当前位置:文档之家 › 第16讲拒绝服务攻击-精品

第16讲拒绝服务攻击-精品

  • 格式:ppt
  • 大小:621.02 KB
  • 文档页数:71

下载文档原格式

  / 71

合集下载

拒绝服务攻击课件

拒绝服务攻击课件
拒绝服务攻击课件
由于TCP/IP相信数据包的源IP地址,攻击者还可以伪 造源IP地址,如图6-8所示,给追查造成很大的的困 难。SYN Flood攻击除了能影响主机外,还危害路由 器、防火墙等网络系统,事实上SYN Flood攻击并不 管目标是什么系统,只要这些系统打开TCP服务就可 以实施。
拒绝服务攻击课件
• 资源消耗 带宽耗尽攻击 系统资源耗尽攻击
• 服务中止 • 物理破坏
拒绝服务攻击课件
按受害者类型可以分为服务器端拒绝服 务攻击和客户端拒绝服务攻击。
• 服务器端拒绝服务攻击 • 客户端拒绝服务攻击
拒绝服务攻击课件
按攻击是否针对受害者,可以分为直接拒绝 服务攻击和间接拒绝服务攻击。
按攻击地点来分可以分为本地攻击和网络攻 击。
关于SYN Flood攻击的防范,目前许多防火墙和路由 器都可以做到。首先关闭不必要的TCP/IP服务,对防 火墙进行配置,过滤来自同一主机的后续连接,然后 根据实际的情况来判断。
拒绝服务攻击课件
修改注册表,防止SYN攻击
一、单击“开始”——“运行”输入 “regedit”,单击“确定”按钮,打开注册 表。
拒绝服务攻击课件
、在弹出的“编辑DWORD值”对话框数值数据 栏中输入“2”
拒绝服务攻击课件
四、单击“确定”,继续在注册表中添加下列键值, 防范SYN洪水攻击。 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0

拒绝服务攻击的叙述

拒绝服务攻击的叙述

拒绝服务攻击的叙述
拒绝服务攻击(Denial of Service Attack,简称DoS攻击)是
指通过向目标系统发送大量无效或恶意请求,使目标系统无法正常提
供服务的一种网络攻击手段。

在拒绝服务攻击中,攻击者利用自己的计算机或控制的僵尸网络(botnet)向目标系统发送大量的网络请求,以消耗目标系统的带宽、计算资源或存储资源。

这样一来,目标系统就无法处理正常的用户请求,从而造成服务不可用的情况。

DoS攻击的目的通常是瘫痪目标系统或网络,使其无法正常工作,阻止合法用户访问该系统或网络。

这种攻击方式可以导致目标系统的
服务暂时中断或长时间停止服务,给其运营者和用户带来极大的不便。

为了进行拒绝服务攻击,攻击者通常采用各种手段,如洪水攻击、缓冲区溢出攻击、合成流量攻击等。

无论使用何种攻击手段,其最终
目的都是占用目标系统的资源,使其无法正常运行。

为了防止拒绝服务攻击,系统管理员可以采取一系列措施,如增加带
宽容量、使用入侵检测和预防系统、过滤恶意请求等等。

此外,监控
系统日志、定期备份数据以及设置灾备方案也是必要的防御措施。

由于拒绝服务攻击具有易于实施、难以追踪的特点,对于网络安
全的保护和预防是至关重要的。

及时发现并应对拒绝服务攻击,对于
保障系统和网络的正常运行非常重要。

拒绝服务攻击及预防措施

拒绝服务攻击及预防措施

拒绝服务攻击及预防措施拒绝服务攻击(Denial-of-Service Attack,简称DoS攻击)是一种常见的网络攻击方式,它以意图使目标系统无法正常提供服务的方式进行攻击,给网络安全带来了严重的威胁。

本文将介绍拒绝服务攻击的原理和常见类型,并提供一些预防措施以保护系统免受此类攻击的影响。

一、拒绝服务攻击的原理拒绝服务攻击的核心原理是通过向目标系统发送大量的请求,耗尽其处理能力或网络带宽,从而使其无法对合法用户提供正常服务。

攻击者可以利用多种方式进行DoS攻击,下面是一些常见的攻击类型:1. 集中式DoS攻击(Conventional DoS Attack)集中式DoS攻击是指通过一个或多个源(攻击者)向目标服务器发送大量请求。

