第五章 黑客攻擊及防御技术.pptVIP

第五章 黑客攻击及防御技术 第五章 黑客攻击及防御技术 本章要点 几种常见攻击的攻击原理 常见攻击手段的防御方式 第五章 黑客攻击及防御技术 §5.1 拒绝服务攻击 §5.2 恶意软件 §5.3 邮件攻击 §5.4 电子黑饵 §5.5 非法入侵者 §5.6 缓冲区溢出攻击 本章内容 §5.7 实验 5.1 拒绝服务攻击——简介 拒绝服务攻击（DoS）是一种破坏性的攻击方式，它主要针对网络上的各种服务器和设备，其特征是使得攻击目标无法正常工作。 拒绝服务攻击的类型 带宽消耗型: 耗尽攻击目标的带宽资源 系统资源消耗型：耗尽攻击目标的系统资源 异常导致性：利用软硬件实现上的编程缺陷，来导致攻击目标出现异常，从而拒绝提供正常服务 5.1 拒绝服务攻击实例——Smurf 第一步：攻击者发送伪造的数据包到放大网络。数据包的源地址为受害者的IP地址，目的地址为放大网络的广播地址。 第二步：放大网络中所有开启了echo功能的主机会返回一个应答给受害者，这时受害者就会被大量的响应信息所淹没。 5.1 Smurf攻击防御 禁止路由器转发目标地址为广播地址的数据包 关闭主机的echo功能也可以降低放大网络的放大能力 5.1 拒绝服务攻击实例——SYN洪水（1） 预备知识：TCP的三次握手过程 第一步：客户端发送一个SYN置位的包到服务器，告诉服务器它的初始序列号。 第二步：服务器返回SYN/ACK包作为响应。同时告诉客户端它的初始序列号。 第三步：客户端返回ACK包作为应答，完成三次握手过程。 5.1 拒绝服务攻击实例——SYN洪水（2） “SYN洪水攻击”的攻击过程 攻击者向目标主机发送源地址并不存在的SYN报文，或者在收到对方发送的SYN/ACK报文时不返回ACK报文。 目标主机会等待客户端的响应，并在收不到响应包的情况下进行重发，直到超时为止。 在这个等待的过程中，目标主机还会维护之前为该连接分配的资源。因此只要攻击者在短时间内发起大量的连接，就可以耗尽目标主机上的连接资源，使得目标主机无法提供正常的服务。 5.1 SYN洪水攻击防御 通过判断单位时间内收到的SYN连接次数是否超过了系统的预设值，就能够检测出。当接收到大量的SYN数据包时，可通知防火墙阻断连接请求或丢弃这些数据包，以达到防御效果。 5.1 拒绝服务攻击实例——LAND LAND的攻击过程 1. 攻击者发送伪造的SYN数据包给服务器，该数据包的源地址和目的地址都为服务器的IP地址 2. 服务器针对该伪造的SYN数据包返回SYN/ACK包。由于之前伪造的SYN包的源地址为服务器的IP地址，因此服务器会收到自己发送出的SYN/ACK包 3.服务器发现该包的确认号与期待的确认号差别太大时，会将其丢弃，并重发之前的SYN/ACK包 4.该过程会一直循环，导致服务器性能大大降低 5.1 LAND攻击防御 LAND攻击的检测比较容易，只需简单地判断数据包的源地址和目的地址是否相同即可。对于这种攻击，可通过适当配置防火墙设置或修改路由器的过滤规则来防止。 5.1 拒绝服务攻击实例——Teardrop 针对早期未对异常分片进行处理的Linux 偏移量=0，长度=N 偏移量=K，长度=M（K＜N,M＜N-K ） 分片1 分片2 1. 把分片2的偏移量设为N，使其与分片1的末尾对齐 2. 计算分片2的末尾位置：用对齐前的偏移量加上分片2的数据长度，得到K+M 3. 计算待拷贝数据的长度：用分片2的末尾位置减去对齐后第2个分片的偏移量，得到K+M-N 由于M＜N-K，计算得出的长度将是一个负数。在计算机中，负数是用反码来表示，其结果是向内核拷贝过多的数据，导致系统重启或崩溃 5.1 Teardrop攻击防御 针对teardrop攻击的特点，可对接收到的分片数据包进行分析，通过计算数据包的片偏移量是否有误来对其进行检测。由于teardrop攻击主要利用早期linux内核中的缺陷，因此可通过安装系统补丁来进行防御。另外，还可以通过设置防火墙或路由器的过滤规则来丢弃此类病态的数据包。 5.1 DDos攻击 主从式的DDoS攻击结构 利用反弹服务器的DDoS攻击结构 5.1 拒绝服务攻击——防御方式 加固操作系统：限制操作系统上运行的服务、及时部署操作系统与应用程序补丁。 使用防火墙：防火墙位可对特定的数据包进行阻挡。特别地，还可以使用针对DoS攻击的过滤算法，例如 “随机丢弃”和“SYN魔饼” 算法。 配置边界路由器：部分DoS和DDoS攻击利用了ICMP报文，因此可在边界路由器上将ICMP报