文档介绍：第二讲
网络攻击技术
1
一、网络攻击与防范
在现实网络世界中,常见的网络攻击主要有如下几种:
网络监听:通过监听和分析网络数据包来获取有关重要信息, 如用户名和口令、重要数据等;
信息欺骗:通过篡改、删除或重放数据包进行信息欺骗;
2
(3)系统入侵:通过网络探测、IP欺骗、缓冲区溢出、口令破译等方法非法获取一个系统的管理员权限,进而安放恶意代码(如木马、病毒等)、获取重要数据或者实施系统破坏;
(4)远程攻击:通过拒绝服务、计算机病毒等方法远程攻击一个网络中的系统,使该系统瘫痪或崩溃。
主要介绍几种典型的网络攻击方法及其基本的防范技术。
3
二、分布式拒绝服务攻击
分布式拒绝服务(Distributed Denial of Service, DDoS)攻击是一种常见的网络攻击技术, 目的是使目标系统服务中断,甚至导致系统瘫痪。
DDoS攻击是从DoS攻击派生出来, 通过产生大量虚假的数据包来耗尽目标系统的资源, 如CPU、内存空间、通信带宽等, 使系统无法响应和处理正常的服务请求,直到系统过载而崩溃。
4
DoS攻击采用单点结构,攻击力有限,呈现“孤岛效应”。
DDoS攻击则采用分布式结构, 攻击力大, 形成“规模效应”。因此,DDoS攻击对网络系统的威胁要大得多。
DDoS攻击技术是从网络容量测试技术派生的, 通过发送海量数据包来验证一个网络系统所能处理的最大网络流量,以此决定是否需要增加网络带宽。
5
1. DDoS攻击的基本原理
中有安全漏洞的主机,并在这些主机上安装代理程序,然后通过适当方式将这些主机组织起来, 构成一个强大的攻击网络(亦称僵尸网络, )。
攻击者利用这个攻击网络向目标系统发起大规模的DoS攻击, 耗尽目标系统的可用资源, 使目标系统过载而崩溃。
6
由三类节点组成:攻击者(Attacker, AK)、攻击控制端(Attacker Master, AM)和攻击代理端(Attacker Agent, AA)。
为了隐蔽,控制端采用公共通信平台中的服务器(如网络聊天系统中的IRC服务器等),代理端为僵尸主机或木马主机。
攻击者登录到控制端,通过隐蔽通道(如聊天频道)向代理端发送命令实施攻击。
7
攻击者
攻击控制端
攻击控制端
攻击控制端
……
攻击代理
攻击代理
攻击代理
攻击代理
攻击代理
攻击代理
……
……
……
被攻击目标
僵尸网络
图组成
8
DDoS攻击过程如下:
AK使用***工具等在互联网中寻找脆弱主机,并要达到一定的数量级;
AK对脆弱主机进行攻击, 获得对脆弱主机的控制权限(Root权限),然后在脆弱主机上安装AA程序;
在所有脆弱主机上安装AA程序后, ;
对目标系统实施各种DoS攻击(如ICMP flood、TCP SYN flood、UDP flood等)。
9
2. DDoS攻击的检测方法
DDoS攻击主要利用了脆弱主机和网络协议的缺陷来实施攻击。
在互联网中存在大量脆弱主机,都可能成为是潜在的枪手。
IP协议存在着可以伪装IP源地址的缺陷,使得难以追踪攻击者。
TCP、UDP和ICMP等协议均存在可利用的弱点,例如利用TCP SYN报文建立半TCP连接;利用UDP和ICMP的无连接和无认证特性发送海量信息等。
10