这种攻击利用了网络协议本身的设计漏洞或系统资源限制,例如TCP/IP握手过程中的资源消耗问题,使得目标服务器无法正常处理合法用户请求。

2. 分布式拒绝服务攻击(Distributed Denial-of-Service Attack,简称DDoS攻击)分布式拒绝服务攻击是由多个不同的源(攻击者)同时向目标系统发起攻击,通过同时攻击的规模和多样性来超过目标系统的处理能力。

攻击者通常通过僵尸网络(Botnet)来执行此类攻击。

二、拒绝服务攻击的预防措施为了有效地应对拒绝服务攻击,以下是一些常见的预防措施:1. 增加网络带宽网络带宽是系统处理大量请求的关键资源之一。

增加网络带宽可以提高系统的处理能力,减轻拒绝服务攻击带来的影响。

同时,合理使用流量限制等机制可以控制并阻止一些恶意流量对系统的影响。

2. 强化网络设备和操作系统的安全性网络设备和操作系统的安全性是防范拒绝服务攻击的重要环节。

更新并及时修补设备和操作系统的安全漏洞,使用最新的防火墙、入侵检测系统和安全软件等网络安全工具来检测和阻止攻击流量。

3. 流量过滤和负载均衡通过使用流量过滤和负载均衡等技术,可以识别和过滤掉来自攻击者的恶意流量,将合法用户的请求分配到不同的服务器中进行处理,从而防止拒绝服务攻击对目标系统造成影响。

拒绝服务攻击(拒绝服务攻击原理、常见方法及防范)

拒绝服务攻击(拒绝服务攻击原理、常见方法及防范)

网络安全原理与应用系别:计算机科学与技术系班级:网络信息与技术姓名:x x x 学号:xxxxxxxxxxxxx拒绝服务攻击原理、常见方法及防范什么是DOS攻击DOS :即Denial Of Service,拒绝服务的缩写,可不能认为是微软的dos操作系统了。

DOS攻击即攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。

比如:试图FLOOD服务器,阻止合法的网络通讯*破坏两个机器间的连接,阻止访问服务*阻止特殊用户访问服务*破坏服务器的服务或者导致服务器死机不过,只有那些比较阴险的攻击者才单独使用DOS攻击,破坏服务器。

通常,DOS攻击会被作为一次入侵的一部分,比如,绕过入侵检测系统的时候,通常从用大量的攻击出发,导致入侵检测系统日志过多或者反应迟钝,这样,入侵者就可以在潮水般的攻击中混骗过入侵检测系统。

DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。

DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。

单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。

随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的”消化能力”加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。

这时侯分布式的拒绝服务攻击手段(DDoS )就应运而生了。

你理解了DoS攻击的话,它的原理就很简单。

如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。

什么是拒绝服务攻击

什么是拒绝服务攻击

双向通信方式是指根据攻击端接收到的控制数据包中包含了控制者的真实IP地址,例如当控制器使用TCP与攻击机连接时,该通信方式就是双向通信。这种通信方式,可以很容易地从攻击机查找到其上一级的控制器。
单向通信方式指的是攻击者向攻击机发送指令时的数据包并不包含发送者的真实地址信息,例如用伪造IP地址的UDP包向攻击机发送指令。这一类的攻击很难从攻击机查找到控制器,只有通过包标记等IP追踪手段,才有可能查找到给攻击机发送指令的机器的真实地址。但是,这种通信方式在控制上存在若干局限性,例如控制者难以得到攻击机的信息反馈和状态。
8.Fraggle攻击
原理:Fraggle攻击实际上就是对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP。
拒绝服务攻击的属性分类法
J.Mirkovic和P. Reiher
[Mirkovic04]提出了拒绝服务攻击的属性分类法,即将攻击属性分为攻击静态属性、攻击动态属性和攻击交互属性三类,根据DoS攻击的这些属性的不同,就可以对攻击进行详细的分类。凡是在攻击开始前就已经确定,在一次连续的攻击中通常不会再发生改变的属性,称为攻击静态属性。攻击静态属性是由攻击者和攻击本身所确定的,是攻击基本的属性。那些在攻击过程中可以进行动态改变的属性,如攻击的目标选取、时间选择、使用源地址的方式,称为攻击动态属性。而那些不仅与攻击者相关而且与具体受害者的配置、检测与服务能力也有关系的属性,称为攻击交互属性。
间接通信方式是一种通过第三者进行交换的双向通信方式,这种通信方式具有隐蔽性强、难以追踪、难以监控和过滤等特点,对攻击机的审计和追踪往往只能追溯到某个被用于通信中介的公用服务器上就再难以继续进行。这种通信方式目前已发现的主要是通过IRC(Internet

