DoS攻击的原理与思想-Read.pptVIP

入侵检测 易 卫 E-mail: hnyiwei@126.com 2008.2.10 第三章　入侵的方法与手段 众多应用系统要求必需是开放的网络如:：电子银行、网上定票、各种费用查询及支付、人才中介、电子报税、工商信息、网上书店、预定饭店、电子黄页、网上展览会、展销会、招商洽谈会、实时交通信息、网上图书馆、网上博物馆、远程教学、远程医疗、电视会议等等。 网络开放所带来的安全问题。 全球平均每20秒就发生一次 Internet 计算机入侵事件。在 Internet上的网络防火墙，超过1／3被突破，一些银行、企业、机构都未能幸免。 攻击通常是指那些利用计算机协议、软件、设施的漏洞以及计算机用户的一些误用蓄意（或者无意）危害计算机系统机密性、完整性、可用性的行为。 入侵检测的目的是检查审计记录或者数据包是否有入侵事件发生，因此在介绍入侵检测之前我们应该先了解一下攻击。 3.1 计算机网络的主要漏洞 漏洞是指系统硬件、操作系统、软件、网络协议、数据库等在设计上、实现上出现的可以被攻击者利用的错误、缺陷和疏漏。通俗一点说，漏洞就是可以被攻击者利用的系统弱点。 按照漏洞的性质，现有的漏洞主要有： (1). 缓冲区溢出 (2). 拒绝服务攻击漏洞 (3). 权限提升漏洞 (4). 远程命令执行漏洞 (5). 文件泄漏、信息泄漏漏洞 (6). 其他类型的漏洞 除了以上举例说明的几种漏洞外，按照漏洞造成的直接危害，还存在列举出其他一些漏洞，比如脚本执行漏洞、可绕过认证漏洞、远程访问漏洞等. 3.2 攻击分类与实现(1) (1) 据攻击发生的方式分类 : Anderson将攻击分为三类: 外部渗透：就是非授权用户对计算机系统进行的攻击。 内部渗透：系统的合法用户对其访问权限以外的资源造成危害的攻击。 不当行为：合法用户对其访问权限之内的数据或者其他资源的误用行为。 3.2 攻击分类与实现(2) (2). 根据TCP/IP协议进行分类 : 现有的入侵检测系统中的大部分入侵检测功能是依靠对攻击特征的协议分析和模式匹配来完成，用的最广的就是TCP/IP协议。对该协议来说，攻击类型可分为： 1). IP攻击：主要是利用协议实现的漏洞，用特定的内容设置IP头，如LAND攻击， DLink IP分片报文造成拒绝服务漏洞,伪造的IPv4碎片包导致BSD系统拒绝服务漏洞。 2). ARP/RARP攻击：如Windows 98 Arp 拒绝服务攻击，Solaris arp 缓冲区溢出漏洞，OpenBSD未决的ARP请求导致远程拒绝服务，Solaris arp/chkprm 漏洞。 3). ICMP、IGMP攻击：如SGI IRIX IGMP组播报文拒绝服务。 4). UDP攻击：如Win2000和98的UDP套接字拒绝服务漏洞，Cisco IOS UDP 拒绝服务攻击漏洞。 5). TCP攻击：如OOBNuke攻击，多种操作系统TCP MSS拒绝服务漏洞。 6). SNMP攻击：如Solaris 8 snmpd 缓冲区溢出漏洞。 7). FTP攻击：如Cerberus FTP Server PASV 拒绝服务漏洞。 3.2 攻击分类与实现(3) (2). 根据TCP/IP协议进行分类 : 8). TELNET攻击：如多个Unix系统的telnetd存在缓冲区溢出漏洞，Microsoft Windows 2000 Telnet权限提升漏洞。 9). SMTP、POP3攻击：如WinSMTP 缓冲区溢出漏洞。 10). HTTP攻击：如Microsoft IE5 XML HTTP重定向错误。 11). NETBIOS攻击：如Windows 9x NetBIOS 空源主机名导致系统崩溃。 3.2 攻击分类与实现(4) (3). 根据攻击者的动机进行分类 : 1). 拒绝服务攻击(Dos)： DoS攻击的原理与思想:DoS攻击的基本原理是使被攻击服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。要对服务器实施拒绝服务攻击，实质上的方式就是有两个：（1）迫使服务器的缓冲区满，不接收新的请求。（2）使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接,这也是DoS攻击实施的基本思想。 3.2 攻击分类与实现(5) (3). 根据攻击者的动机进行分类 : 1). 拒绝服务攻击(Dos)： 一个简单的DoS攻击基本过程:攻击者先向受害者发送众多带有虚假地址的请求，受害者发送回复信息后等待回传信息，由于是伪造地址，所以受害者一直等不到回传信息，分配给这次请求的资源就始终不被释放。当受害者等待一定时间后，连接会因超时