第四周 拒绝服务跟数据库安全资料.pptVIP

拒绝服务攻击(DoS)： Land原是一段C程序，其向受害者发送TCP SYN包，而这些包的源IP地址和目的IP地址被伪造成相同的，即受害者的IP地址，源端口和目的端口也是相同的； 此将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留，直到超时。 目标系统在收到这样的包以后可能会崩溃或者重启。 Land攻击 防御 有针对性地更改协议算法，打最新的相关的安全补丁； 在防火墙上进行配置，将那些在外部接口上进入的含有内部源地址的包过滤掉，包括10域，127域，192.168域，172.16到172.31域。 对剧毒包进行识别。如：由于Land攻击主要是构造IP包，使源IP和目标IP相同，源端口和目的端口相同，可以对此类包进行单独辨别、处理。 SYN Flood原理 TCP连接的三次握手 SYN Flood原理 Syn Flood攻击者不会完成三次握手 SYN Flood原理 假设一个客户向服务器发送了SYN报文段后突然掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度称为SYN Timeout，一般来说这个时间大约为30秒-2分钟； 同时，对于每个连接，双方都要为这个连接分配必要的内存资源，用来存放所使用的协议，地址、端口、时钟以及初始序号等信息，这些内存资源大约占用280字节。 SYN Flood原理 当一个服务器收到大量连续的SYN包时，就会为这些连接分配必要的内存资源，这些半连接将耗尽系统的内存资源和CPU时间，从而拒绝为合法的用户提供服务。 此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服务器端受到了SYN Flood攻击（SYN洪水攻击）。 以windows 为例SYN攻击 SYN Flood防护策略 优化系统配置 缩短超时时间，使无效的半连接尽快释放，也可能导致某些合法连接失败； 增加半连接队列长度，使系统能够处理更多的半连接； 关闭不必要或不重要的服务，减少被攻击的机会。 优化路由器配置 丢弃那些来自内网而源地址具有外网IP地址的包。 加强监测 在网络的关键点上安装监测软件，持续监视TCP/IP流量，分析通信状态，辨别攻击行为。 SYN Flood防护策略 防火墙 有些防火墙具有SYN Proxy功能，这种方法设置每秒通过指定对象（目标地址和端口、仅目标地址或仅源地址）的SYN片段数的阈值，当来自相同源地址或发往相同目标地址的SYN片段数达到这些阈值之一时，防火墙就开始截取连接请求和代理回复SYN/ACK片段，并将不完全的连接请求存储到连接队列中直到连接完成或请求超时。 当防火墙中代理连接的队列被填满时，防火墙拒绝来自相同区域中所有地址的新SYN片段，避免网络主机遭受不完整的三次握手的攻击。 这种方法在攻击流量较大的时候，连接出现较大的延迟，网络的负载较高，很多情况下反而成为整个网络的瓶颈。 4. Smurf攻击 这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。 Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。 更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。 Smurf攻击 攻击通常分为以下五步： 黑客锁定一个被攻击的主机（通常是一些Web服务器）； 黑客寻找中间代理（路由器），用来对攻击实施放大； 黑客给中间代理站点的广播地址发送大量的ICMP包（主要是指Ping命令的ECHO包）。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址； ?中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包；? 中间代理子网主机对被攻击的网络进行响应。 分析和对抗 首先，防止让你的网络里的人发起这样的攻击。 在Smurf攻击中，大量源欺骗的IP数据包离开了第一个网络。 通过在路由器上使用输出过滤，滤掉这样的包，从而阻止从你的网络中发起的Smurf攻击。 其次，防止你的网络做为中间代理。 如果没有必须要向外发送广播数据包的情况，就可以在路由器的每个接口上设置禁止直接广播； 配置主机的操作系统，使其不响应ICMP广播包。 5．Ping of Death 发送长度超过65535字节的ICMP Echo Request 数据包 导致目标机TCP/IP协议栈崩溃，系统死机或重启 现有的操作系统基本上都能正确处理这种异常数据包，不会出现问题。