网络攻防原理与技术 第3版 教案 第5讲 拒绝服务攻击.docx

内容

备注

《网络攻防原理与技术》课程教案

讲课题目：第五讲拒绝服务攻击

目的要求：了解拒绝服务攻击的基本概念；掌握掌握剧毒包型拒绝服务攻击的攻击原理；掌握风暴型拒绝服务攻击的攻击原理；了解拒绝服务攻击的检测及响应技术。

重点难点：剧毒包型拒绝服务攻击的攻击原理；风暴型拒绝服务攻击的攻击原理。

方法步骤：理论讲授。

器材保障：电脑、投影仪。

主要教学内容:

一、拒绝服务攻击概述

(一)拒绝服务攻击的相关概念

拒绝服务攻击（DenialofService，DoS）是一种应用广泛、行之有效但难以防范的网络攻击手段，主要依靠消耗网络带宽或系统资源（如，处理机、磁盘、内存）导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务或使服务质量显著降低，或通过更改系统配置使系统无法正常工作（如更改路由器的路由表），来达到攻击的目的。

DDoS（DistributedDenialofService）：如果处于不同位置的多个攻击者同时向一个或多个目标发起拒绝服务攻击，或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施拒绝服务攻击。

广义上讲，DDoS属于DoS攻击，且是DoS主流的攻击模式。

狭义上讲，DoS指的是单一攻击者针对单一受害者的攻击(传统的DoS)，而DDoS则是多个攻击者向同一受害者的攻击。

(二)分类

(1)按攻击目标分类。

按攻击目标分类，拒绝服务攻击可分为节点型DoS和网络连接型DoS。节点型又可分为主机型和应用型。主机型DoS主要对主机的CPU、磁盘、操作系统、文件系统等进行DoS攻击；应用型DoS主要对主机中的应用软件进行DoS攻击，如Email服务器、Web服务器、DNS服务器、数据库服务器等。

(2)按攻击方式分类。

按攻击方式分类，拒绝服务攻击可分为资源破坏型DoS、物理破坏型DoS和服务终止型DoS。资源破坏型DoS主要是指耗尽网络带宽、主机内存、CPU、磁盘等；物理破坏型DoS主要是指摧毁主机或网络节点的DoS攻击；服务终止型DoS则是指攻击导致服务崩溃或终止。

(3)按攻击是否直接针对受害者分类。

按攻击是否直接针对受害者分类，可分为直接型DoS和间接型DoS。直接型DoS攻击直接对受害者发起攻击；间接型DoS则是通过攻击对受害者有致命影响的其他目标，从而间接导致受害者不能提供服务。

(4)按攻击机制分类。

按攻击机制分类，拒绝服务攻击可分为剧毒包或杀手包型、风暴型和重定向型三种。剧毒包型攻击主要利用协议本身或其软件实现中的漏洞，向目标发送一些异常的（畸形的）数据包使目标系统在处理时出现异常，甚至崩溃。风暴型拒绝服务攻击主要通过向目标发送大量的网络数据包，导致目标系统或网络的资源耗尽而瘫痪。重定向攻击是指通过修改网络中的一些参数，如ARP表、DNS缓存，使得从受害者发出的或发向受害者的数据包被重定向到别的地方。

二、剧毒包型拒绝服务攻击

剧毒包或杀手包（KillerPacket)DoS攻击：利用协议本身或其软件实现中的漏洞，通过一些畸形的数据包使受害者系统崩溃，也称为“漏洞攻击”或“协议攻击”。

碎片攻击（Teardrop）也称为泪滴攻击，是利用Windows3.1、Windows95、WindowsNT和低版本的Linux中处理IP分片时的漏洞，向受害者发送分片偏移地址异常的UDP数据包分片，使得目标主机在重组分片时出现异常而崩溃或重启。IP数据报分组首部中的标志位中的DF标志为0时，即指示可以对该分组进行分片传输。首部中的片偏移字段（offset）指示某一分片在原分组中的相对位置，且以8个字节为偏移单位。也就是说，相对于用户数据字段的起点，该片从何处开始。攻击者精心构造数据报分片的offset字段，使得系统在计算要拷贝的数据片的大小时，得到一个负数。由于系统采用的是无符号整数，负数相当于一个很大的整数，这将导致系统出现异常，如堆栈损坏、IP模块不可用或系统挂起等。

PingofDeath攻击也称为也称为“死亡之Ping”、ICMPBug攻击，它利用协议实现时的漏洞(CVE-1999-0128)，向受害者发送超长的Ping数据包（ICMP包），导致受害者系统异常，如死机、重启、崩溃等。一个ICMP包中的数据部分不能超过65515–8=65507字节。如果攻击者发送给受害者主机的ICMP包中的数据超过65507字节，则该数据包封装到IP包后，总长度就超过了IP包长的限制，接收到此数据包的主机将出现异常。

Land攻击利用的是主机在处理TCP连接请求上的安全漏洞，其攻击原理是用一个特别构造的TCPSYN包（TCP三次握手中的第