5–典型攻击技术–2.ppt

5 典型攻击技术 二、拒绝服务攻击 (Denial of Service) DoS/DDoS攻击事件介绍 世界上第一个DoS攻击：1988年11月发生的Morris蠕虫事件。导致了5000多台主机瘫痪。 拒绝服务攻击 拒绝服务攻击（Dienial of Service） 拒绝服务攻击是一种广泛存在的系统攻击，这种攻击的目的是使目标主机停止网络服务，而其他攻击的目的往往是欲获取主机的控制权。 这种攻击的危险性在于它可以在没有获得主机的任何权限的情况下进行，只要主机连接在网络上就可能受到攻击。 攻击简单、容易达到目的、难于防止和追查困难 拒绝服务攻击产生的根源 当一个对资源的合理请求大大超过系统的处理能力时就会造成拒绝服务攻击，例如，对已经满载的Web 服务器进行过多的请求，或者不断生成新的文件将系统的磁盘空间耗尽。 资源包括网络带宽、文件系统空间容量、进程或者内存空间、CPU 处理能力、处理队列等。 还有一些恶意的拒绝服务攻击利用操作系统或软件的漏洞，产生特殊的请求使系统崩溃或进入等待状态，而正常的服务请求却无法得到响应 。 DoS攻击方法 利用软件实现的缺陷 利用协议的漏洞 合理请求大大超过系统的处理能力 DoS攻击种类 停止服务：破坏或是迫使目标服务器关闭一个特定服务。 DoS攻击分类 恶意数据包型DoS攻击 Land攻击 Land攻击 Land攻击原理是利用某些TCP/IP协议栈的三次握手过程实现中存在缺陷，而进行DoS攻击的。 死亡之ping（Ping of Death） Ping of Death攻击实例 Ping －l 65540 2 参数“l”：指定发送ICMP报文的长度。 泪滴（teardrop）攻击简介 泪滴(teardrop)攻击又称为分片攻击。它是一种典型的利用TCP/IP协议栈的漏洞进行DoS攻击。由于第一个实现这种攻击的程序叫teardrop，所以这种攻击也被称为“泪滴”攻击。 泪滴攻击的原理 Teardrop攻击主要是利用IP数据包的分片机制，通过发送重叠的分片偏移地址，使的TCP/IP协议栈无法正确的对IP分片重组，最终导致目标主机的TCP/IP协议栈的崩溃。 Teardrop攻击示意图 畸形消息攻击 畸形消息攻击是一种有针对性的拒绝服务攻击方式，它利用操作系统或是应用程序存在某些处理消息时没有适当的错误校验的漏洞进行攻击。所以一旦收到这些畸形的消息，目标系统或程序就会崩溃。 远程拒绝服务式攻击的恶意数据包-1 远程拒绝服务式攻击的恶意数据包－2 远程资源消耗型DoS攻击 SYN FLOOD攻击 SYN FLOOD攻击原理 进行syn flood攻击的程序向服务器发送一个带有虚假源地址（未被使用的）的SYN包，当服务器收到这个数据包时，向这个虚假地址发送一个SYN/ACK的响应数据包，由于源地址是不存在的地址，因此，目标主机发送的SYN/ACK包不会得到确认，目标主机一直等待这个连接直至超时，当这种带有虚假地址的连接请求数目超过了系统规定的最大连接请求数目时，目标主机就无法为其他正常用户提供服务。 UDP Flood攻击 echo服务和chargen服务 Echo和chargen服务都是自动回复的网络服务。当用户向echo服务的端口发送一个字符，则echo服务也返回一个相同的字符。而chargen服务返回一个随机的字符。 Smurf攻击原理 Smurf攻击属于放大攻击。放大攻击的原理就是发送一个数据包产生多个响应。比如：黑客向一个LAN的广播地址发送一个ping数据包，如果这个LAN的路由器配置允许广播数据包，那么这个LAN与广域网相连接的路由器首先收到这个ping数据包，路由器将这个广播消息发送给LAN的每一台主机，然后每台主机都发送一个ping响应数据包。 Smurf攻击的条件 smurf攻击中包括三方：攻击者，中间网络（也属于受害对象）、受害主机。smurf攻击中攻击者发送一个源地址为受害主机的ICMP回显请求给中间网络。smurf攻击的关键是找到允许广播数据包的中间网络。 Smurf攻击示意图 Fraggle攻击 Fraggle攻击原理与smurf攻击一样，都是向广播地址发送数据包，利用广播地址的特殊性将攻击放大，导致对目标主机的DoS攻击。只是Fraggle使用的是UDP应答消息。 电子邮件炸弹 电子邮件炸弹是最古老的匿名攻击之一，它的原理就是利用旧的SMTP协议不要求对发信人进行身份认证，黑客以受害者的email地址订阅大量的邮件列表，从而导致受害者的邮箱空间被占满。 (DDoS) 分布式拒绝服务 DDoS攻击原理 大量主机同时对同一个目标或多个目标发动拒绝服务攻击，这种协同攻击方式被称为分布式拒绝服务攻击。 DDoS攻击过程 第一步：探测扫描大量主机以寻找可入侵主