网络安全4-拒绝服务攻击

网络安全西南科技大学计算机科学与技术学院2第3章回顾网络扫描网络监听口令破解讨论：如何发现和预防ARP欺骗（ARPPoisoning）攻击？3第4章拒绝服务攻击本章介绍DoS攻击的定义、思想和分类，对SYNFlooding攻击、Smurf攻击、利用处理程序错误的拒绝服务攻击、电子邮件轰炸攻击和分布式拒绝服务攻击(DDoS)方法分别进行了详细的分析，并对每一种攻击提供了防范措施。4第4章拒绝服务攻击4.1拒绝服务攻击概述4.2拒绝服务攻击分类4.3服务端口攻击4.4电子邮件轰炸4.5分布式拒绝服务攻击DDoS5拒绝服务攻击概述DoS定义拒绝服务攻击DoS（DenialofService）是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式•主要方式：•漏洞攻击•发送大量看似合法的数据•物理方式•造成结果：•停止响应•资源耗尽，不能为合法用户提供服务；第4章第1节6拒绝服务攻击概述举例January2001ADDoSattackonMicrosoftpreventedabout98%oflegitimateusersfromgettingtoanyofMicrosoft'sservers.InOctober2002Therewasanattackonall13rootDomainNameSystem(DNS)servers.August15,2003Microsoft.comfallstoDoSattackCompany'sWebsiteinaccessiblefortwohours第4章第1节7拒绝服务攻击概述从某种程度上可以说，DoS攻击永远不会消失。软件漏洞永远存在计算机网络（包转发网络）的设计缺陷发送方和接受方没有专用资源数据包能通过任意路径从发送方到达接受方主干上高带宽的数据可以淹没低带宽的边缘连接目前还没有根本的解诀办法技术原因社会原因第4章第1节8拒绝服务攻击分类攻击模式消耗资源网络带宽、存储空间、CPU时间等破坏或改变配置信息物理破坏或者改变网络部件利用服务程序中的处理错误使服务失效发起方式传统的拒绝服务攻击分布式拒绝服务攻击（DistributedDenialofService）第4章第2节9拒绝服务攻击分类攻击模式：消耗资源针对网络连接的拒绝服务攻击ping、flooding、SYNfloodingping、finger广播包广播风暴（SMURF攻击）消耗磁盘空间EmailERROR-LOGFTP站点的incoming目录制造垃圾文件第4章第2节10拒绝服务攻击分类攻击模式：消耗资源消耗CPU资源和内存资源main(){fork()；main()；｝第4章第2节11拒绝服务攻击分类攻击模式：破坏或更改配置信息修改服务用户群(deny)（apache服务器）删除口令文件第4章第2节12拒绝服务攻击分类攻击模式：物理破坏或改变网络部件计算机、路由器、网络配线室、网络主干段、电源、冷却设备、其它的网络关键设备攻击模式：利用服务程序中的处理错误使服务失效LAND攻击第4章第2节134.3服务端口攻击SYNFloodingSmurf攻击利用处理程序错误的拒绝服务攻击第4章第3节144.3服务端口攻击SYNFloodingACK=y+1SYN,SEQ=y,ACK=x+1SYN,SEQ=x发送端S接收端DTCP连接的三次握手第4章第3节为连接分配资源154.3服务端口攻击SYNFloodingSYN,SEQ=y,ACK=x+1SYN,SEQ=x发送端S接收端DSYNFlooding第4章第3节为连接分配资源16服务端口攻击SYNFlooding192.168.0.210-192.168.0.255NBTDatagramServiceType=17Source=ROOTDC[20]192.168.0.247-192.168.0.255NBTDatagramServiceType=17Source=TSC[0]?-(broadcast)ETHERType=886F(Unknown),size=1510bytes192.168.0.200-(broadcast)ARPCWhois192.168.0.102,192.168.0.102?127.0.0.178-lab183.lab.netTCPD=124S=1352SynSeq=674711609Len=0Win=65535127.0.0.178-lab183.lab.netTCPD=125S=1352SynSeq=674711609Len=0Win=65535127.0.0.178-lab183.lab.netTCPD=126S=1352SynSeq=674711609Len=0Win=65535127.0.0.178-lab183.lab.netTCPD=128S=1352SynSeq=674711609Len=0Win=65535127.0.0.178-lab183.lab.netTCPD=130S=1352SynSeq=674711609Len=0Win=65535127.0.0.178-lab183.lab.netTCPD=131S=1352SynSeq=674711609Len=0Win=65535127.0.0.178-lab183.lab.netTCPD=133S=1352SynSeq=674711609Len=0Win=65535127.0.0.178-lab183.lab.netTCPD=135S=1352SynSeq=674711609Len=0Win=65535…………第4章第3节网络正常数据网络中发生攻击17服务端口攻击SYNFlooding同步包风暴拒绝服务攻击具有以下特点针对TCP/IP协议的薄弱环节进行