文档详情

网络攻击及其防范.ppt

发布:2016-12-20约4.5千字共26页下载文档
文本预览下载声明
第五章 网络攻击及其防范 网络攻击概述 网络攻击是指对网络系统的机密性、完整性、可用性、可控性和抗抵赖性产生危害的行为。 网络攻击的分类 拒绝服务攻击(DOS) 拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。 利用型攻击 1 口令猜测 2 特洛伊木马 3 缓冲区溢出 信息收集型攻击 1 地址扫描 2 端口扫描 3 反向映射 4 慢速扫描 5 体系结构探测 6 DNS域转换 7 Finger服务 8 LDAP服务 假消息攻击 DNS高速缓存污染 伪造电子邮件 常见网络攻击技术及其防范 1、口令入侵 2、网络监听 3、网络扫描(端口扫描) 4、DOS攻击及其防范(DOS的特点) 带宽攻击 协议攻击 逻辑攻击 syn flood SYN Flood是当前最流行的DoS(拒绝服务攻击)与DdoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。 要明白这种攻击的基本原理,还是要从TCP连接建立的过程开始:   TCP与UDP不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的:   1,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号;   2,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgment)。   3,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。   以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。    问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。 UDP洪水   UDP 洪水(UDP flood)攻击   用户数据报协议(UDP)在因特网上的应用比较广泛,很多提供WWW和Mail等服务设备通常是使用unix的服务器,他们默认打开一些被黑客恶意利用的UDP服务。如echo服务会显示接收到的每一个数据包,而原来作为测试功能的chargen(字符发生器协议)服务会在收到的每一个数据包时随机反馈一些字符。UDP flood假冒攻击就是利用这两个简单的TCP/IP服务的漏洞进行恶意攻击,通过伪造与某一主机的Chargen服务之间的一次UDP连接,恢复地址指向开着Echo服务的一台主机,通过将Chargen和Echo服务互指,来回传送毫无用处且占满宽带的垃圾数据,在两台主机之间生成足够多的无用数据流,这一拒绝服务攻击飞快地导致网络可用带宽耗尽。 Smurf攻击   Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包,来淹没受害主机,最终导致该网络的所有主机都对此
显示全部
相似文档