• / 139
  • 下载费用:20 金币  

拒绝服务攻击及防御技术课件.ppt

关 键 词:
拒绝服务 攻击 防御 技术 课件
资源描述:
将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 第 6章 拒绝服务攻击与防御技术 沈超 刘烃 系统工程研究所 自动化科学与技术系 西安交通大学电子与信息工程院 网络与信息安全 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 2 本章内容安排 6.1 拒绝服务攻击概述 6.2 典型拒绝服务攻击技术 6.3 分布式拒绝服务攻击 6.4 拒绝服务攻击的防御 6.5 分布式拒绝服务攻击的防御 6.6 小结 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 3 6.1 拒绝服务攻击概述 6.1.1 拒绝服务攻击的概念 6.1.2 拒绝服务攻击的类型 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 4 6.1.1 拒绝服务攻击的概念 拒绝服务( Denial of Service,简称 DoS),是 一种简单的破坏性攻击,通常是利用传输协议中的某 个弱点、系统存在的漏洞、或服务的漏洞,对目标系 统发起大规模的进攻,用超出目标处理能力的海量数 据包消耗可用系统资源、带宽资源等,或造成程序缓 冲区溢出错误,致使其无法处理合法用户的正常请求, 无法提供正常服务,最终致使网络服务瘫痪,甚至系 统死机。 简单的说,拒绝服务攻击就是让攻击目标瘫痪的一种 “ 损人不利己 ” 的攻击手段。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 5 6.1.1 拒绝服务攻击的概念 历史上最著名的拒绝服务攻击服务恐怕要数 Morris蠕虫事件, 1988年 11月,全球众 多连在因特网上的计算机在数小时内无法正 常工作,这次事件中遭受攻击的包括个计 算机中心和 12个地区结点,连接着政府、大 学、研究所和拥有政府合同的 25万台计算机。 这次病毒事件,使计算机系统直接经济损失 达 9600万美元。 许多知名网站如 Yahoo、 eBay、 CNN、百 度、新浪等都曾遭受过 DoS攻击。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 6 6.1.1 拒绝服务攻击的概念 拒绝服务攻击可能是蓄意的,也可能是偶 然的。 当未被授权的用户过量使用资源时,攻击 是蓄意的;当合法用户无意地操作而使得 资源不可用时,则是偶然的。 应该对两种拒绝服务攻击都采取预防措施。 但是拒绝服务攻击问题也一直得不到合理 的解决,究其原因是因为这是 由于网络协 议本身的安全缺陷造成的 。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 7 6.1.2 拒绝服务攻击的类型 最常见的 DoS攻击是利用合理的服务请求 来占用过多的服务资源,致使服务超载,无 法响应其他的请求。 这些服务资源包括网络带宽、文件系统空间 容量、开放的进程、向内的连接等。 这种攻击会导致资源的匮乏,无论计算机的 处理速度多么快,内存容量多么大,互联网 带宽多么大都无法避免这种攻击带来的后果。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 8 6.1.2 拒绝服务攻击的类型 从实施 DoS攻击所用的思路来看, DoS攻击可以分为: 滥用合理的服务请求 过度地请求系统的正常服务,占用过多服务资源,致使系统超载。 这些服务资源通常包括网络带宽、文件系统空间容量、开放的进程 或者连接数等 制造高流量无用数据 恶意地制造和发送大量各种随机无用的数据包,用这种高流量的无 用数据占据网络带宽,造成网络拥塞 利用传输协议缺陷 构造畸形的数据包并发送,导致目标主机无法处理,出现错误或崩 溃,而拒绝服务 利用服务程序的漏洞 针对主机上的服务程序的特定漏洞,发送一些有针对性的特殊格式 的数据,导致服务处理错误而拒绝服务 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 9 6.1.2 拒绝服务攻击的类型 按漏洞利用方式分类, DoS攻击可以分为: 特定资源消耗类 主要利用 TCP/IP协议栈、操作系统或应用程序设计上的 缺陷,通过构造并发送特定类型的数据包,使目标系统 的协议栈空间饱和、操作系统或应用程序资源耗尽或崩 溃,从而达到 DoS的目的。 暴力攻击类 依靠发送大量的数据包占据目标系统有限的网络带宽或 应用程序处理能力来达到攻击的目的。通常暴力攻击需 要比特定资源消耗攻击使用更大的数据流量才能达到目 的。