S网络安全攻击培训课件.pptxVIP

网络协议网络平安S07网络平安攻击主要知识点2021/7/11缺陷攻击方法拒绝效劳攻击缓存溢出攻击注入攻击方法劫持攻击方法拒绝效劳攻击2021/7/11Denial of Service，DoS使系统或网络过载，使之无法继续提供正常效劳的平安攻击特点：利用协议的特点或系统的漏洞攻击者不必事先获得对系统的控制权，也不是为了获取访问权类型：带宽损耗型〔bandwidth consumption〕因大量占用系统〔例如一个网站〕的网络带宽，导致受害者系统无法向其客户提供正常效劳资源匮乏型〔resource starvation〕使目标效劳器因宕机或没有足够资源〔如内存〕而失去网络效劳能力〔无法正常建立连接、响应请求、传输数据等〕分布式拒绝效劳攻击2021/7/11Distributed DoS，DDoSDoS攻击是攻击者系统与受害者系统拼资源、拼性能的过程，攻击者如果没有足够带宽和计算能力，就无法耗尽攻击对象的系统资源，DDoS攻击可在同一时间调用大量不同位置的计算机向同一目标实施攻击DDoS攻击类型2021/7/11DDoS三种技术类型：〔1〕利用协议漏洞Syn FloodSmurfFake IP〔2〕利用软件缺陷TearDropPing-of-DeathLandICMP Fragment〔3〕进行资源比拼ICMP FloodUDP FloodE-mail BombSyn Flood攻击改进：①使用不同IP地址，使接收方难以甄别不正常流量 ②大量的SYN几乎同时从傀儡机群发出，在连接等待计时器超时前突破系统资源上限2021/7/11同步洪水攻击也称为TCP同步攻击、三次握手攻击、半连接攻击技术原理：基于TCP建立连接所用的三次握 制，成心缺少第三步的ACK回复，使被叫方计算机的连接一直处于占用资源的等待状态，直到计时器超时释放，如果同时存在大量的半连接，计算机就会耗尽系统资源，无法为正常业务提供效劳Land攻击IP1SYN(IP1→IP1)SYN(IP1→IP1)SYN-ACK(IP1→IP1)SYN-ACK(IP1→IP1)SYN-ACK(IP1→IP1)ACK(IP1→IP1)ACK(IP1→IP1)ACK(IP1→IP1)2021/7/11登陆攻击对Syn Flood攻击的改进技术原理：把SYN报文的源和目的IP地址均设置为被攻击者的IP地址，使之向自己回复SYN-ACK和ACK报文，可能由此建立起自环的空连接，占用更长时间和更多资源Ping of Death攻击死亡回显攻击利用ICMP效劳端协议机实现的缺陷实施DoS攻击技术原理：假定某操作系统规定ICMP报文最大尺寸不超过64KB，却不进行严格检查，攻击者成心发送超过64KB上限的畸形ping报文〔基于ICMP回显功能〕，主机就会出现性质严重的内存分配错误，导致崩溃、死机向目标主机长时间、连续性、大批量地发送ICMP报文，将形成ICMP风暴，使主机消耗大量的计算资源，疲于奔命2021/7/11Smurf攻击Fraggle攻击与Smurf类似，使用UDP的echo2021/7/11Smurf回显攻击死亡回显攻击的一种变化技术原理：向一个拥有大量主机的内部子网发送欺骗性ping报文，目的IP地址设为该子网播送地址，而源IP地址设为子网内被攻击主机的地址早期版本的某些型号路由器接收到该ICMP报文后予以转发所有主机收到报文后进行echo，结果目标主机将同时收到大量ICMP报文反复使用Smurf攻击，可能使子网因播送风暴而瘫痪UDP Flood攻击2021/7/11UDP洪水攻击死亡回显攻击的变化之一技术原理：攻击者随机地向被攻击系统的端口发送UDP数据报文当目标系统接收到一个UDP数据报文，会根据目的端口号试图确定正在等待〔侦听〕中的应用程序，如果发现应用程序并不存在，就根据报文中源IP地址回复一个ICMP报文，报告“目的地址无法连接〞如果向目标主机的随机端口不断发送随机端口号的UDP报文，在忙于处理这些垃圾数据报文的过程中，主机性能不断下降，直到不能提供正常效劳UDP Flood攻击改进UDP的chargen和echo效劳：chargen效劳用于测试目的〔character generator〕，端口号19，可对任何接收到的UDP报文反响随机生成的字符echo效劳端口号为7，可对任何接收到的数据原样原路返回2021/7/11Tear Drop攻击2021/7/11泪滴攻击利用某些TCP/IP实现中分段重组的进程的潜在弱点实施的DoS攻击，属于利用协议机缺陷进行的畸形消息攻击技术技术原理在TCP/IP协议栈实现中，总是假定可以信任IP报文的控制头所包含的信息某些TCP/IP协议机〔存在于一些操作系统相关版本中〕一旦收到含有重叠偏移量的分段数据，会无法处理而崩溃攻击者据此篡改或