《计算机网络安全技术》教学课件01.ppt

IP欺骗攻击的描述考虑这种情况，入侵者控制了一台由A到B之间的路由器，假设Z就是这台路由器，那么A回送到B的数据段，现在Z是可以看到的，显然攻击难度骤然下降了许多。否那么Z必须精确地预见可能从A发往B的信息，以及A期待来自B的什么应答信息，这要求攻击者对协议本身相当熟悉。同时需要明白，这种攻击根本不可能在交互状态下完成，必须写程序完成。当然在准备阶段可以用netxray之类的工具进行协议分析。

IP欺骗攻击的描述7.如果Z不是路由器，能否考虑组合使用ICMP重定向以及ARP欺骗等技术？没有仔细分析过，只是随便猜测而已。并且与A、B、

Z之间具体的网络拓扑有密切关系，在某些情况下显然大幅度降低了攻击难度。注意IP欺骗攻击理论上是从广域网上发起的，不局限于局域网，这也正是这种攻击的魅力所在。利用IP欺骗攻击得到一个A上的shell，对于许多高级入侵者，得到目标主机的shell，离root权限就不远了，最容易想到的当然是接下来进行bufferoverflow攻击。

DDOS原理DDoS〔分布式拒绝效劳〕，它的英文全称为DistributedDenialofService，它是一种基于DoS的特殊形式的拒绝效劳攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，象商业公司，搜索引擎和政府部门的站点。从图1我们可以看出DoS攻击只要一台单机和一个modem就可实现，与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防范，因此具有较大的破坏性。DDoS的攻击原理如下图。DDOS原理DDOS原理从图可以看出，DDoS攻击分为3层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。1、攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。2、主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。3、代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。SYNFlood的根本原理大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在效劳端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：

首先，请求端〔客户端〕发送一个包含SYN标志的TCP报文，SYN即同步〔Synchronize〕，同步报文会指明客户端使用的端口以及TCP连接的初始序号；

第二步，效劳器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认〔Acknowledgement〕。

第三步，客户端也返回一个确认报文ACK给效劳器端，同样TCP序列号被加一，到此一个TCP连接完成。

以上的连接过程在TCP协议中被称为三次握手〔Three-wayHandshake〕。

SYNFlood的根本原理

假设一个用户向效劳器发送了SYN报文后突然死机或掉线，那么效劳器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的〔第三次握手无法完成〕，这种情况下效劳器端一般会重试〔再次发送SYN+ACK给客户端〕并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYNTimeout，一般来说这个时间是分钟的数量级〔大约为30秒-2分钟〕；一个用户出现异常导致效劳器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，效劳器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果效劳器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使效劳器端的系统足够强大，效劳器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求〔毕竟客户端的正常请求比率非常之小〕，此时从正常客户的角度看来，效劳器失去响应，这种情况我们称作：效劳器端受到了SYNFlood攻击〔SYN洪水攻击〕。SYNFlood的根本根本解决方法

第一种是缩短SYNTimeout时间，由于SYNFlood攻击的效果取决于效劳器上保持的SYN半连接数，这个值=SYN攻击的频度x?SYNTimeout，所以通过缩短从接收到SYN报文到