拒绝服务攻击专题1.ppt

DoS攻击的基本过程 用三次握手建立 TCP 连接 用三次握手建立 TCP 连接 攻击实例9-- Echo Chargen攻击 当运行着Chargen服务的UDP端口（端口号19）收到一个数据以后，其会产生一个字符串作为回应。 当运行着Echo服务的UDP端口（端口号7）收到一个数据以后，其会简单地返回该数据内容作为回应。 这两种服务可被攻击者利用来进行循环攻击。 这种攻击可以针对单个系统，也可以针对两个或多个系统。 Echo Chargen攻击 攻击者只需向甲系统的UDP Echo端口发送一个好像来自于乙系统的UDP Chargen端口的UDP包（即假冒乙系统的IP地址和Chargen端口），或者向乙系统的UDP Chargen端口发送一个好像来自于甲系统的UDP Echo端口的数据包； 则在甲系统的UDP Echo端口和乙系统的UDP Chargen端口之间会不停地产生UDP包； 当甲乙是不同的两个系统时使两系统因处理彼此收发的数据包而效率降低并阻塞甲乙两系统之间的带宽； 当甲乙为同一个系统时因其两个UDP端口间不停地发送数据包而降低系统性能导致对本机上其他应用服务的拒绝。 防御方法 ： 　　关掉一些不必要的TCP/IP服务，或者对防火墙进行配置，阻断来自Internet的请求这些服务的UDP请求。 分布式反射拒绝服务——DRDoS DRDoS——分布式反射拒绝服务（Distributed Reflection Denial of Service） 比DDoS更可怕的攻击方式，DRDoS不同于以往的拒绝服务方式，它对DDoS作了改进；通过对正常的服务器进行网络连接请求来达到攻击目的的。 DRDoS很好地隐蔽了攻击者的真实地址，利用时我们也可以使用威力更大的方式。 DRDoS原理 任何合法的TCP连接请求都会得到返回数据包（TCP的三次握手），而这种攻击方法就是将这个返回包直接返回到被攻击的主机上； 这里也涉及到IP地址欺骗，欺骗被利用的网络服务器提供TCP服务，让此服务器认为TCP请求连接都是被攻击主机上发送的，接着它就会发送“SYN+ACK”数据包给被攻击主机，恶意的数据包就从被利用的服务器“反射”到了被害主机上，形成Flood攻击。 DRDoS原理 防御： 　　防御这种攻击需要相当高的专业技巧，一般来说应该让网络安全事件响应小组来取证分析，并请信息安全服务商来解决。 拒绝服务攻击发展趋势 所有拒绝服务攻击归根到底源于协议的缺陷。 攻击方法将会更加隐蔽。 更加智能化和复合化。 针对路由器的攻击将是新热点。 主要介绍有代表性网络攻击的原理和方法； 掌握黑客DoS攻击的原理及相应防御方法： 总结 SYN Flood原理 假设一个客户向服务器发送了SYN报文段后突然掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度称为SYN Timeout，一般来说这个时间大约为30秒-2分钟； 同时，对于每个连接，双方都要为这个连接分配必要的内存资源，用来存放所使用的协议，地址、端口、时钟以及初始序号等信息，这些内存资源大约占用280字节。 SYN Flood原理 当一个服务器收到大量连续的SYN包时，就会为这些连接分配必要的内存资源，这些半连接将耗尽系统的内存资源和CPU时间，从而拒绝为合法的用户提供服务。 此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服务器端受到了SYN Flood攻击（SYN洪水攻击）。 SYN Flood防护策略 优化系统配置 缩短超时时间，使无效的半连接尽快释放，也可能导致某些合法连接失败； 增加半连接队列长度，使系统能够处理更多的半连接； 关闭不必要或不重要的服务，减少被攻击的机会。 优化路由器配置 丢弃那些来自内网而源地址具有外网IP地址的包。 加强监测 在网络的关键点上安装监测软件，持续监视TCP/IP流量，分析通信状态，辨别攻击行为。 SYN Flood防护策略 防火墙 有些防火墙具有SYN Proxy功能，这种方法设置每秒通过指定对象（目标地址和端口、仅目标地址或仅源地址）的SYN片段数的阈值，当来自相同源地址或发往相同目标地址的SYN片段数达到这些阈值之一时，防火墙就开始截取连接请求和代理回复SYN/ACK片段，并将不完全的连接请求存储到连接队列中直到连接完成或请求超时。 当防火墙中代理连接的队列被填满时，防火墙拒绝来自相同区域中所有地址的新SYN片段，避免网络主机遭受不完整的三次握手的攻击。 这种方法在攻击流量较大的时候，连接出现较大的延迟，网络的负载较高，很多情况下反而成为整个网络的瓶颈。 SYN Fl