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 10 6.1.2 拒绝服务攻击的类型 按攻击数据包发送速率变化方式, DoS攻击可分为: 固定速率 可变速率 根据数据包发送速率变化模式,又可以分为震荡变化型 和持续增加型。 震荡变化型变速率发送方式间歇性地发送数据包,使入 侵检测系统难以发现持续的异常。 持续增加型变速率发送方式可以使攻击目标的性能缓慢 下降,并可以误导基于学习的检测系统产生错误的检测 规则。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 11 6.1.2 拒绝服务攻击的类型 按攻击可能产生的影响, DoS攻击可以分为: 系统或程序崩溃类 根据可恢复的程度,系统或程序崩溃类又可以分为:自 我恢复类、人工恢复类、不可恢复类等。 自我恢复类是指当攻击停止后系统功能可自动恢复正常。 人工恢复类是指系统或服务程序需要人工重新启动才能 恢复。不可恢复类是指攻击给目标系统的硬件设备、文 件系统等造成了不可修复性的损坏。 服务降级类 系统对外提供服务的服务下降 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 12 典型案例:百度遭受大规模 SYN Flooding攻击 2006年 9月 12日下午,百度遭受有史以来最大规 模的不明身份黑客攻击,导致百度搜索服务在全国 各地出现了近 30分钟的故障,黑客所使用的手段 是 Syn Flooding分布式拒绝服务攻击。 新华网报道: /2006-09/14/content_5089683.htm 下页是新闻的部分截图。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 13 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 14 6.2 典型拒绝服务攻击技术 6.2.1 Ping of Death 6.2.2 泪滴( Teardrop) 6.2.3 IP欺骗 DoS攻击 6.2.4 UDP洪水 6.2.5 SYN洪水 6.2.6 Land攻击 6.2.7 Smurf攻击 6.2.8 Fraggle攻击 6.2.9 电子邮件炸弹 6.2.10 畸形消息攻击 6.2.11 Slashdot effect 6.2.12 WinNuke攻击 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 15 6.2.1 Ping of Death Ping是一个非常著名的程序,这个程序的目的是 为了测试另一台主机是否可达。现在所有的操作系 统上几乎都有这个程序,它已经成为系统的一部分。 Ping程序的目的是为了查看网络上的主机是否处 于活动状态。 通过发送一份 ICMP回显请求报文给目的主机,并 等待返回 ICMP回显应答,根据回显应答的内容判 断目的主机的状况。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 16 6.2.1 Ping of Death Ping之所以会造成伤害是源于早期操作系统在处 理 ICMP协议数据包存在漏洞。 ICMP协议的报文长度是固定的,大小为 64KB, 早期很多操作系统在接收 ICMP数据报文的时候, 只开辟 64KB的缓存区用于存放接收到的数据包。 一旦发送过来的 ICMP数据包的实际尺寸超过 64KB(65536B),操作系统将收到的数据报文 向缓存区填写时,报文长度大于 64KB,就会产 生一个缓存溢出,结果将导致 TCP/IP协议堆栈 的崩溃,造成主机的重启动或是死机。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 17 6.2.1 Ping of Death Ping程序有一个“ -l”参数可指定发送数据包的 尺寸,因此,使用 Ping这个常用小程序就可以简 单地实现这种攻击。例如通过这样一个命令: Ping -l 65540 192.168.1.140 如果对方主机存在这样一个漏洞,就会形成一次 拒绝服务攻击。这种攻击被称为“死亡之 Ping”。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 18 6.2.1 Ping of Death 现在的操作系统都已对这一漏洞进行了修补。对可 发送的数据包大小进行了限制。 在 Windows xp sp2操作系统中输入这样的命令: Ping -l 65535 192.168.1.140 系统返回这样的信息: Bad value for option -l, valid range is from 0 to 65500. 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 19 6.2.1 Ping of Death Ping Of Death攻击的攻击特征、检测方法 和反攻击方法总结如下: 攻击特征 :该攻击数据包大于 65535个字节。