拒绝服务攻击及防御

拒绝服务攻击及防御

碎片(Teardrop)攻击
攻击特征:
Teardrop是基于UDP的病态分片数据包的攻击方法,其工作 原理是向被攻击者发送多个分片的IP包(IP分片数据包中包 括该分片数据包属于哪个数据包以及在数据包中的位置等 信息),某些操作系统收到含有重叠偏移的伪造分片数据 包时将会出现系统崩溃、重启等现象。
攻击源地址类型 攻击包数据生成模式 攻击目标类型
交互属性(Mutual)
攻击的可检测程度 式(ControlMode)
攻击控制方式直接关系到攻击源的隐蔽程度。根据攻击者 控制攻击机的方式可以分为以下三个等级:直接控制方式 (Direct)、间接控制方式(Indirect)和自动控制方式 (Auto)。
信息收集
占领傀儡机
攻击实施
DDOS攻击的典型过程
占领傀儡机 实施攻击
信息收集
占领傀儡机
攻击实施
拒绝服务攻击原理
典型的拒绝服务攻击
剧毒包型DoS攻击
WinNuke攻击 碎片(Teardrop)攻击 Land攻击 Ping of death攻击
WinNuke攻击
攻击特征:
攻击动态属性(Dynamic)
(3)攻击目标类型(Target)
攻击目标类型可以分为以下6类:
应用程序(Application) 系统(System) 网络关键资源(Critical) 网络(Network) 网络基础设施(Infrastructure) 因特网(Internet)
(2)攻击影响(Impact)
根据攻击对目标造成的破坏程度,攻击影响自低向高可以分为:
无效(None) 服务降低(Degrade) 可自恢复的服务破坏(Self-recoverable) 可人工恢复的服务破坏(Manu-recoverable) 不可恢复的服务破坏(Non-recoverable)

拒绝服务攻击PPT


17
RDoS的优点 的优点
1. 最重要的是反射式拒绝服务攻击所发送的请求 与连接都是真实的,并且是有效的,这就造成 了被攻击服务器在受到攻击时不容易被察觉, 并且被攻击服务器上的安全策略与防火墙实际 都处于毫无用处的状态,因为防火墙与安全规 则无法阻止正常的网络请求与连接。 2.就是攻击的开始与停止都变的极为方便。
3
DOS攻击的实现方式分为 类 攻击的实现方式分为2类 攻击的实现方式分为
1.消耗计算机中匮乏的,有限的或不可再生的资 源。(网络带宽,存储器,cpu时间和资源,数 据结构) 2.破坏或改变计算机或网络中配置信息。(改变 网络路由信息,改变windowsNT注册信息) 备注:SYN flooding入侵消耗的是核心数据结构方法: 的防御方法
优化路由和网络结构 优化对外开放访问的主机 确保主机不被入侵和主机的安全 发现正在实施攻击时,必须立刻关闭系统并进 行调试
12
分布式拒绝服务攻击DDoS优点 分布式拒绝服务攻击 优点
1.攻击力大 2.其隐蔽性和 分布性很难被识别和防御
13
第4章 第1节
15
RDoS
原因就是攻击者使用了一种新式的DDOS攻击 方式,“反射式拒绝服务攻击(RDoS)”这 种新式的攻击手段在国内并不多见,并且这种 攻击程序在互联网上也很难下载到。我们知道, 分布式拒绝服务攻击的原理是通过大量的主机 (肉鸡)不断发送虚假的TCP连接请求给服务 器,但却不回应,从而使服务器过载,造成服 务器的瘫痪。
网络攻击与防御 -拒绝服务
信安071 姓名:彭尼敏
学号:2007122005
韩国主要网站同时遭黑客攻击
7月8日,一名韩国警察厅官员在位 于首尔的警察厅总部介绍黑客 攻击政府网站的情况。

