黑客和病毒-PPT教学课件_00006.pptVIP

黑客攻击与防范 第10章　拒绝服务攻击 　　2000年开始，日渐成熟的技术使得拒绝服务攻击从一种骚扰变成了一种对电子商务活动构成严重威胁的高发风险。20世纪90年代末的拒绝服务攻击技术几乎都利用了与因特网底层通信协议TCP/IP有关的某种操作系统缺陷。只须发出一组简单的数据包，诸如“ping of death”、Smurf、Fraggle、boink、teardrop之类的攻击手段就可以让没有及时打上补丁的系统陷于瘫痪。 10.1　常见的Dos攻击技术 　　DOS：即Denial Of Service，拒绝服务的缩写。拒绝服务，相当于在客满的时候不再让人进去一样。DOS攻击即：攻击者想办法让目标机器停止提供服务或资源访问，这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。比如： 　　试图FLOOD服务器，阻止合法的网络通讯 　破坏两个机器间的连接，阻止访问服务 　　　阻止特殊用户访问服务 　破坏服务器的服务或者导致服务器死机 10.1.1　早期的Dos攻击技术:安防漏洞 　　20世纪90年代中期的Dos攻击活动差不多都是基于利用操作系统里的各种软件缺陷。与我们在这本书里讨论过的大多数安防漏洞一样，这些缺陷大都属于会导致软件或硬件无法处理例外情况的程序设计失误。这些“早期的”Dos攻击技术当中，最具危害性的是以某种操作系统的TCP/IP协议栈作为攻击目标的“发送异常数据包”手段。 下面是一些经典DoS攻击技术： 超长数据包　　这是最早出现的Dos攻击技术之一，攻击者在一台Windows系统上发出“Ping of death ”（运行“ ping -1 65510 ”命令，其中“”是被攻击者的IP地址）是这种攻击技术的典型运用之一。Jolt程序也属于这类攻击工具，攻击者可以利用这个简单的C程序在操作系统自带的Ping命令无法生成超长数据包时发动这种攻击。 数据包片断重叠　　这种攻击技术的要点是迫使目标系统的操作系统去处理彼此有重叠的TCP/IP数据包片断，而这将导致很多系统发生崩溃或出现资源耗尽问题。这类工具主要有:teardrop、bonk和nestea。 自反馈洪水　　这类攻击的早期经典实现之一是利用UNIX系统上的Chargen服务生成一个数据流并把这个数据流的目的地设置为同一个系统上echo服务，这样就形成一个无限循环，而那台系统将被他自己生成的数据“冲”垮。 “原子弹”　　这类攻击与前些年发现的一个Windows安防漏洞有关：有这个漏洞的系统在收到OOB数据包时会发生崩溃。这类攻击在聊天和游戏网络里很流行，它们可以让玩家把惹恼了自己的对手赶出网络。 “超级碎片”　　TCP/IP协议允许发送者按照他自己的想法把数据包拆分成一些片断。如果发送方的系统把每个数据包都拆分成非常多的片断，接受方的系统或网络就不得不进行大量的计算才能把那些片段重新拼装起来。 NETBIOS/SMB　　微软专利的组网协议多年来一直存在着各种各样的问题，他们的某些缓冲区溢出漏洞可以导致Dos攻击和NetBILS名字重叠攻击，遭到攻击的Windows系统将无法接入自己所属的局域网。 DOS工具包　　因为没有耐心去一种一种地尝试哪种攻击手段可以奏效，所以有些黑客干脆利用脚本把自己收集到的攻击工具打包在一起去攻击目标系统。 10.1.2　现代Dos:能力消耗 　　当今的网络世界能真正构成威胁的现代DoS技术：能力消耗　（capacity depletion）攻击；也有人称之为带宽耗用攻击。 　　早期的DOS攻击技术主要通过耗尽攻击目标的某种资源来达到目的，但它们所利用的安防漏洞现在差不多都被修好了。在可供利用的安防漏洞越来越少的情况下，现代DOS攻击技术采取了一个更直接的战术:设法耗尽目标系统的全部带宽，让它无法向合法用户提供服务。两类最重要的能力消耗DOS：通信层和应用层。 针对体系结构的DOS攻击技术 SYN洪水　发生洪水攻击的原理如下图： 　　正常的三次握手建立通讯的过程 连接耗尽 UDP洪水 　　因为UDP的不可靠性，通过发送大量UDP数据包而导致目标系统的计算负载出现显著增加的事情并不那么容易发生。Foundstone公司开发的udpflood工具提供一个简单的办法来演示这种技术。除了能够在最短时间里发出尽可能多的UDP数据包以外，UDP洪水没有任何技术方面的突出之处。 　　放大效应：Smurf和Fraggle 　　Smurf攻击因其对攻击的放大效应而成为最令人害怕的DOS攻击之一。这种放大效果是往一个网络上的多个系统发送定向广播的Ping请求，这些系统接着对这种请求作出响应的结果。定向广播的Ping请求既可能发送给网络地址，也可以发送给网络广播地址，并且需要一个设备，可以执行第3层到第2层的广播功能。如果