由于 部分操作系统接收到长度大于 65535字节的数据包 时,就会造成内存溢出、系统崩溃、重启、内核失 败等后果,从而达到攻击的目的。 检测方法 :判断数据包的大小是否大于 65535个字 节。 反攻击方法 :使用新的补丁程序,当收到大于 65535个字节的数据包时,丢弃该数据包,并进行 系统审计。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 20 6.2.2 泪滴( Teardrop) “泪滴 ” 也被称为分片攻击,它是一种典型 的利用 TCP/IP协议的问题进行拒绝服务攻 击的方式,由于第一个实现这种攻击的程序 名称为 Teardrop,所以这种攻击也被称为 “ 泪滴 ” 。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 21 6.2.2 泪滴( Teardrop) 两台计算机在进行通信时,如果传输的数据量较 大,无法在一个数据报文中传输完成,就会将数 据拆分成多个分片,传送到目的计算机后再到堆 栈中进行重组,这一过程称为“分片”。 为了能在到达目标主机后进行数据重组, IP包的 TCP首部中包含有信息(分片识别号、偏移量、 数据长度、标志位)说明该分段是原数据的哪一 段,这样,目标主机在收到数据后,就能根据首 部中的信息将各分片重新组合还原为数据。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 22 例子 P S H 1 : 1 0 2 5 P S H 1 0 0 0 : 2 0 4 9 P S H 2 0 4 9 : 3 0 7 3 1 3 2 4 5 6 P S H 1 : 1 0 2 5 P S H 2 0 4 9 : 3 0 7 3 P S H 1 0 2 5 : 2 0 4 9 P S H A C K 试 图 重 组 时 主 机 崩 溃 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 23 例子 (2) 如上图所示,从客户机向服务器发送一个数 据报文无法发送完成的数据,这些数据会被 分片发送。 报文 1、 2、 3是 TCP连接的三次握手过程, 接着 4、 5、 6客户机向服务器发送三个报文, 在这三个数据报文首部信息中,有每个报文 的分片信息。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 24 例子 (3) 这就是报文重组的信息 : PSH 1:1025(1024) ack 1, win 4096 PSH 1025:2049(1024) ack 1, win 4096 PSH 2049:3073(1024) ack 1, win 4096 在这个报文中,可以看到在第 4、 5、 6这三个报文 中,第 4个发送的数据报文中是原数据的第 1 1025字节内容,第 5个发送的报文包含的是第 1025 2048字节,第 6个数据报文是第 2049 3073个字节,接着后面是继续发送的分片和服务 器的确认。当这些分片数据被发送到目标主机后, 目标主机就能够根据报文中的信息将分片重组,还 原出数据。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 25 例子 (4) 如果入侵者伪造数据报文,向服务器发送含有重 叠偏移信息的分段包到目标主机,例如如下所列 的分片信息: PSH 1:1025(1024) ack1, win4096 PSH 1000:2049(1024) ack1, win4096 PSH 2049:3073(1024) ack1, win4096 这样的信息被目的主机收到后,在堆栈中重组时, 由于畸形分片的存在,会导致重组出错,这个错 误并不仅仅是影响到重组的数据,由于协议重组 算法,会导致内存错误,引起协议栈的崩溃。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 26 6.2.2 泪滴( teardrop) 泪滴攻击的攻击特征、检测方法和反攻击 方法总结如下: 攻击特征 : Teardrop工作原理是向被攻击者 发送多个分片的 IP包,某些操作系统收到含有 重叠偏移的伪造分片数据包时将会出现系统崩 溃、重启等现象。 检测方法 :对接收到的分片数据包进行分析, 计算数据包的片偏移量( Offset)是否有误。 反攻击方法 :添加系统补丁程序,丢弃收到的 病态分片数据包并对这种攻击进行审计。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 27 6.2.3 IP欺骗 DoS攻击 这种攻击利用 RST位来实现。 假设现在有一个合法用户 (61.61.61.61)已经同 服务器建立了正常的连接,攻击者构造攻击的 TCP 数据,伪装自己的 IP为 61.61.61.61,并向服务 器发送一个带有 RST位的 TCP数据段。