文档介绍：Network Security 网络安全张立江 cheungcumt@ 第5讲网络攻击(IV) —拒绝服务攻击与防御 Contents 拒绝服务攻击的概念 1典型 DoS 攻击 2典型 DDoS 攻击 3 DoS 攻击的防御 4 2017-4-18 计算机科学与技术学院 2 拒绝服务攻击的概念?拒绝服务( Denial of Service , DoS ):一种破坏性攻击,通常是利用传输协议中的某个弱点、系统存在的漏洞、服务的漏洞对目标系统发起大规模的进攻,用超出目标处理能力的海量数据包消耗可用系统资源、带宽资源等,或造成程序缓冲区溢出错误,致使其无法处理合法用户的正常请求,无法提供正常服务,最终致使网络服务瘫痪,甚至系统死机?简单的说,拒绝服务攻击就是让攻击目标瘫痪的一种“损人不利己”的攻击手段 2017-4-18 计算机科学与技术学院 3 拒绝服务攻击的概念?史上最著名的拒绝服务攻击之一—— Morris 蠕虫: 1988 年 11 月,全球众多连在因特网上的计算机在数小时内无法正常工作,遭受攻击的包括5个计算机中心和 12 个地区结点,连接着政府、大学、研究所和拥有政府合同的 25 万台计算机。直接经济损失达 9600 万美元?许多知名网站如 Yahoo 、 eBay 、 CNN 、百度、新浪等都曾遭受过 DoS 攻击?典型案例:百度遭受大规模 SYN Flooding 攻击(2006 年) 2017-4-18 计算机科学与技术学院 4 2017-4-18 计算机科学与技术学院 5 拒绝服务攻击的类型?按照攻击行为可分为两类: ?网络带宽攻击:极大的通信量冲击网络,使所有可用的网络资源被消耗殆尽,最终导致合法用户请求无法通过?连通性攻击:大量的连接请求冲击计算机,使得所有可用的系统资源被消耗殆尽,最终计算机无法再处理合法用户的请求 2017-4-18 计算机科学与技术学院 6 拒绝服务攻击的类型从实施 DoS 攻击所用的思路来看, DoS 攻击可以分为: ?滥用合理的服务请求?过度地请求系统的正常服务,占用过多服务资源,致使系统超载。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者连接数等?制造高流量无用数据?恶意地制造和发送大量各种随机无用的数据包,用这种高流量的无用数据占据网络带宽,造成网络拥塞?利用传输协议缺陷?构造畸形的数据包并发送,导致目标主机无法处理,出现错误或崩溃?利用服务程序的漏洞?针对主机上的服务程序的特定漏洞,发送一些有针对性的特殊格式的数据,导致服务处理错误而拒绝服务 2017-4-18 计算机科学与技术学院 7 典型拒绝服务攻击技术? Ping of Death ?泪滴( Teardrop ) ? IP欺骗 DoS 攻击? UDP 洪水? SYN 洪水? Land 攻击? Smurf 攻击? Fraggle 攻击?电子邮件炸弹?畸形消息攻击? Slashdot effect ? WinNuke 攻击 2017-4-18 计算机科学与技术学院 8 典型拒绝服务攻击技术? Ping of Death (死亡之 Ping ): ? ICMP 报文长度固定,大小为 64KB ,早期很多操作系统在接收 ICMP 报文时,只开辟 64KB 的缓存区用于存放接收到的数据包?一旦发送过来的 ICMP 数据包的实际尺寸超过 64KB ,操作系统将收到的数据报文向缓存区填写时,就会产生缓存溢出,将导致 TCP/IP 协议堆栈的崩溃,造成主机的重启或死机?“ ping –l”可指定发送数据包的尺寸,因此使用 Ping 就可以简单地实现这种攻击。例如: Ping -l 65540 2017-4-18 计算机科学与技术学院 9 典型拒绝服务攻击技术?现在的操作系统已修补了这一漏洞:对可发送的数据包大小进行了限制?在 Windows xp 及以后操作系统中输入这样的命令: Ping -l 65535 系统返回这样的信息: Bad value for option -l, valid range is from 0 to 65500. 2017-4-18 计算机科学与技术学院 10