NS_5_网络攻击4_拒绝服务攻击与防御.pptVIP

网络安全张立江cheungcumt@163.com第5讲网络攻击(IV)—拒绝服务攻击与防御

Contents拒绝服务攻击的概念1典型DoS攻击2典型DDoS攻击3DoS攻击的防御42024/11/25计算机科学与技术学院2

拒绝服务攻击的概念拒绝服务（DenialofService，DoS）:一种破坏性攻击，通常是利用传输协议中的某个弱点、系统存在的漏洞、服务的漏洞对目标系统发起大规模的进攻，用超出目标处理能力的海量数据包消耗可用系统资源、带宽资源等，或造成程序缓冲区溢出错误，致使其无法处理合法用户的正常请求，无法提供正常服务，最终致使网络服务瘫痪，甚至系统死机简单的说，拒绝服务攻击就是让攻击目标瘫痪的一种“损人不利己”的攻击手段2024/11/25计算机科学与技术学院3

拒绝服务攻击的概念史上最著名的拒绝服务攻击之一——Morris蠕虫:1988年11月，全球众多连在因特网上的计算机在数小时内无法正常工作，遭受攻击的包括５个计算机中心和12个地区结点，连接着政府、大学、研究所和拥有政府合同的25万台计算机。直接经济损失达9600万美元许多知名网站如Yahoo、eBay、CNN、百度、新浪等都曾遭受过DoS攻击

典型案例：百度遭受大规模SYNFlooding攻击(2006年)2024/11/25计算机科学与技术学院4

2024/11/25计算机科学与技术学院5

拒绝服务攻击的类型按照攻击行为可分为两类：网络带宽攻击：极大的通信量冲击网络，使所有可用的网络资源被消耗殆尽，最终导致合法用户请求无法通过连通性攻击：大量的连接请求冲击计算机，使得所有可用的系统资源被消耗殆尽，最终计算机无法再处理合法用户的请求2024/11/25计算机科学与技术学院6

拒绝服务攻击的类型从实施DoS攻击所用的思路来看，DoS攻击可以分为：滥用合理的服务请求过度地请求系统的正常服务，占用过多服务资源，致使系统超载。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者连接数等制造高流量无用数据恶意地制造和发送大量各种随机无用的数据包，用这种高流量的无用数据占据网络带宽，造成网络拥塞利用传输协议缺陷构造畸形的数据包并发送，导致目标主机无法处理，出现错误或崩溃利用服务程序的漏洞针对主机上的服务程序的特定漏洞，发送一些有针对性的特殊格式的数据，导致服务处理错误而拒绝服务2024/11/25计算机科学与技术学院7

典型拒绝服务攻击技术PingofDeath泪滴（Teardrop）IP欺骗DoS攻击UDP洪水SYN洪水Land攻击Smurf攻击Fraggle攻击电子邮件炸弹畸形消息攻击SlashdoteffectWinNuke攻击2024/11/25计算机科学与技术学院8

典型拒绝服务攻击技术PingofDeath（死亡之Ping）：ICMP报文长度固定，大小为64KB，早期很多操作系统在接收ICMP报文时，只开辟64KB的缓存区用于存放接收到的数据包一旦发送过来的ICMP数据包的实际尺寸超过64KB，操作系统将收到的数据报文向缓存区填写时，就会产生缓存溢出，将导致TCP/IP协议堆栈的崩溃，造成主机的重启或死机“ping–l”可指定发送数据包的尺寸，因此使用Ping就可以简单地实现这种攻击。例如： Ping-l65540402024/11/25计算机科学与技术学院9

典型拒绝服务攻击技术现在的操作系统已修补了这一漏洞：对可发送的数据包大小进行了限制在Windowsxp及以后操作系统中输入这样的命令： Ping-l6553540系统返回这样的信息： Badvalueforoption-l,validrangeisfrom0to65500.2024/11/25计算机科学与技术学院10

典型拒绝服务攻击技术泪滴（分片攻击，Teardrop）：典型利用TCP/IP协议问题进行拒绝服务攻击的方式，由于第一个实现这种攻击的程序名称为Teardrop，所以被称为“泪滴”两台计算机通信时，如果传输的数据量较大，无法在一个数据报文中传输完成，就会将数据拆分成多个分片，传送到目的计算机后再到堆栈中进行重组，这一过程称为“分片”为了能在到达目标主机后进行数据重组，TCP首部中包含有信息（分片识别号、偏移量、数据长度、标志位）说明该分段是原数据的哪一段，这样目标主机收到数据后，就能根据首部中的信息将各分片重新组合还原为数据2024/11/25计算机科学与技术学院11

典型拒绝服务攻击技术例子：这样的信息被目的主机收到后，在堆栈中重组时，由于畸形分片的存在，会导致重组出错，这个错误并不仅仅是影响到重组的数据，由于协议重组算法，会导致内存错误，引起协议栈的崩溃202