（8)拒绝服务与防范技术.ppt

信息安全研究中心 DDoS攻击的防御策略 ? 及早发现系统存在的攻击漏洞，及时安装系统 补丁程序。对一些重要的信息（例如系统配置 信息）建立和完善备份机制。对一些特权帐号 （例如管理员帐号）的密码设置要谨慎。 ? 网络管理方面，要经常检查系统的物理环境， 禁止那些不必要的网络服务。 ? 建立边界安全界限，确保输出的包受到正确限 制。经常检测系统配置信息，并注意查看每天 的安全日志。 ? 利用网络安全设备（例如：防火墙）来加固网 络的安全性，配置好它们的安全规则，过滤掉 所有的可能的伪造数据包。 谢谢大家！ 感谢您的观看！ 信息安全研究中心 信息安全研究中心 拒绝服务攻击及防范技术 DoS概述 案例、定义、特点、分类 DoS攻击技术 DoS攻击防范 信息安全研究中心 案例 政府网站 美国白宫的网站曾经遭受拒绝服务攻击 分布式拒绝服务 2000年2月发生的一次对某些高利润站点Yahoo、 eBay等的拒绝服务攻击，持续了近两天， 使这些公司遭受了很大的损失。 信息安全研究中心 信息安全的基本属性 保密性 完整性 防抵赖 可用性(availability) 可控性 DoS是针对可用性发起的攻击 信息安全研究中心 DoS的定义 DoS,Denial of Service 攻击网络协议实现的缺陷或通过各种手段耗尽被攻击对象的资源，以使得被攻击计算机或网络无法提供正常的服务或者资源，合法用户的请求得不到及时的响应 信息安全研究中心 DoS攻击的特点 资源稀缺性 软件复杂性（6个/KLOC，6-30） 难确认，隐蔽性好（主观角度） 难防范，缺乏模型 有些DoS可以通过管理的手段防止； 受挫折，无法攻入目标系统，最后一招: DOS 信息安全研究中心 DoS类型 发送一些非法数据 包使系统死机或重起，造成系统或网络瘫痪 向系统发送大量信息，使系统或网络不能响 应 信息安全研究中心 DoS攻击技术分类（1） 利用协议中的漏洞 SYN-Flood攻击 利用软件实现的缺陷 teardrop攻击、land攻击 发送大量无用突发数据攻击耗尽资源 ICMP flood攻击、Connection flood 攻击 欺骗型攻击 IP Spoofing DoS攻击 信息安全研究中心 DoS攻击技术分类（2） 利用TCP/IP协议进行的TCP DoS攻击 SYN flood攻击 Land攻击 Teardrop攻击 利用UDP服务进行的UDP DoS攻击 UDP Flood DoS攻击 利用ICMP协议进行的ICMP DoS攻击 Ping of Death攻击 Smurf攻击 信息安全研究中心 发展历史 ? 早期的Internet蠕虫病毒 ? 消耗网络资源 分片装配，非法的TCP标志，SYN Flood等 ? 利用系统实现上的缺陷，点对点形式 Ping of Death, IP分片重叠 ? 分布式DoS(DDoS)攻击 smurf攻击 信息安全研究中心 一些典型的DoS攻击 ? Ping of Death – 发送异常的(长度超过IP包的最大值) ? Teardrop – IP包的分片装配 ? UDP Flood ? Land – 程序发送一个TCP SYN包，源地址与目的地址相同，源端口 与目的端口相同，从而产生DoS攻击 ? SYN Flood – 快速发送多个SYN包 ? Smurf – 给广播地址发送ICMP Echo包，造成网络阻塞 ? …… 信息安全研究中心 Ping of Death 原理：直接利用ping包，即ICMP Echo包，有些系统 在收到大量比最大包还要长的数据包，会挂起或者死 机 ? 受影响的系统：许多操作系统受影响 ? 攻击做法 直接利用ping工具，发送超大的ping数据包 ? 防止措施 打补丁：现在所有的标准TCP/IP实现都已实现对付超大尺寸 的包，并且大多数防火墙能够自动过滤这些攻击，包括：从 windows98之后的windows,NT(service pack 3之后)，linux、 Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。 防火墙阻止这样的ping包 信息安全研究中心 TCP/IP允许数据包的最大容量为65536 C:\ping 00 Pinging 00 with 32 bytes of data ： Reply from 00: bytes=32 time=10ms TTL=255 Reply from 00: bytes=32 time10ms TTL=255 Reply from 00: by