网络攻防实战演练.pptVIP

* * 缓冲区溢出的攻击方式 当前第154页\共有214页\编于星期二\13点 * * DoS的技术分类 当前第122页\共有214页\编于星期二\13点 * * 典型DOS攻击 当前第123页\共有214页\编于星期二\13点 * * Ping of Death 当前第124页\共有214页\编于星期二\13点 * * Ping of Death范例 当前第125页\共有214页\编于星期二\13点 * * IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。 泪滴(teardrop)攻击一 Teardrop 攻击原理： 当前第126页\共有214页\编于星期二\13点 * * 受影响的系统：Linux/Windows NT/95 攻击特征：攻击过程简单，发送一些IP分片异常的数据包。 防范措施： 泪滴(teardrop)攻击二 服务器升级最新的服务包 设置防火墙时对分片进行重组，而不是转发它们。 当前第127页\共有214页\编于星期二\13点 * * UDP洪水(UDP flood) 当前第128页\共有214页\编于星期二\13点 * * Fraggle攻击 发送畸形UDP碎片，使得被攻击者在重组过程中发生未加预料的错误 典型的Fraggle攻击 碎片偏移位的错乱 强制发送超大数据包 纯粹的资源消耗 当前第129页\共有214页\编于星期二\13点 * * 阻止IP碎片攻击 Windows系统请打上最新的Service Pack，目前的Linux内核已经不受影响。 如果可能，在网络边界上禁止碎片包通过，或者用iptables限制每秒通过碎片包的数目。 如果防火墙有重组碎片的功能，请确保自身的算法没有问题，否则DoS就会影响整个网络 Windows 2000系统中，自定义IP安全策略，设置“碎片检查” 当前第130页\共有214页\编于星期二\13点 * * TCP SYN flood 当前第131页\共有214页\编于星期二\13点 * * 剖析SYN Flood攻击 TCP SYN分段 伪造Source IPx TCP SYN/ACK分段 IPx 不断发送大量伪造的TCP SYN分段 最多可打开的半开连接数量 超时等待时间 等待期内的重试次数 X 半开连接缓冲区溢出 当前第132页\共有214页\编于星期二\13点 * * TCP SYN Flood 攻击过程示例 当前第133页\共有214页\编于星期二\13点 * * 对SYN Flood攻击的防御 对SYN Flood攻击的几种简单解决方法 缩短SYN Timeout时间 SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值等于SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间 设置SYN Cookie 给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃 当前第134页\共有214页\编于星期二\13点 * * 增强Windows 2000对SYN Flood的防御 打开regedit，找到HKEY_LOCAL_MACHINE\System \CurrentControlSet\Services\Tcpip\Parameters? 增加一个SynAttackProtect的键值，类型为REG_DWORD，取值范围是0-2，这个值决定了系统受到SYN攻击时采取的保护措施，包括减少系统SYN+ACK的重试的次数等，默认值是0（没有任何保护措施），推荐设置是2。 当前第135页\共有214页\编于星期二\13点 * * 增强Windows 2000对SYN Flood的防御 增加一个TcpMaxHalfOpen的键值，类型为REG_DWORD，取值范围是100-0xFFFF，这个值是系统允许同时打开的半连接，默认情况下WIN2K PRO和SERVER是100，ADVANCED SERVER是500，这个值取决于服务器TCP负荷的状况和可能受到的攻击强度。 增加一个TcpMaxHalfOpenRetried的键值，类型为REG_DWORD，取值范围是80-0xFFFF，默认情况下WIN2K PRO和SERVER是80，ADVANCED SERVER是400，这个值决定了在什么情况下系统会打开SYN攻击保护