文档介绍：第6章 DOS和DDOS攻击
1
jsj.
四川工程职业技术学院计算机科学系
本章目标
了解DoS和DDoS原理
掌握DoS和DDoS工具的使用方法
掌握DoS和DDoS的防御方法
2
jsj.
四川工程职业技术学院计算机科学系
什么是DoS攻击?
Denial of Service (DoS) 拒绝服务攻击,
攻击者利用大量的数据包“淹没”目标主机,耗尽可用资源乃至系统崩溃,而无法对合法用户作出响应。(电子邮件)
Distributed Denial of Service (DDoS)分布式拒绝服务攻击,
攻击者利用因特网上成百上千的“Zombie”(僵尸):被利用主机,对攻击目标发动威力巨大的拒绝服务攻击。
攻击者的身份很难确认。
3
jsj.
四川工程职业技术学院计算机科学系
“三次握手”:(SYN request;SYN/ACK;ACK)用户传送信息要求服务器予以确认,服务器接收到客户请求后回复用户,用户被确认后,建立连接,登录服务器。
正常用户登录
4
jsj.
四川工程职业技术学院计算机科学系
“拒绝服务”的攻击方式为:用户传送众多要求确认的信息到服务器,使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址,以至于当服务器试图回传时,却无法找到用户。服务器于是暂时等候,有时超过一分钟,然后再切断连接。服务器切断连接时,黑客再度传送新一批需要确认的信息,这个过程周而复始,最终导致服务器处于瘫痪状态
“拒绝服务”(DoS)的攻击方式
5
jsj.
四川工程职业技术学院计算机科学系
DDoS攻击的动机
发动攻击的动机:
引起业界注意
恶意行为(不同见解;破坏墙壁)
好奇心(测试下载软件)
长远看, DDoS类攻击使用因素:
商业竞争
不满的雇员/客户
金钱利欲(. 控制股市)
政治动机
6
jsj.
四川工程职业技术学院计算机科学系
DDOS
(1)Ping of Death
发送长度超过65535字节的ICMP Echo Request 数据包
导致目标机TCP/IP协议栈崩溃,系统死机或重启
现有的操作系统基本上都能正确处理这种异常数据包,不会出现问题
(2) Teardrop
发送特别构造的IP 数据包
导致目标机TCP/IP协议栈崩溃,系统死锁
现有的操作系统基本上都能正确处理这种异常数据包,不会出现问题
7
jsj.
四川工程职业技术学院计算机科学系
(3) Syn flooding
发送大量的SYN包
系统中处于SYN_RECV状态的 socket
目标主机被 TCP连接请求淹没。请求连接的IP源地址和TCP端口随机任意,迫使目标主机保持等候,耗用资源。
通常目标主机(HTTP和SMTP主机)服务进程缓慢,甚至宕机。路由器“Out of Memory”。
属于第二级攻击。
(4) Land
发送一个TCP SYN包,包的SRC/DST IP相同,SPORT/DPORT相同
导致目标机TCP/IP协议栈崩溃,系统死机或失去响应
现有的操作系统基本上都能正确处理这种异常数据包,不会出现问题
8
jsj.
四川工程职业技术学院计算机科学系
(5)Smurf
Smurf攻击
Smurf是一种较早的DDoS攻击。它的原理如下:攻击者冒用攻击目标主机的IP地址向一个网络的广播地址发送伪造 ICMP包,例如从目标主机() 到另一个网络的广播地址(), 被利用网络的每一个主机(假如有100台机器) 都向目标主机响应. 这样一来就放大了攻击者的带宽,给目标主机带来威胁。
Smurf主要是没有正确配置路由器和防火墙。没有必要在远程通信使用广播ICMP包。广播ICMP pings 只在LAN中用来确认哪个IP地址被使用等等。在路由器或防火墙,应该屏蔽广播通信。
如果想确认网络是否易遭到SMURF攻击,请访问下列网站,输入你的网络地址,你将很快收到结果。
/
rf/
9
jsj.
四川工程职业技术学院计算机科学系
(6)Winnuke
发送特别构造的TCP包,使得Windows机器蓝屏
(7)分布式拒绝服务攻击
使得分散在因特网各处的机器共同完成对一台主机攻击的操作,从而使主机看起来好像是遭到了不同位置的许多主机的攻击。
10