s07教材资料-网络安全攻击.pptVIP

网络协议网络安全 S07 网络安全攻击 主要知识点 缺陷攻击方法 拒绝服务攻击 缓存溢出攻击 注入攻击方法 劫持攻击方法 网络安全攻击 37 2 拒绝服务攻击 Denial of Service，DoS 使系统或网络过载，使之无法继续提供正常服务的安全攻击 特点： 利用协议的特点或系统的漏洞 攻击者不必事先获得对系统的控制权，也不是为了获取访问权 类型： 带宽损耗型（bandwidth consumption） 因大量占用系统（例如一个网站）的网络带宽，导致受害者系统无法向其客户提供正常服务 资源匮乏型（resource starvation） 使目标服务器因宕机或没有足够资源（如内存）而失去网络服务能力（无法正常建立连接、响应请求、传输数据等） 网络安全攻击 3 37 分布式拒绝服务攻击 Distributed DoS，DDoS DoS攻击是攻击者系统与受害者系统拼资源、拼性能的过程，攻击者如果没有足够带宽和计算能力，就无法耗尽攻击对象的系统资源，DDoS攻击可在同一时间调用大量不同位置的计算机向同一目标实施攻击 网络安全攻击 4 37 DDoS攻击类型 DDoS三种技术类型： （1）利用协议漏洞 Syn Flood Smurf Fake IP （2）利用软件缺陷 TearDrop Ping-of-Death Land ICMP Fragment （3）进行资源比拼 ICMP Flood UDP Flood E-mail Bomb 网络安全攻击 5 37 Syn Flood攻击 同步洪水攻击 也称为TCP同步攻击、三次握手攻击、半连接攻击 技术原理： 基于TCP建立连接所用的三次握手机制，故意缺少第三步的ACK回复，使被叫方计算机的连接一直处于占用资源的等待状态，直到计时器超时释放，如果同时存在大量的半连接，计算机就会耗尽系统资源，无法为正常业务提供服务 网络安全攻击 6 37 改进：①使用不同IP地址，使接收方难以甄别不正常流量 ②大量的SYN几乎同时从傀儡机群发出，在连接等待计时器超时前突破系统资源上限 Land攻击 登陆攻击 对Syn Flood攻击的改进 技术原理： 把SYN报文的源和目的IP地址均设置为被攻击者的IP地址，使之向自己回复SYN-ACK和ACK报文，可能由此建立起自环的空连接，占用更长时间和更多资源 网络安全攻击 7 37 SYN(IP1→IP1) SYN(IP1→IP1) SYN-ACK(IP1→IP1) SYN-ACK(IP1→IP1) SYN-ACK(IP1→IP1) ACK(IP1→IP1) IP1 ACK(IP1→IP1) ACK(IP1→IP1) Ping of Death攻击 死亡回显攻击 利用ICMP服务端协议机实现的缺陷实施DoS攻击 技术原理： 假定某操作系统规定ICMP报文最大尺寸不超过64KB，却不进行严格检查，攻击者故意发送超过64KB上限的畸形ping报文（基于ICMP回显功能），主机就会出现性质严重的内存分配错误，导致崩溃、死机 向目标主机长时间、连续性、大批量地发送ICMP报文，将形成ICMP风暴，使主机耗费大量的计算资源，疲于奔命 网络安全攻击 8 37 Smurf攻击 Smurf回显攻击 死亡回显攻击的一种变化 技术原理： 向一个拥有大量主机的内部子网发送欺骗性ping报文，目的IP地址设为该子网广播地址，而源IP地址设为子网内被攻击主机的地址 早期版本的某些型号路由器接收到该ICMP报文后予以转发 所有主机收到报文后进行echo，结果目标主机将同时收到大量ICMP报文 反复使用Smurf攻击，可能使子网因广播风暴而瘫痪 网络安全攻击 9 37 Fraggle攻击 与Smurf类似，使用UDP的echo UDP Flood攻击 UDP洪水攻击 死亡回显攻击的变化之一 技术原理： 攻击者随机地向被攻击系统的端口发送UDP数据报文 当目标系统接收到一个UDP数据报文，会根据目的端口号试图确定正在等待（侦听）中的应用程序，如果发现应用程序并不存在，就根据报文中源IP地址回复一个ICMP报文，报告“目的地址无法连接” 如果向目标主机的随机端口不断发送随机端口号的UDP报文，在忙于处理这些垃圾数据报文的过程中，主机性能不断下降，直到不能提供正常服务 网络安全攻击 10 37 UDP Flood攻击改进 网络安全攻击 11 37 UDP的chargen和echo服务： chargen服务用于测试目的（character generator），端口号19，可对任何接收到的UDP报文反馈随机生成的字符 echo服务端口号为7，可对任何接收到的数据原样原路返回 Tear Drop攻击 泪滴攻击 利用某些TCP/IP实现中分段重组的进程的潜在弱点实施的DoS攻击