拒绝服务攻击3课件幻灯片.ppt

* * * * * * * * * * * * atoi是标准库函数, 它将字符串转换成浮点型数 * * * * * * * * * * * * 拒绝服务攻击技术 小结 1）拒绝服务攻击的基本概念和分类 2）常见的拒绝服务攻击技术，包括： Ping of Death SYN Flood TCP连接耗尽攻击 泪滴攻击 Land攻击 UDP Flood HTTP Get攻击 DNS查询攻击 拒绝服务攻击技术 小结 3）分布式拒绝服务攻击的基本概念和体系结构 4）拒绝服务攻击的程序实现——smurf攻击案例分析 5）拒绝服务攻击的工具、检测和防御技术 * * * * * * * * * * * 大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的： 首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号； 第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。 第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。 以上的连接过程在TCP协议中被称为三次握手（Three-way Handshake）。 同步洪水攻击（SYN Flood）是利用TCP连接中三次握手的设计缺陷而发起的拒绝服务攻击。如图，在介绍TCP连接建立时，我们讲过：一台客户机要想与服务器建立TCP连接，需要三次握手，交换3次数据包才能完成。 * （问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）； * 一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。） * * * * * * * * * * * * * * * * * 3.5 拒绝服务攻击案例分析 1）什么是smurf攻击？ ——smurf攻击是Ping to Death攻击的一种改进 ——smurf攻击 主机A 主机B ICMP请求报文（类型=8，回显请求） ICMP应答报文（类型=0，回显应答） 3.5 拒绝服务攻击案例分析 1）什么是smurf攻击？ ——smurf攻击是Ping to Death攻击的一种改进 ——smurf攻击 主机A 主机B 伪装成主机C发送ICMP回显请求报文 错误地向主机C发送ICMP回显应答报文 主机C 3.5 拒绝服务攻击案例分析 1）什么是smurf攻击？ ——smurf攻击 被攻击主机 攻击主机 伪装C广播一个ICMP请求 C ICMP响应 假定，局域网内有N台计算机，攻击者发送了L KB大小的一个ICMP报文。 C将收到L×N KB字节的应答报文。当N=100万时，smurf攻击产生的应答数据报流量可以达到1GB。 3.5 拒绝服务攻击案例分析 2）smurf攻击程序实现 ——smurf攻击 应用程序 TCP/IP 协议栈 网卡A 网卡B 4 应用程序数据 3.5 拒绝服务攻击案例分析 2）smurf攻击程序实现 ——smurf攻击 1）setsockopt函数解析 用于任意类型、任意状态套接口的选项设置。 int setsockopt ( SOCKET s,??int level,???int optname,??const char FAR