攻击发动攻击时，只要很少的数据流量就可以产生显著的效果攻击来源无法定位（IP欺骗）在服务端无法区分TCP连接请求是否合法第4章第3节18服务端口攻击SYNFlooding同步包风暴攻击的本质是利用TCP/IP协议集的设计弱点和缺陷只有对现有的TCP/IP协议集进行重大改变才能修正这些缺陷目前还没有一个完整的解决方案，但是可以采取一些措施尽量降低这种攻击发生的可能性第4章第3节19服务端口攻击SYNFlooding应对优化系统配置优化路由器配置使用防火墙主动监视完善基础设施第4章第3节20服务端口攻击Smurf攻击这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络数据充斥目标系统，引起目标系统拒绝为正常请求进行服务第4章第3节21服务端口攻击Smurf攻击目标主机黑客主机路由器网络主机n因特网1.黑客向网络广播地址发ICMP包2.路由器不过滤广播包5.目标主机受到大量ICMP包攻击4.网络上各个主机都向目的主机回应ICMP包网络主机1网络主机2……3.网络上各个主机都收到ICMP广播包（图中实线部分表示攻击者发出的ICMP包，虚线部分表示对目的攻击的ICMP包）第4章第3节22服务端口攻击Smurf攻击应对实际发起攻击的网络过滤掉源地址为其他网络的数据包被攻击者利用的中间网络配置路由器禁止IP广播包被攻击的目标与ISP协商，由ISP暂时阻止这些流量第4章第3节23服务端口攻击错误处理PingofDeathTeardropWinnukeLand…第4章第3节24服务端口攻击错误处理PingofDeath操作系统无法处理65536字节的ICMP包（Windows95）现在的操作系统都能处理这个错误。C:\ping-l65507-n1192.168.1.107Badvalueforoption-l,validrangeisfrom0to65500.第4章第3节25服务端口攻击错误处理Teardrop攻击举个例子来说明这个漏洞：第一个碎片：mf=1offset=0payload=20第二个碎片：mf=0offset=10payload=9memcpy拷贝第二个碎片时:memcpy((ptr+fp-offset),fp-ptr,fp-len)其中拷贝长度为：fp-len=19-20=-1；那么将拷贝过多的数据导致崩溃。第4章第3节分片标志偏移值负载长度目的源长度26服务端口攻击错误处理Winnuke攻击Windows:NetBIOS:139OOB蓝屏（操作系统核心故障）send(sock,&c,1,MSG_OOB);第4章第3节27服务端口攻击错误处理Land攻击攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能对Land攻击反应不同，许多UNIX实现将崩溃，而Windows会变的极其缓慢（大约持续五分钟）127.0.0.1第4章第3节28电子邮件轰炸在很短时间内收到大量无用的电子邮件SMTP端口(25)telnetsmtp.ercist.netsmtpTrying2.4.6.8…Connectedtosmtp.ercist.net.Escapecharacteris‘^]’.220smtp.ercist.netESMTPhelloyahoo.com250smtp.ercist.netmailfrom:abc@ercist.net250Okrcptto:def@university.net250Okdata354EnddatawithCRLF.CRLF垃圾邮件内容250Ok:queuedas96FE61C57EA7Bquit第4章第4节29电子邮件轰炸邮件列表炸弹KaBoom!这种攻击有两个特点真正的匿名，发送邮件的是邮件列表难以避免这种攻击，除非被攻击者更换电子邮件地址，或者向邮件列表申请退出病毒发送电子邮件炸弹第4章第4节30电子邮件轰炸应对配置路由器和防火墙，识别邮件炸弹的源头，不使其通过提高系统记账能力，对事件进行追踪第4章第4节31分布式拒绝服务攻击DDoS分布式拒绝服务DDoS（DistributedDenialofService）攻击是对传统DoS攻击的发展攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击第4章第5节32分布式拒绝服务攻击DDoSDDoS的三级控制结构第4章第5节33分布式拒绝服务攻击DDoS传统的拒绝服务攻击的缺点受网络资源的限制隐蔽性差DDoS克服了这两个致命弱点突破了传统攻击方式从本地攻击的局限性和不安全性其隐蔽性和分布性很难被识别和防御第4章第5节34分布式拒绝服务攻击DDoS被DDoS攻击时可能的现象被攻击主机上有大量等待的TCP连接端口随意大量源地址为假的无用的数据包高流量的无用数据造成网络拥塞利用缺陷，反复发出服务请求，使受害主机无法及时处理正常请求严重时会造成死机第4章第5节35分布式拒绝服务攻击DDoS举例DDoS工具TrinooUDPTFN（TribeFloodingNetwork）StacheldrahtTFN2K（TribeFloodingNetwork2000）多点攻击、加密传输、完整性检查、随机选择底层协议和攻击手段、IP地址欺骗、哑代理、隐藏身份等特点Trinityv3第4章第5节36分布式拒绝服务攻击DDoS技术挑战需要Internet范围的分布式响应缺少攻击的详细信息缺少防御系统的性能大范围测试的困难性社会挑战DDoS的分布性所有受保护的目标都需要防护37分布式拒绝服务攻击DDoS防御基本方式给单个主机打上补丁优化网络结构过滤危险数据包防御方法保护检测响应第4章第5节38分布式拒绝服务攻击DDoS防御方式一：保护数据源证实数据证实资