服务器接收 到这样的数据后,认为 61.61.61.61发送的连接 有错误,就会清空缓冲区中建立好的连接。 这时,如果合法用户 61.61.61.61再发送合法数 据,服务器就已经没有这样的连接了,该用户就必 须从新开始建立连接。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 28 6.2.3 IP欺骗 DoS攻击 攻击时,攻击者会伪造大量的 IP地址, 向目标发送 RST数据,使服务器不对合 法用户服务,从而实现了对受害服务器 的拒绝服务攻击。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 29 6.2.4 UDP洪水 UDP洪水( UDP flood)主要是利用主机能自动 进行回复的服务(例如使用 UDP协议的 chargen 服务和 echo服务)来进行攻击。 很多提供 WWW和 Mail等服务设备通常是使用 Unix的服务器,它们默认打开一些被黑客恶意利 用的 UDP服务。如 echo服务会显示接收到的每一 个数据包,而原本作为测试功能的 chargen服务 会在收到每一个数据包时随机反馈一些字符。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 30 6.2.4 UDP洪水 当我们向 echo服务的端口发送一个数据时, echo服务会将同样的数据返回给发送方,而 chargen服务则会随机返回字符。 当两个或两个以上系统存在这样的服务时,攻击者 利用其中一台主机向另一台主机的 echo或者 chargen服务端口发送数据, echo和 chargen 服务会自动进行回复,这样开启 echo和 chargen服务的主机就会相互回复数据。 由于这种做法使一方的输出成为另一方的输入,两 台主机间会形成大量的 UDP数据包。当多个系统 之间互相产生 UDP数据包时,最终将导致整个网 络瘫痪。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 31 UDP洪水实例( UDP-Flood) IP/hostname和 port:输入目标主机 的 IP地址和端口号; Max duration:设 定最长的攻击时间; Speed:设置 UDP包 发送速度; Data:指定发送的 UDP数据包中包含的 内容。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 32 UDP洪水实例 (2) 对局域网网内的一 台计算机 192.168.1.34 发起 UDP Flood 攻击,发包速率为 250PPS。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 33 UDP洪水实例 (3) 在被攻击的计算机 192.168.1.34上 打开 Sniffer工具,可以捕捉由攻击 者计算机发到本机的 UDP数据包,可 以看到内容为 “ ***** UDP Flood. Server stress test *****”的大量 UDP数据包,如下页 图所示。 如果加大发包速率和增加攻击机的数量, 则目标主机的处理能力将会明显下降。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 34 UDP“洪水 ” 实例 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 35 6.2.5 SYN洪水 SYN Flood是当前最流行的拒绝服务攻击方式之 一,这是一种利用 TCP协议缺陷,发送大量伪造的 TCP连接请求,使被攻击方资源耗尽 (CPU满负荷 或内存不足 )的攻击方式。 SYN Flood是利用 TCP连接的三次握手过程的特 性实现的。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 36 6.2.5 SYN洪水 在 TCP连接的三次握手过程中,假设一个客户端 向服务器发送了 SYN报文后突然死机或掉线,那 么服务器在发出 SYN/ACK应答报文后是无法收 到客户端的 ACK报文的,这种情况下服务器端一 般会重试,并等待一段时间后丢弃这个未完成的 连接。这段时间的长度我们称为 SYN Timeout。 一般来说这个时间是分钟的数量级。 一个用户出现异常导致服务器的一个线程等待 1分 钟并不是什么很大的问题,但如果有一个恶意的 攻击者大量模拟这种情况 (伪造 IP地址 ),服务器 端将为了维护一个非常大的半连接列表而消耗非 常多的资源。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 37 6.2.5 SYN洪水 即使是简单的保存并遍历半连接列表也会消耗非 常多的 CPU时间和内存,何况还要不断对这个列 表中的 IP进行 SYN+ACK的重试。 