02-CISP0208安全攻击和防护(知识点标注)-v3.0.ppt

IP欺骗实现 * B A C SYN flood攻击 连接请求 伪造B进行系列会话 A的序数规则 IP欺骗攻击的防范 严格设置路由策略：拒绝来自网上，且声明源于本地地址的包 使用最新的系统和软件，避免会话序号被猜出 使用抗IP欺骗功能的产品 严密监视网络，对攻击进行报警 * ARP欺骗基础-Arp协议工作过程 ARP协议（地址解析协议） ARP用于将IP地址解析MAC地址的协议 * bb:bb:bb:bb:bb cc:cc:cc:cc:cc aa:aa:aa:aa:aa Who’s IP is Who’s IP is MAC aa:aa:aa:aa:aa is 收到，我会缓存起来! Internet地址 物理地址 aa:aa:aa:aa:aa ARP欺骗基础-实现特点 ARP协议实现特点 ARP协议特点：无状态，无需请求可以应答 ARP实现：ARP缓存 * ARP欺骗的实现 * bb:bb:bb:bb:bb cc:cc:cc:cc:cc aa:aa:aa:aa:aa MAC cc:cc:cc:cc:cc is 收到，我会缓存！ Internet地址 物理地址 cc:cc:cc:cc:cc CC:CC:CC:CC:CC Hello AA:AA:AA:AA:AA Hello ARP欺骗的防御 使用静态ARP缓存 使用三层交换设备 IP 与MAC地址绑定 ARP防御工具 * DNS欺骗基础-DNS协议工作过程 DNS（域名解析协议） 用于将域名解析成IP地址 * ? ? 其他DNS 收到，我会缓存！ 我不知道，我问问其他服务器 ? 我的缓存中有记录，我告诉你！ DNS服务器 客户机 客户机 DNS服务器 DNS欺骗实现 * ? 我不知道，我问问其他DNS服务器 Other DNS 收到，我会缓存！ ? 我缓存中有记录，我告诉你！ 攻击者 DNS服务器 DNS服务器 客户机 ? Qid=22 Qid=22 DNS欺骗的防范 DNS服务器 使用新版本的DNS软件 安全设置对抗DNS欺骗 关闭DNS服务递归功能 限制域名服务器作出响应的地址 限制域名服务器作出响应的递归请求地址 限制发出请求的地址 应用服务器 用户自主标识 * 利用系统缺陷-拒绝服务攻击 什么是拒绝服务 拒绝服务式攻击(Denial of Service)，顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。 拒绝服务攻击方式 利用系统、协议或服务的漏洞 利用TCP协议实现缺陷 利用操作系统或应用软件的漏洞 目标系统服务资源能力 利用大量数据挤占网络带宽 利用大量请求消耗系统性能 混合型 * 典型的拒绝服务攻击方式 SYN Flood UDP Flood Teardrop Ping of death Smurf Land …… * 拒绝服务是一类攻击方式的统称！ SYN Flood 理解SYN Flood需要的基础知识：建立TCP连接的三次握手过程 客户 服务器 SYN （ISN） ACK（ISN+1） ACK（ISN+1） SYN（ISN） 35 SYN Flood 原理 伪造虚假地址连接请求，消耗主机连接数 * (syn) Hello ,I’m (syn+ack) I’m ready ? I’m waiting…… (syn) Hello ,I’m ? I’m waiting…… (syn) Hello ,I’m …… I’m waiting…… I’m waiting…… I’m waiting…… UDP Flood 原理 利用UDP协议实现简单、高效，形成流量冲击 实现方式 大量UDP小包冲击应用服务器（DNS、Radius认证等） 利用系统服务形成流量（Echo chargen） 利用正常UDP服务发送大流量形成网络拥塞 * TearDrop（分片攻击） 原理 构造错误的分片信息，系统重组分片数据时内存计算错误，导致协议栈崩溃 * SYN SYN ＋ACK ACK PSH 1:1024…… PSH 1025:2048…… PSH 2049:3073…… FIN ACK PSH 1:1025…… PSH 1000:2048…… PSH 2049:3073…… 试图重组时 主机崩溃 分布式拒绝服务攻击（DDoS） * Hacker master master master agent agent agent agent agent agent agent agent agent target 拒绝服务攻击的防御 管理防御 业务连续性计划（组织共同承担，应对DoS攻击） 协调机制（运营商、公安部门、专家团队） 技术防御 安全设备（防火墙、抗