NS 5 网络攻击4 拒绝服务攻击与防御.ppt

NS_5_网络攻击4_拒绝服务攻击与防御网 络 安 全
第5讲 网络攻击(IV)—拒绝服务攻击与防御
1
Contents
拒绝服务攻击的概念
1
典型DoS攻击
2
典型DDoS攻击
3
DoS攻击的防御
4
*
*
计算机科学与技术学院
拒绝服务攻击的概念
拒绝服务（ Denial of Service，DoS）:一种破坏性攻击，通常是利用传输协议中的某个弱点、系统存在的漏洞、服务的漏洞对目标系统发起大规模的进攻，用超出目标处理能力的海量数据包消耗可用系统资源、带宽资源等，或造成程序缓冲区溢出错误，致使其无法处理合法用户的正常请求，无法提供正常服务，最终致使网络服务瘫痪，甚至系统死机
简单的说，拒绝服务攻击就是让攻击目标瘫痪的一种“损人不利己”的攻击手段
*
*
计算机科学与技术学院
拒绝服务攻击的概念
史上最著名的拒绝服务攻击之一——Morris蠕虫: 1988年11月，全球众多连在因特网上的计算机在数小时内无法正常工作，遭受攻击的包括５个计算机中心和12个地区结点，连接着政府、大学、研究所和拥有政府合同的25万台计算机。直接经济损失达9600万美元
许多知名网站如Yahoo、eBay、CNN、百度、新浪等都曾遭受过DoS攻击
典型案例：百度遭受大规模SYN Flooding攻击(2006年)
*
*
计算机科学与技术学院
*
*
计算机科学与技术学院
拒绝服务攻击的类型
按照攻击行为可分为两类：
网络带宽攻击：极大的通信量冲击网络，使所有可用的网络资源被消耗殆尽，最终导致合法用户请求无法通过
连通性攻击：大量的连接请求冲击计算机，使得所有可用的系统资源被消耗殆尽，最终计算机无法再处理合法用户的请求
*
*
计算机科学与技术学院
拒绝服务攻击的类型
从实施DoS攻击所用的思路来看，DoS攻击可以分为：
滥用合理的服务请求
过度地请求系统的正常服务，占用过多服务资源，致使系统超载。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者连接数等
制造高流量无用数据
恶意地制造和发送大量各种随机无用的数据包，用这种高流量的无用数据占据网络带宽，造成网络拥塞
利用传输协议缺陷
构造畸形的数据包并发送，导致目标主机无法处理，出现错误或崩溃
利用服务程序的漏洞
针对主机上的服务程序的特定漏洞，发送一些有针对性的特殊格式的数据，导致服务处理错误而拒绝服务
*
*
计算机科学与技术学院
典型拒绝服务攻击技术
Ping of Death
泪滴（Teardrop）
IP欺骗DoS攻击
UDP洪水
SYN洪水
Land攻击
Smurf攻击
Fraggle攻击
电子邮件炸弹
畸形消息攻击
Slashdot effect
WinNuke攻击
*
*
计算机科学与技术学院
典型拒绝服务攻击技术
Ping of Death（死亡之Ping）：
ICMP报文长度固定，大小为64KB，早期很多操作系统在接收ICMP报文时，只开辟64KB的缓存区用于存放接收到的数据包
一旦发送过来的ICMP数据包的实际尺寸超过64KB，操作系统将收到的数据报文向缓存区填写时，就会产生缓存溢出，将导致TCP/IP协议堆栈的崩溃，造成主机的重启或死机
“ping –l”可指定发送数据包的尺寸，因此使用Ping就可以简单地实现这种攻击。例如：
Ping -l 65540
*
*
计算机科学与技术学院
典型拒绝服务攻击技术
现在的操作系统已修补了这一漏洞：对可发送的数据包大小进行了限制
在Windows xp 及以后操作系统中输入这样的命令：
Ping -l 65535
系统返回这样的信息：
Bad value for option -l, valid range is from 0 to 65500.
*
*
计算机科学与技术学院