常见的攻击技术介绍——ddos攻击课件.ppt

常见攻击种类介绍
--DOS和DDOS攻击
学习目标
理解拒绝服务攻击的原理
理解拒绝服务攻击的特征(抓包分析)
了解拒绝服务攻击的各种防护原理(重点学习syncookie算法)
思考如何有效的进行拒绝服务攻击的防护
拒绝服务和分布式拒绝服务
拒绝服务攻击(DoS)中,黑客阻止合法的用户访问某一种服务。如表现在试图让一个系统工作超负荷。
分布式拒绝服务(DDoS)攻击是指几个远程系统在一起工作并产生网络传输,目的在于崩溃一个远程主机。
早期的Dos攻击技术
20世纪90年代中期的Dos攻击活动差不多都是基于利用操作系统里的各种软件缺陷。这些缺陷大都属于会导致软件或硬件无法处理例外情况的程序设计失误。这些“早期的”Dos攻击技术当中,最具危害性的是以某种操作系统的TCP/IP协议栈作为攻击目标的“发送异常数据包”手段。
经典DoS攻击技术
超长数据包这是最早出现的Dos攻击技术之一,攻击者在一台Windows系统上发出“Ping of death ”(运行“ ping -1 65510 ”命令,其中“”是被攻击者的IP地址)是这种攻击技术的典型运用之一。Jolt程序也属于这类攻击工具,攻击者可以利用这个简单的C程序在操作系统自带的Ping命令无法生成超长数据包时发动这种攻击。
数据包片断重叠这种攻击技术的要点是迫使目标系统的操作系统去处理彼此有重叠的TCP/IP数据包片断,而这将导致很多系统发生崩溃或出现资源耗尽问题。这类工具主要有:teardrop、bonk和nestea。
自反馈洪水这类攻击的早期经典实现之一是利用UNIX系统上的Chargen服务生成一个数据流并把这个数据流的目的地设置为同一个系统上echo服务,这样就形成一个无限循环,而那台系统将被他自己生成的数据“冲”垮。
经典DoS攻击技术
“原子弹”这类攻击与前些年发现的一个Windows安防漏洞有关:有这个漏洞的系统在收到OOB数据包时会发生崩溃。这类攻击在聊天和游戏网络里很流行,它们可以让玩家把惹恼了自己的对手赶出网络。
“超级碎片” TCP/IP协议允许发送者按照他自己的想法把数据包拆分成一些片断。如果发送方的系统把每个数据包都拆分成非常多的片断,接受方的系统或网络就不得不进行大量的计算才能把那些片段重新拼装起来。
NETBIOS/SMB 微软专利的组网协议多年来一直存在着各种各样的问题,BILS名字重叠攻击,遭到攻击的Windows系统将无法接入自己所属的局域网。
DOS工具包因为没有耐心去一种一种地尝试哪种攻击手段可以奏效,所以有些黑客干脆利用脚本把自己收集到的攻击工具打包在一起去攻击目标系统。
近期DDOS攻击方式
目前网络上能真正构成威胁的现代DoS技术:能力消耗(capacity depletion)攻击;也有人称之为带宽耗用攻击。
早期的DOS攻击技术主要通过耗尽攻击目标的某种资源来达到目的,但它们所利用的安防漏洞现在差不多都被修好了。在可供利用的安防漏洞越来越少的情况下,现代DOS攻击技术采取了一个更直接的战术:设法耗尽目标系统的全部带宽,让它无法向合法用户提供服务。两类最重要的能力消耗DOS:通信层和应用层。
TCP三次握手
正常的三次握手建立通讯的过程
SYN (我可以连接吗?)
ACK (可以)/SYN(请确认!)
ACK (确认连接)
发起方
应答方
DDoS攻击介绍——SYN Flood
SYN_RECV状态
半开连接队列
遍历,消耗CPU和内存
SYN|ACK 重试
SYN Timeout:30秒~2分钟
无暇理睬正常的连接请求—拒绝服务
SYN (我可以连接吗?)
ACK (可以)/SYN(请确认!)
攻击者
受害者
伪造地址进行SYN 请求
为何还没回应
就是让你白等
不能建立正常的连接!
SYN Flood 攻击原理
攻击表象