必威体育精装版拒绝服务攻击与防御技术.ppt

第7章 拒绝服务攻击与防御技术 本章内容安排 1、拒绝服务攻击概述 2、典型拒绝服务攻击技术 3、分布式拒绝服务攻击简介 4、分布式拒绝服务攻击的防御 5、小结 拒绝服务攻击的概念 拒绝服务（ Denial of Service，简称DoS），是一种简单的破坏性攻击，通常是利用传输协议中的某个弱点、系统存在的漏洞、或服务的漏洞，对目标系统发起大规模的进攻，用超出目标处理能力的海量数据包消耗可用系统资源、带宽资源等，或造成程序缓冲区溢出错误，致使其无法处理合法用户的正常请求，无法提供正常服务，最终致使网络服务瘫痪，甚至系统死机。 简单的说，拒绝服务攻击就是让攻击目标瘫痪的一种“损人不利己”的攻击手段。 历史上最著名的拒绝服务攻击服务恐怕要数Morris蠕虫事件，1988年11月，全球众多连在因特网上的计算机在数小时内无法正常工作，这次事件中遭受攻击的包括５个计算机中心和12个地区结点，连接着政府、大学、研究所和拥有政府合同的25万台计算机。这次病毒事件，使计算机系统直接经济损失达9600万美元。 许多知名网站如Yahoo、eBay、CNN、百度、新浪等都曾遭受过DoS攻击。 拒绝服务攻击可能是蓄意的，也可能是偶然的。 当未被授权的用户过量使用资源时，攻击是蓄意的；当合法用户无意地操作而使得资源不可用时，则是偶然的。 应该对两种拒绝服务攻击都采取预防措施。但是拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的。 拒绝服务攻击的类型 实现Dos攻击的手段有很多种。常见的主要有以下几种： 滥用合理的服务请求 过度地请求系统的正常服务，占用过多服务资源，致使系统超载。这些服务资源通常包括网络带宽、文件系统空间容量、开放的进程或者连接数等 制造高流量无用数据 恶意地制造和发送大量各种随机无用的数据包，用这种高流量的无用数据占据网络带宽，造成网络拥塞 利用传输协议缺陷 构造畸形的数据包并发送，导致目标主机无法处理，出现错误或崩溃，而拒绝服务 利用服务程序的漏洞 针对主机上的服务程序的特定漏洞，发送一些有针对性的特殊格式的数据，导致服务处理错误而拒绝服务 典型案例：百度遭受大规模SYN Flooding攻击 2006年9月12日下午，百度遭受有史以来最大规模的不明身份黑客攻击，导致百度有哪些信誉好的足球投注网站服务在全国各地出现了近30分钟的故障，黑客所使用的手段是Syn Flooding分布式拒绝服务攻击。 典型拒绝服务攻击技术 Ping of Death Ping之所以会造成伤害是源于早期操作系统在处理ICMP协议数据包存在漏洞。 ICMP协议的报文长度是固定的，大小为64KB，早期很多操作系统在接收ICMP数据报文的时候，只开辟64KB的缓存区用于存放接收到的数据包。 一旦发送过来的ICMP数据包的实际尺寸超过64KB(65536B)，操作系统将收到的数据报文向缓存区填写时，报文长度大于64KB，就会产生一个缓存溢出，结果将导致TCP/IP协议堆栈的崩溃，造成主机的重启动或是死机。 现在的操作系统都已对这一漏洞进行了修补。对可发送的数据包大小进行了限制。 在Windows 7操作系统中输入这样的命令： Ping -l 65535 192.168.1.110 系统会返回以下的信息： Ping Of Death攻击的攻击特征、检测方法和反攻击方法总结如下： 攻击特征：该攻击数据包大于65535个字节。由于部 分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。 检测方法：判断数据包的大小是否大于65535个字节。 反攻击方法：使用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进行系统审计。 泪滴（Teardrop） “泪滴”也被称为分片攻击，它是一种典型的利用TCP/IP协议的问题进行拒绝服务攻击的方式，由于第一个实现这种攻击的程序名称为Teardrop，所以这种攻击也被称为“泪滴”。 两台计算机在进行通信时，如果传输的数据量较大，无法在一个数据报文中传输完成，就会将数据拆分成多个分片，传送到目的计算机后再到堆栈中进行重组，这一过程称为“分片”。 为了能在到达目标主机后进行数据重组，IP包的TCP首部中包含有信息（分片识别号、偏移量、数据长度、标志位）说明该分段是原数据的哪一段，这样，目标主机在收到数据后，就能根据首部中的信息将各分片重新组合还原为数据。 例子 如上图所示，从客户机向服务器发送一个数据报文无法发送完成的数据，这些数据会被分片发送。 报文1、2、3是TCP连接的三次握手过程，接着4、5、6客户机向服务器发送三个报文，在这三个数据报文