实际上如果服务器的 TCP/IP栈不够强大,最后 的结果往往是堆栈溢出崩溃 既使服务器端的 系统足够强大,服务器端也将忙于处理攻击者伪 造的 TCP连接请求而无暇理睬客户的正常请求, 此时从正常客户的角度看来,服务器失去响应, 这种情况就称作:服务器端受到了 SYN Flood攻 击 (SYN洪水攻击 )。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 38 SYN“洪水 ” 攻击示意图 入 侵 者 用 户 服 务 器 服 务 器 ( S Y N ) H e l l o , I m 1 . 1 . 1 . 1 ( S Y N ) H e l l o , I m h e r e I m w a i t i n g I m w a i t i n g I m w a i t i n g I m w a i t i n g I m w a i t i n g I m w a i t i n g I m r e a d y , I m w a i t i n g y o u S o r r y , I m b u s y 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 39 SYN“洪水 ” 攻击实例 局域网环境,有一台攻击机 ( PIII667/128/mandrake),被攻 击的是一台 Solaris 8.0 的主机,网络设 备是 Cisco的百兆交换机。 后面将显示在 Solaris上进行 snoop抓包 的记录。 注: snoop与 tcpdump等网络监听工具 一样,是一个网络抓包与分析工具。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 40 SYN“洪水 ” 攻击实例 (2) 攻击示意图: 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 41 SYN“洪水 ” 攻击实例 (3) 攻击机开始发包, DoS开始了 ,突然间 Solaris主机上的 snoop窗口开始飞速地翻 屏,显示出接到数量巨大的 Syn请求。这时 的屏幕就好象是时速 300公里的列车上的一 扇车窗。 Syn Flood攻击时的 snoop输出结果如下 页图所示。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 42 SYN“洪水 ” 攻击实例 (4) 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 43 SYN“洪水 ” 攻击实例 (4) 此时,目标主机再也收不到刚才那些正常的 网络包,只有 DoS包。 大家注意一下,这里所有的 Syn Flood攻 击包的源地址都是伪造的,给追查工作带来 很大困难。 这时在被攻击主机上积累了多少 Syn的半连 接呢?用 netstat来看一下: # netstat -an | grep SYN。 结果如下页图所示。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 44 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 45 SYN“洪水 ” 攻击实例 (5) 其中 SYN_RCVD表示当前未完成的 TCP SYN队列,统计一下( wc 是文件内容统计命令, -l选项表示统计行数): # netstat -an | grep SYN | wc -l 5273 # netstat -an | grep SYN | wc -l 5154 # netstat -an | grep SYN | wc -l 5267 .. 共有五千多个 Syn的半连接存储在内存中。这时候被攻击机已经不能 响应新的服务请求了,系统运行非常慢,也无法 ping通。而这只是在攻击 发起后仅仅 70秒钟左右时的情况。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 46 SYN“洪水 ” 的防御 SYN洪水攻击比较难以防御,以下是几种 解决方法: 缩短 SYN Timeout时间 设置 SYN Cookie 负反馈策略 退让策略 分布式 DNS负载均衡 防火墙 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 47 缩短 SYN Timeout时间 由于 SYN Flood攻击的效果取决于服务器 上保持的 SYN半连接数,这个值 =SYN攻 击的频度 x SYN Timeout,所以通过缩 短从接收到 SYN报文到确定这个报文无效 并丢弃该连接的时间,可以成倍的降低服务 器的负荷。