拒绝服务攻击与防御.ppt

网 络 安 全 张立江 cheungcumt@163.com 第5讲 网络攻击(IV)—拒绝服务攻击与防御 Contents 2019-2-15 计算机科学与技术学院 2 拒绝服务攻击的概念 拒绝服务（ Denial of Service，DoS）:一种破坏性攻击，通常是利用传输协议中的某个弱点、系统存在的漏洞、服务的漏洞对目标系统发起大规模的进攻，用超出目标处理能力的海量数据包消耗可用系统资源、带宽资源等，或造成程序缓冲区溢出错误，致使其无法处理合法用户的正常请求，无法提供正常服务，最终致使网络服务瘫痪，甚至系统死机 简单的说，拒绝服务攻击就是让攻击目标瘫痪的一种“损人不利己”的攻击手段 2019-2-15 计算机科学与技术学院 3 拒绝服务攻击的概念 史上最著名的拒绝服务攻击之一——Morris蠕虫: 1988年11月，全球众多连在因特网上的计算机在数小时内无法正常工作，遭受攻击的包括５个计算机中心和12个地区结点，连接着政府、大学、研究所和拥有政府合同的25万台计算机。直接经济损失达9600万美元 许多知名网站如Yahoo、eBay、CNN、百度、新浪等都曾遭受过DoS攻击 典型案例：百度遭受大规模SYN Flooding攻击(2006年) 2019-2-15 计算机科学与技术学院 4 2019-2-15 计算机科学与技术学院 5 拒绝服务攻击的类型 按照攻击行为可分为两类： 网络带宽攻击：极大的通信量冲击网络，使所有可用的网络资源被消耗殆尽，最终导致合法用户请求无法通过 连通性攻击：大量的连接请求冲击计算机，使得所有可用的系统资源被消耗殆尽，最终计算机无法再处理合法用户的请求 2019-2-15 计算机科学与技术学院 6 拒绝服务攻击的类型 从实施DoS攻击所用的思路来看，DoS攻击可以分为： 滥用合理的服务请求 过度地请求系统的正常服务，占用过多服务资源，致使系统超载。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者连接数等 制造高流量无用数据 恶意地制造和发送大量各种随机无用的数据包，用这种高流量的无用数据占据网络带宽，造成网络拥塞 利用传输协议缺陷 构造畸形的数据包并发送，导致目标主机无法处理，出现错误或崩溃 利用服务程序的漏洞 针对主机上的服务程序的特定漏洞，发送一些有针对性的特殊格式的数据，导致服务处理错误而拒绝服务 2019-2-15 计算机科学与技术学院 7 典型拒绝服务攻击技术 Ping of Death 泪滴（Teardrop） IP欺骗DoS攻击 UDP洪水 SYN洪水 Land攻击 Smurf攻击 Fraggle攻击 电子邮件炸弹 畸形消息攻击 Slashdot effect WinNuke攻击 2019-2-15 计算机科学与技术学院 8 典型拒绝服务攻击技术 Ping of Death（死亡之Ping）： ICMP报文长度固定，大小为64KB，早期很多操作系统在接收ICMP报文时，只开辟64KB的缓存区用于存放接收到的数据包 一旦发送过来的ICMP数据包的实际尺寸超过64KB，操作系统将收到的数据报文向缓存区填写时，就会产生缓存溢出，将导致TCP/IP协议堆栈的崩溃，造成主机的重启或死机 “ping –l”可指定发送数据包的尺寸，因此使用Ping就可以简单地实现这种攻击。例如： Ping -l 65540 40 2019-2-15 计算机科学与技术学院 9 典型拒绝服务攻击技术 现在的操作系统已修补了这一漏洞：对可发送的数据包大小进行了限制 在Windows xp 及以后操作系统中输入这样的命令： Ping -l 65535 40 系统返回这样的信息： Bad value for option -l, valid range is from 0 to 65500. 2019-2-15 计算机科学与技术学院 10 典型拒绝服务攻击技术 泪滴（分片攻击，Teardrop）：典型利用TCP/IP协议问题进行拒绝服务攻击的方式，由于第一个实现这种攻击的程序名称为Teardrop，所以被称为“泪滴” 两台计算机通信时，如果传输的数据量较大，无法在一个数据报文中传输完成，就会将数据拆分成多个分片，传送到目的计算机后再到堆栈中进行重组，这一过程称为“分片” 为了能在到达目标主机后进行数据重组，TCP首部中包含有信息（分片识别号、偏移量、数据长度、标志位）说明该分段是原数据的哪一段，这样目标主机收到数据后，就能根据首部中的信息将各分片重新组合还原为数据 2019-2-15 计算机科学与技术学院 11 典型拒绝服务攻击技术 例子： 2019-2-15 计算机科学与技术学院 12 典型拒绝服务攻击技术 IP欺骗DoS攻击： 利用RST位实现：假