文档介绍:网络安全技术应用第6章DOS 和DDOS 攻击 jsj. 四川工程职业技术学院计算机科学系本章目标?了解 DoS 和 DDoS 原理?掌握 DoS 和 DDoS 工具的使用方法?掌握 DoS 和 DDoS 的防御方法 jsj. 四川工程职业技术学院计算机科学系什么是 DoS 攻击? ? Denial of Service ( DoS ) 拒绝服务攻击, ?攻击者利用大量的数据包“淹没”目标主机,耗尽可用资源乃至系统崩溃,而无法对合法用户作出响应。(电子邮件)? Distributed Denial of Service ( DDoS ) 分布式拒绝服务攻击, ?攻击者利用因特网上成百上千的“ Zombie ”(僵尸): 被利用主机,对攻击目标发动威力巨大的拒绝服务攻击。?攻击者的身份很难确认。 jsj. 四川工程职业技术学院计算机科学系“三次握手”:(SYN request;SYN /ACK;ACK) 用户传送信息要求服务器予以确认,服务器接收到客户请求后回复用户, 用户被确认后,建立连接,登录服务器。正常用户登录 jsj. 四川工程职业技术学院计算机科学系“拒绝服务”的攻击方式为:用户传送众多要求确认的信息到服务器,使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址,以至于当服务器试图回传时,却无法找到用户。服务器于是暂时等候,有时超过一分钟,然后再切断连接。服务器切断连接时,黑客再度传送新一批需要确认的信息,这个过程周而复始,最终导致服务器处于瘫痪状态“拒绝服务”(DoS )的攻击方式 jsj. 四川工程职业技术学院计算机科学系 DDoS 攻击的动机?发动攻击的动机: ?引起业界注意?恶意行为(不同见解;破坏墙壁) ?好奇心(测试下载软件)?长远看, DDoS 类攻击使用因素: ?商业竞争?不满的雇员/客户?金钱利欲( . 控制股市) ?政治动机 jsj. 四川工程职业技术学院计算机科学系 DDOS (1)Ping of Death –发送长度超过 65535 字节的 ICMP Echo Request 数据包–导致目标机 TCP/IP 协议栈崩溃,系统死机或重启–现有的操作系统基本上都能正确处理这种异常数据包, 不会出现问题(2)Teardrop –发送特别构造的 IP 数据包–导致目标机 TCP/IP 协议栈崩溃,系统死锁–现有的操作系统基本上都能正确处理这种异常数据包, 不会出现问题 jsj. 四川工程职业技术学院计算机科学系 ( 3)Syn flooding –发送大量的 SYN 包–系统中处于 SYN_RECV 状态的 socket 目标主机被 TCP 连接请求淹没。请求连接的 IP源地址和 TCP 端口随机任意,迫使目标主机保持等候,耗用资源。通常目标主机( HTTP 和 SMTP 主机)服务进程缓慢,甚至宕机。路由器“ Out of Memory ”。属于第二级攻击。(4)Land –发送一个 TCP SYN 包,包的 SRC/DST IP 相同, SPORT/DPORT 相同–导致目标机 TCP/IP 协议栈崩溃,系统死机或失去响应–现有的操作系统基本上都能正确处理这种异常数据包, 不会出现问题 jsj. 四川工程职业技术学院计算机科学系(5)Smurf Smurf 攻击 Smurf 是一种较早的 DDoS 攻击。它的原理如下:攻击者冒用攻击目标主机的 IP地址向一个网络的广播地址发送伪造 ICMP 包,例如从目标主机() 到另一个网络的广播地址(), 被利用网络的每一个主机(假如有 100 台机器) 都向目标主机响应. 这样一来就放大了攻击者的带宽,给目标主机带来威胁。 Smurf 主要是没有正确配置路由器和防火墙。没有必要在远程通信使用广播 ICMP 包。广播 ICMP pings 只在 LAN 中用来确认哪个 IP地址被使用等等。在路由器或防火墙,应该屏蔽广播通信。如果想确认网络是否易遭到 SMURF 攻击,请访问下列网站, 输入你的网络地址,你将很快收到结果。 http:// / http:// rf / jsj. 四川工程职业技术学院计算机科学系?(6) Winnuke ?发送特别构造的 TCP 包,使得 Windows 机器蓝屏?(7)分布式拒绝服务攻击?使得分散在因特网各处的机器共同完成对一台主机攻击的操作,从而使主机看起来好像是遭到了不同位置的许多主机的攻击。