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 48 设置 SYN Cookie 就是给每一个请求连接的 IP地址分配一个 Cookie,如果短时间内连续受到某个 IP的 重复 SYN报文,就认定是受到了攻击,以 后从这个 IP地址来的包会被丢弃。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 49 负反馈策略 正常情况下, OS对 TCP连接的一些重要参数有一 个常规的设置: SYN Timeout时间、 SYN- ACK的重试次数、 SYN报文从路由器到系统再到 Winsock的延时等等。 这个常规设置针对系统优化,可以给用户提供方 便快捷的服务;一旦服务器受到攻击, SYN Half link 的数量超过系统中 TCP活动 Half link最大 连接数的设置,系统将会认为自己受到了 SYN Flood攻击,并将根据攻击的判断情况作出反应: 减短 SYN Timeout时间、减少 SYN-ACK的重 试次数、自动对缓冲区中的报文进行延时等等措 施,力图将攻击危害减到最低。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 50 退让策略 退让策略是基于 SYN Flood攻击代码的一个缺陷: SYN Flood一旦攻击开始,将不会再进行域名解 析。 切入点:假设一台服务器在受到 SYN Flood攻击 后迅速更换自己的 IP地址,那么攻击者仍在不断 攻击的只是一个空的 IP地址,并没有任何主机, 而防御方只要将 DNS解析更改到新的 IP地址就能 在很短的时间内恢复用户通过域名进行的正常访 问。 为了迷惑攻击者,我们甚至可以放置一台 “ 牺牲 ” 服务器让攻击者满足于攻击的 “ 效果 ” 。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 51 分布式 DNS负载均衡 在众多的负载均衡架构中,基于 DNS解析 的负载均衡本身就拥有对 SYN Flood的免 疫力。 基于 DNS解析的负载均衡能将用户的请求 分配到不同 IP的服务器主机上,攻击者攻 击的永远只是其中一台服务器,一来这样增 加了攻击者的成本,二来过多的 DNS请求 可以帮助我们追查攻击者的真正踪迹。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 52 防火墙 在防火墙设置了正确的规则后,可以识别 SYN Flood攻击所采用的攻击方法,并将 攻击包阻挡在外。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 53 6.2.6 Land攻击 Land是因特网上最常见的拒绝服务攻击类 型,它是由著名黑客组织 rootshell发现的。 原理很简单,向目标机发送大量的源地址和 目标地址相同的包,造成目标机解析 Land 包时占用大量的系统资源,从而使网络功能 完全瘫痪。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 54 6.2.6 Land攻击 Land攻击也是利用 TCP的三次握手过程的缺陷进 行攻击。 Land攻击是向目标主机发送一个特殊的 SYN包, 包中的源地址和目标地址都是目标主机的地址。 目标主机收到这样的连接请求时会向自己发送 SYN/ACK数据包,结果导致目标主机向自己发 回 ACK数据包并创建一个连接。 大量的这样的数据包将使目标主机建立很多无效 的连接,系统资源被大量的占用。 将贮存的编码信息转化为成适当的行为。观察者为了重现示范动作和产生最佳的行为模式,必须具备一定的运动技能,这一方面需要机体的成熟,另一方面需要不断实践。 2020/9/20 网络入侵与防范讲义 55 6.2.6 Land攻击 Land攻击示意图: 入 侵 者 . . . ( S Y N ) H e l l o , I m 1 . 1 . 1 . 1 S Y N +
展开阅读全文
  亿读文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
关于本文
本文标题:拒绝服务攻击及防御技术课件.ppt
链接地址:http://www.yddocs.com/p-2795020.html
侵权投诉举报 - 关于我们 - 联系我们 - 用户协议 - 网站免责声明 - 网站地图 - 帮助中心 - 人才招聘

本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是中间服务平台,本站文档被用户下载所得收益归上传人(含作者)所有。本站是网络服务平台方,若您的权利被侵害,侵权客服QQ:1444168621 欢迎举报。

copyright@ 2019-2029 亿读文库-在线文档分享下载平台 网站版权所有

ICP许可证编号:黔ICP备19010449号      贵公网安备 52052702000145号





收起
展开