网络安全4-拒绝服务攻击.ppt

网络安全 罗 敏 武汉大学计算机学院 第3章回顾 网络扫描 网络监听 口令破解 第4章 拒绝服务攻击 本章介绍DoS攻击的定义、思想和分类，对SYN Flooding攻击、Smurf攻击、利用处理程序错误的拒绝服务攻击、电子邮件轰炸攻击和分布式拒绝服务攻击(DdoS)方法分别进行了详细的分析，并对每一种攻击提供了防范措施。 第4章 拒绝服务攻击 4.1 拒绝服务攻击概述 4.2 拒绝服务攻击分类 4.3 服务端口攻击 4.4 电子邮件轰炸 4.5 分布式拒绝服务攻击DDoS 拒绝服务攻击概述 DoS定义 拒绝服务攻击DoS（Denial of Service）是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式 这种攻击往往是针对TCP／IP协议中的某个弱点，或者系统存在的某些漏洞，对目标系统发起的大规模进攻使服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致目标网络或系统不胜负荷以至于瘫痪而无法向合法的用户提供正常的服务 拒绝服务攻击概述 从某种程度上可以说，DoS攻击永远不会消失。 而且从技术上，目前还没有根本的解诀办法。 拒绝服务攻击概述 DoS攻击思想及方法 服务器的缓冲区满，不接收新的请求 使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。这也即是DoS攻击实施的基本思想 DoS攻击的实现方式 资源消耗、服务中止、物理破坏等 拒绝服务攻击分类 攻击模式 消耗资源 网络带宽、存储空间、 CPU时间等 破坏或改变配置信息 物理破坏或者改变网络部件 利用服务程序中的处理错误使服务失效 发起方式 传统的拒绝服务攻击 分布式拒绝服务攻击（Distributed Denial of Service ） 拒绝服务攻击分类 攻击模式 消耗资源 针对网络连接的拒绝服务攻击 ping 、flooding、SYN flooding ping、finger广播包 广播风暴（SMURF攻击） 消耗磁盘空间 Email ERROR-LOG FTP站点的incoming目录 制造垃圾文件 拒绝服务攻击分类 攻击模式 消耗资源 消耗CPU资源和内存资源 拒绝服务攻击分类 攻击模式 破坏或更改配置信息 修改服务用户群(deny) 删除口令文件 拒绝服务攻击分类 攻击模式 物理破坏或改变网络部件 计算机、路由器、网络配线室、网络主干段、电源、冷却设备、其它的网络关键设备 利用服务程序中的处理错误使服务失效 LAND 拒绝服务攻击分类 攻击模式 拒绝服务攻击分析 加强管理 机房管理 设备分离 定时检查各种配置 定时检查关键资源的使用情况 定时检查升级包 服务端口攻击 SYN Flooding Smurf攻击 利用处理程序错误的拒绝服务攻击 4.3 服务端口攻击 SYN Flooding 服务端口攻击 SYN Flooding 服务端口攻击 SYN Flooding 同步包风暴拒绝服务攻击具有以下特点 针对TCP/IP协议的薄弱环节进行攻击 发动攻击时，只要很少的数据流量就可以产生显著的效果 攻击来源无法定位 在服务端无法区分TCP连接请求是否合法 服务端口攻击 SYN Flooding 同步包风暴攻击的本质是利用TCP/IP协议集的设计弱点和缺陷 只有对现有的TCP/IP协议集进行重大改变才能修正这些缺陷 目前还没有一个完整的解决方案，但是可以采取一些措施尽量降低这种攻击发生的可能性 服务端口攻击 SYN Flooding 应对 优化系统配置 优化路由器配置 使用防火墙 主动监视 完善基础设施 服务端口攻击 Smurf攻击 这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络数据充斥目标系统，引起目标系统拒绝为正常请求进行服务 服务端口攻击 Smurf攻击 服务端口攻击 Smurf攻击 应对 实际发起攻击的网络 过滤掉源地址为其他网络的数据包 被攻击者利用的中间网络 配置路由器禁止IP广播包 被攻击的目标 与ISP协商，由ISP暂时阻止这些流量 服务端口攻击 错误处理 Ping of Death Teardrop Winnuke Land … 服务端口攻击 错误处理 Ping of Death 服务端口攻击 错误处理 Teardrop攻击 服务端口攻击 错误处理 Winnuke攻击 Windows : NetBIOS : 139 OOB 蓝屏 服务端口攻击 错误处理 Land攻击 攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这