。制止了这个映射过程，自己的系统就不会再收到这些echo请求。 Udp Flood UDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP服务都产生输出，然后让这两种UDP服务之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪。 一些被恶意利用的UDP服务，如echo和chargen服务，它会显示接收到的每一个数据包，而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符，如果恶意攻击者将这2个UDP服务互指，则网络可用带宽将很快耗尽 Udp Flood 禁止相关服务 与网络设备配合 Icmp Ping Flood Ping是通过发送ICMP报文(类型8代码0