第16讲拒绝服务攻击

主要利用TCP/IP协议栈、操作系统或应用程序设计上的缺陷,通过构造并发送 特定类型的数据包,使目标系统的协议栈空间饱和、操作系统或应用程序资源 耗尽或崩溃,从而达到DoS的目的。
暴力攻击类
依靠发送大量的数据包占据目标系统有限的网络带宽或应用程序处理能力来达 到攻击的目的。通常暴力攻击需要比特定资源消耗攻击使用更大的数据流量才 能达到目的。
如果对方主机存在这样一个漏洞,就会形成一次拒绝服务攻击。这种 攻击被称为“死亡之Ping”。
2019/6/13
15
6.2.1 Ping of Death
现在的操作系统都已对这一漏洞进行了修补。对可发 送的数据包大小进行了限制。
在Windows xp sp2操作系统中输入这样的命令: Ping -l 65535 192.168.1.140 系统返回这样的信息: Bad value for option -l, valid range is from 0 to 65500.
第16讲 拒绝服务攻击
拒绝服务攻击的概念
拒绝服务( Denial of Service,简称DoS),是一种简单的破坏性攻击,通常 是利用传输协议中的某个弱点、系统存在的漏洞、或服务的漏洞,对目标系 统发起大规模的进攻,用超出目标处理能力的海量数据包消耗可用系统资源、 带宽资源等,或造成程序缓冲区溢出错误,致使其无法处理合法用户的正常 请求,无法提供正常服务,最终致使网络服务瘫痪,甚至系统死机。
20
例子(2)
如上图所示,从客户机向服务器发送一个数据报文无法发送完成 的数据,这些数据会被分片发送。
报文1、2、3是TCP连接的三次握手过程,接着4、5、6客户机向 服务器发送三个报文,在这三个数据报文首部信息中,有每个报 文的分片信息。

拒绝服务攻击

❖ DoS攻击降低了资源的可用性,这些资源可以是磁盘空间、 CPU使用的时间、打印机、调制解调器等,目的是使计算机 或网络无法提供正常的服务。最常见的DoS攻击有计算机网 络带宽攻击和连通性攻击。
1.1 拒绝服务攻击概述
❖ DoS攻击主要是由以下两种情况引起: ❖ (1)由程序员所编程序的错误造成。由于程序员对程序错误的编制,导致系
2.DDoS攻击的原理
❖ 通常,攻击者通过木马将DDoS主控程序安装在Internet上的许 多计算机上,在一个设定的时间内,主控程序与大量代理程序通 信,代理程序收到指令时就发动攻击。利用客户机/服务器技术, 主控程序能在几秒内激活成百上千次代理程序的运行。这些计算 机就如同传说中的“僵尸”一样被黑客所控制,有了大量“僵尸” 或者称为傀儡机的计算机,发起DDoS攻击将是一件轻而易举的事。
统不停地建立进程,最终耗尽资源,只能重新启动机器。不同的系统平台都会 采取某些方法防止一些特殊的用户占用过多的系统资源,建议尽量采用资源管 理的方式降低这种安全威胁。 ❖ (2)由磁盘存储空间引起。假如一个用户有权利存储大量的文件,那么他可 能只为系统留下很小的空间用来存储日志文件等系统信息。这种不良的操作习 惯会给系统留下隐患。此时,应对系统配额作出考虑。
网络安全技术
1.2 分布式拒绝服务攻击
❖ 分布式拒绝服务DDoS攻击指借助于客户机/服务器技术, 将多个计算机联合起来作为攻击平台,对一个或多个目标 发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。
1.DDoS与DoS
❖ DDoS是在传统的DoS攻击基础之上产生的一类攻击方式。单一 的DoS攻击一般是采用一对一的方式,当攻击目标的CPU速度、 内存或者网络带宽等各项性能指标不高时,它的效果是明显的。 随着计算机与网络技术的发展,计算机的处理能力迅速增强, 内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻 击的困难程度加大了。目标主机对恶意攻击包的“消化能力” 大大加强。例如,攻击软件每秒可以发送3 000个攻击包,但 如果主机与网络带宽每秒钟可以处理10 000个攻击包,这样 一来攻击就不会产生什么效果。

