[网络安全ch52.ppt

网络安全 张磊 华东师范大学 软件学院 DoS（续） 2011年3月底，索尼起诉多位黑客涉嫌破解其PlayStation 3 平台固件 Anonymous黑客组织发动了DDoS攻击，导致 PlayS网站无法访问并造成7700万用户数据被盗 攻击网络协议 IP欺骗DoS攻击就是利用服务器对源IP的信任，伪造TCP Reset报文干扰客户端与服务器之间的TCP连接 攻击者会大量伪造合法用户IP及可能使用的端口号向服务器发送TCP Reset报文，诱使服务器断开与客户端已经建立好的连接，导致无法与合法用户正常通信进而无法提供服务。 Land攻击 Land攻击是向目标主机发送一个特殊的SYN包，包中的源地址和目标地址都是目标主机的地址。 目标主机受到这样的请求连接时会向自己发送SYN/ACK数据包，结果导致目标主机向自己发挥ACK数据包并创建一个连接。 这样大量的数据包会使目标主机建立无用连接，耗费系统资 现有的操作系统基本上都能正确处理这种异常数据包，不会出现问题 DDos攻击手段（续） Smurf 拒绝服务攻击的防范 困难 不容易定位攻击者的位置 Internet上绝大多数网络都不限制源地址，也就是伪造源地址非常容易 通过攻击代理的攻击，只能找到攻击代理的位置 各种反射式攻击，无法定位源攻击者 完全阻止是不可能的 防范工作可以减少被攻击的机会 拒绝服务攻击的防范 有效完善的设计网络 分散服务器的位置，避免被攻击时的瘫痪 设置负载均衡、反向代理、L4/L7交换机的，加强对外提供服务的能力 有些L4/L7交换机本身具备一定的防范拒绝服务攻击能力 拒绝服务攻击的防范 带宽限制 限制特定协议占用的带宽 并不是完善的方法 及时安装厂商补丁 减少被攻击的机会 运行尽可能少的服务 只允许必要的通信 设置严格的防火墙策略 封锁所有无用的数据 分布式拒绝服务攻击的防范 不要让自己的网络系统成为攻击者的帮凶 保持网络安全 让攻击者无法非法获得对主机系统的访问 安装入侵检测系统 尽早的检测到攻击 使用漏洞扫描工具 及早发现系统的弱点、漏洞并修补 分布式拒绝服务攻击的防范 网络出口过滤 在路由器上进行过滤 入口过滤 所有源地址是保留地址的数据包全部丢弃 所有源地址是本地网络地址的数据包全部丢弃 出口过滤 所有源地址不是本地网络的数据包全部丢弃 防止本地网络用户伪造IP地址攻击别人 教育网主干入口处都做了设置 实验题 编写一个程序，使得CPU或内存耗尽。 DDos攻击手段（续） 僵尸网络 大量被命令控制型服务器所控制的互联网主机群。攻击者传播恶意软件并组成自己的僵尸网络。僵尸网络难于检测的原因是，僵尸主机只有在执行特定指令时才会与服务器进行通讯，使得它们隐蔽且不易察觉。僵尸网络根据网络通讯协议的不同分为IRC、HTTP或P2P类等。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. DDos攻击手段（续） Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. B类网络 攻击者冒充服务器向一个B类网络的广播地址发送ICMP echo包 整个B类网络的所有系统都向此服务器回应一个icmp reply包 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 被DDoS攻击时的现象 被攻击主机上有大量等待的TCP连接? 网络中充斥着大量的无用的数据包，源地址为假? 制造高流量无用数据，造成网络拥塞，使受害主机无法