拒绝服务及防范技术.ppt

国家计算机网络入侵防范中心/ 拒绝服务攻击及防范技术 DoS概述 案例、定义、特点、分类 DoS攻击技术 DoS攻击防范 案例 政府网站 美国白宫的网站曾经遭受拒绝服务攻击 分布式拒绝服务 2000年2月发生的一次对某些高利润站点Yahoo、 eBay等的拒绝服务攻击，持续了近两天， 使这些公司遭受了很大的损失。 信息安全的基本属性 必威体育官网网址性 完整性 防抵赖 可用性(availability) 可控性 DoS是针对可用性发起的攻击 DoS的定义 DoS,Denial of Service 攻击网络协议实现的缺陷或通过各种手段耗尽被攻击对象的资源，以使得被攻击计算机或网络无法提供正常的服务或者资源，合法用户的请求得不到及时的响应 DoS攻击的特点 资源稀缺性 软件复杂性（6个/KLOC，6-30） 难确认，隐蔽性好（主观角度） 难防范，缺乏模型 有些DoS可以通过管理的手段防止； 受挫折，无法攻入目标系统，最后一招: DOS DoS类型 发送一些非法数据 包使系统死机或重起，造成系统或网络瘫痪 向系统发送大量信息，使系统或网络不能响 应 DoS攻击技术分类（1） 利用协议中的漏洞 SYN-Flood攻击 利用软件实现的缺陷 teardrop攻击、land攻击 发送大量无用突发数据攻击耗尽资源 ICMP flood攻击、Connection flood 攻击 欺骗型攻击 IP Spoofing DoS攻击 DoS攻击技术分类（2） 利用TCP/IP协议进行的TCP DoS攻击 SYN flood攻击 Land攻击 Teardrop攻击 利用UDP服务进行的UDP DoS攻击 UDP Flood DoS攻击 利用ICMP协议进行的ICMP DoS攻击 Ping of Death攻击 Smurf攻击 发展历史 ? 早期的Internet蠕虫病毒 ? 消耗网络资源 分片装配，非法的TCP标志，SYN Flood等 ? 利用系统实现上的缺陷，点对点形式 Ping of Death, IP分片重叠 ? 分布式DoS(DDoS)攻击 smurf攻击 一些典型的DoS攻击 ? Ping of Death – 发送异常的(长度超过IP包的最大值) ? Teardrop – IP包的分片装配 ? UDP Flood ? Land – 程序发送一个TCP SYN包，源地址与目的地址相同，源端口 与目的端口相同，从而产生DoS攻击 ? SYN Flood – 快速发送多个SYN包 ? Smurf – 给广播地址发送ICMP Echo包，造成网络阻塞 ? …… Ping of Death 原理：直接利用ping包，即ICMP Echo包，有些系统 在收到大量比最大包还要长的数据包，会挂起或者死 机 ? 受影响的系统：许多操作系统受影响 ? 攻击做法 直接利用ping工具，发送超大的ping数据包 ? 防止措施 打补丁：现在所有的标准TCP/IP实现都已实现对付超大尺寸 的包，并且大多数防火墙能够自动过滤这些攻击，包括：从 windows98之后的windows,NT(service pack 3之后)，linux、 Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。 防火墙阻止这样的ping包 TCP/IP允许数据包的最大容量为65536 C:\ping 00 Pinging 00 with 32 bytes of data ： Reply from 00: bytes=32 time=10ms TTL=255 Reply from 00: bytes=32 time10ms TTL=255 Reply from 00: bytes=32 time10ms TTL=255 Reply from 00: bytes=32 time10ms TTL=255 Ping statistics for 00: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 10ms, Average = C:\ping -l 65570 00 Bad value for option -l, valid range is from 0 to 65500 IP碎片 ? IP碎片攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自 己的攻击。I