拒绝服务攻击

拒绝服务攻击拒绝服务攻击Dos攻击试图通过完全地阻碍或阻碍服务器所提供的⼀些正常服务来破坏服务的可⽤性。

攻击尝试耗尽⼀些与服务相关的重要系统资源。

例如,⼀个对Web服务器发起的洪泛攻击,攻击者发起相当多的虚假请求,使得服务器⼏乎不可能及时地响应来⾃⽤户的正常请求。

拒绝服务攻击拒绝服务攻击简介拒绝服务(Denial-of-Service, Dos)攻击是⼀种针对某些服务可⽤性的攻击。

从计算机和通信安全的⾓度,Dos攻击⼀般攻击⽬标系统的⽹络服务,通过攻击⽹络连接来实现。

这种针对服务可⽤性的攻击不同于传统意义上的不可抗⼒的攻击,它是通过造成IT基础设施的损害或毁坏⽽导致服务能⼒的丧失。

NIST计算机安全事故处理指南(NIST Computer Security Incident Handling Guide)中对Dos攻击给出的定义如下:拒绝服务(Dos)是⼀种耗尽CPU,内存,带宽以及磁盘空间等系统资源,来阻⽌或削弱对⽹络,系统或应⽤程序的授权使⽤的⾏为。

由上述定义可知,可作为Dos攻击对象的资源有下⾯⼏类:⽹络带宽系统资源应⽤资源⽹络带宽与连接服务器和英特⽹的⽹络链路的容量相关。

对于⼤部分机构来说,⽹络带宽指的是连接到其⽹络服务供应商(Internet Service Provider,ISP)的链路容量。

通常这个连接的容量抵御ISP路由器内部以及ISP路由器之间的链路容量。

这就意味着可能会发⽣的情况:经过具有⾼容量的链路到达ISP路由器的通信量要⾼于机构的链路的通信量。

在这种情况下,ISP路由器只能发送链路所能承载的最⼤流量,对于超出的流量必须丢弃。

在正常⽹络运⾏环境下,正常⽤户的超负荷访问,同样会使得服务器⽹络繁忙。

那么这些正常⽤户当中就会随机地有⼀部分不能够得到服务器的响应。

对于⼀个已经超负荷的TCP/IP⽹络连接来说,服务器不可⽤也是在预料之中。

但在Dos攻击的情况下,攻击直接地或间接地制造⼤量的恶意流量发往⽬标服务器。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
服务降级类
系统对外提供服务的服务下降
2019/8/109典型案例:遭受大规模SYN Flooding攻击
2019年9月12日下午,遭受有史以来最大规模的不明身份黑客攻击,,黑客所使用的 手段是Syn Flooding分布式拒绝服务攻击。
很多提供WWW和Mail等服务设备通常是使用Unix的服务器,它们默认 打开一些被黑客恶意利用的UDP服务。如echo服务会显示接收到的每 一个数据包,而原本作为测试功能的chargen服务会在收到每一个数据 包时随机反馈一些字符。
2019/8/10
网络入侵与防范讲义
25
IP欺骗DoS攻击
攻击时,攻击者会伪造大量的IP地址,向目 标发送RST数据,使服务器不对合法用户服务, 从而实现了对受害服务器的拒绝服务攻击。
2019/8/10
网络入侵与防范讲义
26
UDP洪水
UDP洪水(UDP flood)主要是利用主机能自动进行回复的服务(例如 使用UDP协议的chargen服务和echo服务)来进行攻击。
2019/8/10
网络入侵与防范讲义
16
6.2.1 Ping of Death
Ping Of Death攻击的攻击特征、检测方法和反攻 击方法总结如下:
攻击特征:该攻击数据包大于65535个字节。由于部 分操作系统接收到长度大于65535字节的数据包时, 就会造成内存溢出、系统崩溃、重启、内核失败等后 果,从而达到攻击的目的。
2019/8/10
网络入侵与防范讲义
18
泪滴(Teardrop)
两台计算机在进行通信时,如果传输的数据量较大, 无法在一个数据报文中传输完成,就会将数据拆分 成多个分片,传送到目的计算机后再到堆栈中进行 重组,这一过程称为“分片”。
