第7章-黑客攻击和防范技术.ppt

7.3常见攻击方式与防御方法 7.3常见攻击方式与防御方法 拒绝服务（DoS）攻击是目前最主要的一种黑客攻击类型，它的最终目的不是破坏系统，也不窃取目标用户的信息，而是让目标用户的系统资源消耗殆尽，从而使目标用户系统崩溃。 在这一攻击原理下，它又派生出了许多种不同的攻击方式 1．死亡之Ping（Ping of Death）攻击 2．泪滴（Teardrop）攻击 3．TCP SYN洪水（TCP SYN Flood）攻击 4．分片IP报文攻击 5．Land攻击 6．Smurf攻击 7.3常见攻击方式与防御方法 1．死亡之Ping（Ping of Death）攻击 不断地通过Ping命令向攻击目标发送超过64 KB的数据包，使目标计算机的TCP/IP堆栈崩溃，致使接收方死机。 防御方法：判断是否存在这种攻击的方法只需判断数据包的大小是否大于65 535字节。反攻击的方法是使用新的补丁程序，当收到大于65 535字节的数据包时，丢弃该数据包，并进行系统审计。现在所有的标准TCP/IP协议都已具有对付超过64 KB大小的数据包的处理能力，并且大多数防火墙能够通过对数据包中的信息和时间间隔的分析，自动过滤这些攻击。 7.3常见攻击方式与防御方法 2．泪滴（Teardrop）攻击 黑客们在截取IP数据包后，把偏移字段设置成不正确的值，这样接收端在收到这些分拆的数据包后，就不能按数据包中的偏移字段值正确组合这些拆分的数据包，但接收端会不断尝试，这样就可能致使目标计算机操作系统因资源耗尽而崩溃。泪滴攻击利用修改在TCP/IP堆栈中IP碎片的包的标题头，所包含的信息来实现自己的攻击。 防御方法：检测这类攻击的方法是对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。反攻击的方法是添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。尽可能采用最新的操作系统，或者在防火墙上设置分段重组功能，由防火墙先接收到同一原包中的所有拆分数据包，然后完成重组工作，而不是直接转发。因为防火墙上可以设置当出现重叠字段时所采用的规则。 7.3常见攻击方式与防御方法 3．TCP SYN洪水（TCP SYN Flood）攻击 TCP/IP栈只能等待有限数量的ACK（应答）消息，因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果这一缓冲区充满了等待响应的初始信息，则该计算机就会对接下来的连接停止响应，直到缓冲区里的连接超时。 防御方法：这类攻击的检测方法可以检查单位时间内收到的SYN连接是否收到超过系统设定的值。反攻击的方法是当接收到大量的SYN数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计；在防火墙上过滤来自同一主机的后续连接。不过“SYN洪水攻击”还是非常令人担忧的，由于此类攻击并不寻求响应，所以无法从一个简单的高容量的传输中鉴别出来。 7.3常见攻击方式与防御方法 4．分片IP报文攻击 攻击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等待（直到一个内部计时器到时），如果攻击者发送了大量的分片报文，就会消耗掉目标计算机的资源，而导致不能相应正常的IP报文，这也是一种DoS攻击 防御方法：对于这种攻击方式，目前还没有一种十分有效的防御方法。对一些包过滤设备或者入侵检测系统来说，首先是通过判断目的端口号来采取允许/禁止措施。但是由于通过恶意分片使目的端口号位于第二个分片中，因此包过滤设备通过判断第一个分片，决定后续的分片是否允许通过。但是这些分片在目标主机上进行重组之后将形成各种攻击。通过这种方法可以迂回一些入侵检测系统及一些安全过滤系统。当然，目前一些智能的包过滤设备可直接丢掉报头中未包含端口信息的分片，但这样的设备目前价格仍比较高，不是每个企业都能承受得起的。 7.3常见攻击方式与防御方法 5．Land攻击 这类攻击中的数据包源地址和目标地址是相同的，当操作系统接收到这类数据包时，不知道该如何处理，或者循环发送和接收该数据包，这样会消耗大量的系统资源，从而有可能造成系统崩溃或死机。 防御方法：这类攻击的检测方法相对来说比较容易，因为可以直接通过判断网络数据包的源地址和目标地址是否相同确认是否属于攻击行为。反攻击的方法当然是适当地配置防火墙设备或制定包过滤路由器的包过滤规则，并对这种攻击进行审计，记录事件发生的时间、源主机和目标主机的MAC地址和IP地址，从而可以有效地分析并跟踪攻击者的来源。 7.3常见攻击方式与防御方法 6．Smurf攻击 这是一种由有趣的卡通人物而得名的拒绝服务攻击。Smurf攻击利用了多数路由器中具有的同时向许多计算机广播请求的功能。攻击者伪造一个合法的IP地址，然后由网络上所有的路由器广播要求向受攻击计算机地址作出回答的请求。由