[小学教育]常见攻击与防范——蘑菇课堂.ppt

黑客攻击类型 非法访问； 窃取和重放攻击； 拒绝服务； 恶意代码。 非法访问 非法访问 对开放资源的越权操作； 对内部网络资源的非法访问。 利用系统漏洞越权操作 利用操作系统和应用程序漏洞非法提升访问权限； 对系统资源越权操作。 窃取和中继攻击 窃取是非法获得信息副本，但不影响信息正常传输； 截获是不仅非法获得信息，且终止或改变信息传输过程； 中继（也称重放）攻击是先截获信息，延迟一段时间后，重新继续信息传输过程。 通过集线器窃取流经关键网段信息 集线器的广播功能使黑客终端窃取流经两个交换机间链路的全部信息。 通过ARP欺骗截获信息 黑客终端通过错误绑定IP A和MAC C，截获原本发送给用户A的信息。 通过篡改路由表截获信息 DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击) 通过消耗掉主机资源和网络带宽资源使主机或网络无法正常提供服务的攻击手段。 实际上让服务器实现两种效果： 一、迫使服务器的缓冲区满，不接收新的请求； 二、使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。 常见DoS攻击 1．SYN?洪水?(?SYN?flood?)? 2．IP?欺骗?DoS 3．死亡之?ping?(Ping?of?Death?) 4．泪滴(?TearDrop)?攻击 5．UDP?flood攻击 6．Land?（Land?Attack）攻击 7．Smurf攻击 DoS与DDoS攻击原理 SYN Flood：是一种利用TCP协议缺陷，通过三次握手发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。 DoS与DDoS攻击原理 (1) 攻击者向被攻击服务器发送一个包含SYN(Synchronize)同步报文标志的TCP报文，同步报文会指明客户端使用的端口以及TCP连接的初始序号。这时与被攻击服务器建立了第一次握手。 　　 (2) 受害服务器在收到攻击者的SYN报文后，将返回一个SYN+ACK的报文，表示攻击者的请求被接受，同时TCP序号被加一，ACK(Acknowledgment)即确认，这样就同被攻击服务器建立了第二次握手。 　　 (3) 攻击者也返回一个确认报文ACK给受害服务器，同样TCP序列号被加一，到此一个TCP连接完成，三次握手完成。 DDoS攻击 拒绝服务攻击的防护 不同的角色有不同的任务： ① 企业网管理员 ② SP、ICP管理员 ③ 骨干网络运营商 ④ 企业网管理员 SYN Flood攻击的防御方法 1．主机上的设置 几乎所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种： (1) 关闭不必要的服务 (2) 限制同时打开的Syn半连接数目 (3) 缩短Syn半连接的time out 时间 (4) 及时更新系统补丁和安装防火墙软件 SYN Flood攻击的防御方法 Windows Server 2003下具体实现方法如下： 首先运行“regedit.exe”进入注册表，在HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\Tcpip\Parameters做以下更改（所涉及的值全为十六进制）： 　1、 启用SYN攻击保护 　　新建一个名为SynAttackProtect的数值，数值类型为REG_DWORD。将值设置为：1。 　　该参数可使 TCP 调整 SYN-ACKS 的重新传输，当SynAttackProtect默认值为0(即不采取任何保护措施), 设置为1时， 可更有效地抵御 SYN 攻击此时，如果系统检测到存在 SYN 攻击，连接响应的超时时间将更短。 SYN Flood攻击的防御方法 2、设置SYN保护阀值 　　1) 新建一个名为TcpMaxPortsExhausted的数值，数值类型为REG_DWORD ，将值设为5。 　　该参数指定触发 SYN 洪水攻击保护所必须超过的 TCP 连接请求数的阈值，有效值为 0 – 65535。 　　2) 新建一个名为TCPMaxHalfOpen的数值，数值类型为 REG_DWORD ，将值设为500。 　　TCPMaxHalfOpen的数值有效值为100 – 65535，在启用 SynAttackProtect 后，该值指定处于 SYN_RCVD 状态的 TCP 连接数的阈值。在超过 SynAttackProtect 后，将触发 SYN 洪水攻击保护。 　　3) 新建一个名为TCPMaxHalfOpenRetried的数值，数值类型为REG_DWORD ，将值设为400。 　　TCPMaxHalfOpenRetried数值有效值为 80 – 65535，在启用 SynA