为了能在到达目标主机后进行数据重组,IP包的TCP 首部中包含有信息(分片识别号、偏移量、数据长 度、标志位)说明该分段是原数据的哪一段,这样, 目标主机在收到数据后,就能根据首部中的信息将 各分片重新组合还原为数据。
检测方法:判断数据包的大小是否大于65535个字节。 反攻击方法:使用新的补丁程序,当收到大于65535
个字节的数据包时,丢弃该数据包,并进行系统审计。
2019/8/10
网络入侵与防范讲义
17
泪滴(Teardrop)
“泪滴”也被称为分片攻击,它是一种典型的利用TCP/IP协议的问 题进行拒绝服务攻击的方式,由于第一个实现这种攻击的程序名 称为Teardrop,所以这种攻击也被称为“泪滴”。
检测方法:对接收到的分片数据包进行分析,计算 数据包的片偏移量(Offset)是否有误。
反攻击方法:添加系统补丁程序,丢弃收到的病态 分片数据包并对这种攻击进行审计。
பைடு நூலகம்2019/8/10
网络入侵与防范讲义
24
IP欺骗DoS攻击
这种攻击利用RST位来实现。 假设现在有一个合法用户(61.61.61.61)已经同服务器
PSH 1:1025(1024) ack 1, win 4096 PSH 1025:2049(1024) ack 1, win 4096 PSH 2049:3073(1024) ack 1, win 4096
在这个报文中,可以看到在第4、5、6这三个报文中, 第4个发送的数据报文中是原数据的第1~1025字节内 容,第5个发送的报文包含的是第1025~2048字节, 第6个数据报文是第2049~3073个字节,接着后面是 继续发送的分片和服务器的确认。当这些分片数据被 发送到目标主机后,目标主机就能够根据报文中的信 息将分片重组,还原出数据。
2019/8/10
7
拒绝服务攻击的类型
按攻击数据包发送速率变化方式,DoS攻击可分为: 固定速率 可变速率
根据数据包发送速率变化模式,又可以分为震荡变化型和持续增加型。 震荡变化型变速率发送方式间歇性地发送数据包,使入侵检测系统难以发现持
续的异常。 持续增加型变速率发送方式可以使攻击目标的性能缓慢下降,并可以误导基于
利用传输协议缺陷
构造畸形的数据包并发送,导致目标主机无法处理,出现错误或崩溃,而拒绝服务
利用服务程序的漏洞
针对主机上的服务程序的特定漏洞,发送一些有针对性的特殊格式的数据,导致服务处理错 误而拒绝服务
2019/8/10
6
拒绝服务攻击的类型
按漏洞利用方式分类,DoS攻击可以分为: 特定资源消耗类
建立了正常的连接,攻击者构造攻击的TCP数据,伪 装自己的IP为61.61.61.61,并向服务器发送一个带有 RST位的TCP数据段。服务器接收到这样的数据后,认 为61.61.61.61发送的连接有错误,就会清空缓冲区中 建立好的连接。 这时,如果合法用户61.61.61.61再发送合法数据,服 务器就已经没有这样的连接了,该用户就必须从新开 始建立连接。
答,根据回显应答的内容判断目的主机的状况。
2019/8/10
13
Ping of Death
Ping之所以会造成伤害是源于早期操作系统在处理ICMP协议数据包存 在漏洞。
ICMP协议的报文长度是固定的,大小为64KB,早期很多操作系统在接 收ICMP数据报文的时候,只开辟64KB的缓存区用于存放接收到的数据 包。
题也一直得不到合理的解决,究其原因是因为这是由于网络协议 本身的安全缺陷造成的。
2019/8/10
4
拒绝服务攻击的类型
最常见的DoS攻击是利用合理的服务请求来占用过多的服务资源, 致使服务超载,无法响应其他的请求。
这些服务资源包括网络带宽、文件系统空间容量、开放的进程、 向内的连接等。
这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内 存容量多么大,互联网带宽多么大都无法避免这种攻击带来的后 果。
