文档介绍：网 络 安 全
张立江
第5讲 网络攻击(IV)—拒绝服务攻击与防御
Contents
拒绝服务攻击的概念
1
典型DoS攻击
2
典型DDoS攻击
3
，由于畸形分片的存在，会导致重组出错，这个错误并不仅仅是影响到重组的数据，由于协议重组算法，会导致内存错误，引起协议栈的崩溃
2021/12/17 星期五
12
典型拒绝服务攻击技术
IP欺骗DoS攻击：
利用RST位实现：假设合法用户()已经同服务器建立了连接，攻击者伪装自己的IP为，并向服务器发送一个带有RST位的TCP数据段。服务器接收后认为发送的连接有错误，就会清空缓冲区中的连接
用户再发送合法数据，服务器已经没有连接，用户必须重新建立连接
攻击时，攻击者伪造大量的IP地址向目标发送RST数据，使服务器不对合法用户服务，从而实现对受害服务器的拒绝服务攻击
2021/12/17 星期五
13
典型拒绝服务攻击技术
2021/12/17 星期五
14
典型拒绝服务攻击技术
SYN洪水（SYN Flood）：
最流行的拒绝服务攻击方式之一，利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)
利用TCP连接的三次握手实现：假设客户端向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN/ACK应答报文后无法收到客户端的ACK报文的，服务器一般会重试，并等待一段时间后丢弃这个未完成的连接。这段时间称为SYN Timeout。一般来说这个时间是分钟数量级
如果攻击者大量模拟这种情况(伪造IP地址)，服务器将为了维护一个非常大的半连接而消耗非常多的资源
2021/12/17 星期五
15
典型拒绝服务攻击技术
2021/12/17 星期五
16
典型拒绝服务攻击技术
SYN***比较难以防御，以下是几种解决方法：
缩短SYN Timeout时间
设置SYN Cookie：给每个请求连接的IP地址分配一个Cookie，如果短时间内连续收到某个IP的重复SYN报文，就认定是攻击，以后来自这个IP地址的包被丢弃
负反馈策略 ：一旦SYN半连接的数量超过系统中TCP活动半连接最大连接数的设置，系统将认为受到SYN Flood攻击，并作出反应：减短SYN Timeout时间、减少SYN-ACK的重试次数、自动对缓冲区中的报文进行延时等措施，力图将攻击危害减到最低
退让策略
分布式DNS负载均衡
防火墙
2021/12/17 星期五
17
典型拒绝服务攻击技术
退让策略 ：
SYN Flood攻击的缺陷： 一旦攻击开始，将不会再进行域名解析
假设服务器受到SYN Flood攻击后迅速更换自己的IP地址，那么攻击者仍在攻击的将是一个空的IP地址，而防御方只要将DNS解析更改到新的IP地址就能在很短的时间内恢复用户通过域名进行的正常访问
为迷惑攻击者，甚至可以放置一台“牺牲”服务器让攻击者满足于攻击的“效果”
分布式DNS负载均衡
将用户的请求分配到不同IP的服务器主机上
防火墙
可以识别SYN Flood攻击所采用的攻击方法，并将攻击包阻挡在外
2021/12/17 星期五
18
典型拒绝服务攻击技术
Land攻击:
由著名黑客组织rootshell发现，利用TCP三次握手的缺陷进行攻击
原理: 向目标机发送大量的源地址和目标地址相同的包，造成目标主机解析Land包时占用大量的系统资源，从而使网络功能完全瘫痪
目标主机收到这样的连接请求会向自己发送SYN/ACK数据包，导致目标主机向自己发回ACK数据包并创建一个连接
大量这样的数据包将使目标主机建立很多无效的连接，大量占用系统资源
2021/12/17 星期五
19
典型拒绝服务攻击技术
检测方法：判断网络数据包的源/目标地址是否相同
反攻击方法：适当配置防火墙设备或过滤路由器的过滤规则可以防止这种攻击，并对这种攻击进行审计
2021/12/17 星期五
20
典型拒绝服务攻击技术
Smurf攻击：
攻击原理：将源地址设置为被攻击主机的地址，而将目的地址设置为广播地址，于是大量的ICMP echo回应包被发送给被攻击主机，使其因网络阻塞而无法提供服务
不仅影响目标主机，还能影响目标主机的整个网络系统
2021/12/17 星期五
21
典型拒绝服务攻击技术
Fraggle攻击：
原理与Smurf一样，采用向广播地址发送数据包，利用广播的特性将攻击放大以使目标主机拒绝服务
不同：Fraggle使用的是UDP应答消息而