网络攻击及其防范.ppt

第五章 网络攻击及其防范 网络攻击概述 网络攻击是指对网络系统的机密性、完整性、可用性、可控性和抗抵赖性产生危害的行为。 网络攻击的分类 拒绝服务攻击（DOS） 拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。 利用型攻击 1 口令猜测 2 特洛伊木马 3 缓冲区溢出 信息收集型攻击 1 地址扫描 2 端口扫描 3 反向映射 4 慢速扫描 5 体系结构探测 6 DNS域转换 7 Finger服务 8 LDAP服务 假消息攻击 DNS高速缓存污染 伪造电子邮件 常见网络攻击技术及其防范 1、口令入侵 2、网络监听 3、网络扫描（端口扫描） 4、DOS攻击及其防范（DOS的特点） 带宽攻击 协议攻击 逻辑攻击 syn flood SYN Flood是当前最流行的DoS（拒绝服务攻击）与DdoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。 要明白这种攻击的基本原理，还是要从TCP连接建立的过程开始： 　　TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的： 　　1，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号； 　　2，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgment）。 　　3，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。 　　以上的连接过程在TCP协议中被称为三次握手（Three-way Handshake）。 　　 问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。 UDP洪水 　　UDP 洪水（UDP flood）攻击 　　用户数据报协议（UDP）在因特网上的应用比较广泛，很多提供WWW和Mail等服务设备通常是使用unix的服务器，他们默认打开一些被黑客恶意利用的UDP服务。如echo服务会显示接收到的每一个数据包，而原来作为测试功能的chargen（字符发生器协议）服务会在收到的每一个数据包时随机反馈一些字符。UDP flood假冒攻击就是利用这两个简单的TCP/IP服务的漏洞进行恶意攻击，通过伪造与某一主机的Chargen服务之间的一次UDP连接，恢复地址指向开着Echo服务的一台主机，通过将Chargen和Echo服务互指，来回传送毫无用处且占满宽带的垃圾数据，在两台主机之间生成足够多的无用数据流，这一拒绝服务攻击飞快地导致网络可用带宽耗尽。 Smurf攻击 　　Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此