这样的信息被目的主机收到后,在堆栈中重组时, 由于畸形分片的存在,会导致重组出错,这个错误 并不仅仅是影响到重组的数据,由于协议重组算法, 会导致内存错误,引起协议栈的崩溃。
2019/8/10
网络入侵与防范讲义
23
泪滴(teardrop)
泪滴攻击的攻击特征、检测方法和反攻击方法 总结如下:
攻击特征:Teardrop工作原理是向被攻击者发送多 个分片的IP包,某些操作系统收到含有重叠偏移的 伪造分片数据包时将会出现系统崩溃、重启等现象。
2019/8/10
网络入侵与防范讲义
19
例子
1
3
PSH 1:1025……
4
PSH 1025:2049……
5
PSH 2049:3073……
6
PSH…… ACK……
PSH 1:1025…… 2
PSH 1000:2049…… PSH 2049:3073……
试图重组时 主机崩溃
2019/8/10
网络入侵与防范讲义
主要利用TCP/IP协议栈、操作系统或应用程序设计上的缺陷,通过构造并发送 特定类型的数据包,使目标系统的协议栈空间饱和、操作系统或应用程序资源 耗尽或崩溃,从而达到DoS的目的。
暴力攻击类
依靠发送大量的数据包占据目标系统有限的网络带宽或应用程序处理能力来达 到攻击的目的。通常暴力攻击需要比特定资源消耗攻击使用更大的数据流量才 能达到目的。
学习的检测系统产生错误的检测规则。
2019/8/10
8
拒绝服务攻击的类型
按攻击可能产生的影响,DoS攻击可以分为: 系统或程序崩溃类
根据可恢复的程度,系统或程序崩溃类又可以分为:自我恢复类、人工恢复类、 不可恢复类等。
自我恢复类是指当攻击停止后系统功能可自动恢复正常。人工恢复类是指系统 或服务程序需要人工重新启动才能恢复。不可恢复类是指攻击给目标系统的硬 件设备、文件系统等造成了不可修复性的损坏。
第16讲 拒绝服务攻击
拒绝服务攻击的概念
拒绝服务( Denial of Service,简称DoS),是一种简单的破坏性攻击,通常 是利用传输协议中的某个弱点、系统存在的漏洞、或服务的漏洞,对目标系 统发起大规模的进攻,用超出目标处理能力的海量数据包消耗可用系统资源、 带宽资源等,或造成程序缓冲区溢出错误,致使其无法处理合法用户的正常 请求,无法提供正常服务,最终致使网络服务瘫痪,甚至系统死机。
许多2019/8/10
3
拒绝服务攻击的概念
拒绝服务攻击可能是蓄意的,也可能是偶然的。 当未被授权的用户过量使用资源时,攻击是蓄意的;当合法用户
无意地操作而使得资源不可用时,则是偶然的。 应该对两种拒绝服务攻击都采取预防措施。但是拒绝服务攻击问
简单的说,拒绝服务攻击就是让攻击目标瘫痪的一种“损人不利己”的攻击 手段。
2019/8/10
2
拒绝服务攻击的概念
历史上最著名的拒绝服务攻击服务恐怕要数Morris蠕虫事件, 1988年11月,全球众多连在因特网上的计算机在数小时内无法正 常工作,这次事件中遭受攻击的包括5个计算机中心和12个地区 结点,连接着政府、大学、研究所和拥有政府合同的25万台计算 机。这次病毒事件,使计算机系统直接经济损失达9600万美元。
2019/8/10
网络入侵与防范讲义
22
例子(4)
如果入侵者伪造数据报文,向服务器发送含有重叠 偏移信息的分段包到目标主机,例如如下所列的分 片信息:
PSH 1:1025(1024) ack1, win4096 PSH 1000:2049(1024) ack1, win4096 PSH 2049:3073(1024) ack1, win4096
如果对方主机存在这样一个漏洞,就会形成一次拒绝服务攻击。这种 攻击被称为“死亡之Ping”。
2019/8/10
15
6.2.1 Ping of Death
现在的操作系统都已对这一漏洞进行了修补。对可发 送的数据包大小进行了限制。