文档介绍:拒绝服务攻击
拒绝服务(DoS)是使计算机或网络无法对外提供正常服务,这是一种典型破坏行为。
主要表现:不断对网络服务系统进行干扰,改变正常作业流程;执行无关程序使系统响应减慢甚至瘫痪,影响正常用户使用,甚至使合法用户被排斥而不能进入系统
攻击者伪造源地址进行SYN请求
好像不管用了
其它正常用户能够得到响应
SYN
ACK | SYN
???
SYN
ACK
ACK | SYN
攻击者
Date
15
整理课件
SYN-Flooding的防范措施(二)
SYN proxy
攻击者
目标
攻击者伪造源地址进行SYN请求
好像不管用了
其它正常用户能够得到响应
SYN
???
ACK | SYN
Date
16
整理课件
Land 攻击
源地址和目标地址相同!
即目标与自己在联接。
攻击者
Internet
Code
欺骗性的 IP 包
源地址 Port 139
目的地址 Port 139
TCP Open
目标
Date
17
整理课件
Land 攻击
源地址和目标地址相同!
即目标与自己在联接。
Internet
目标
IP包欺骗
源地址 Port 139
目的地址 Port 139
包被送回它自己
崩溃
攻击者
Code
Date
18
整理课件
Land 攻击防护: 代理类的防火墙
攻击者
Internet
Code
目标
IP包欺骗
源地址 Port 139
目标地址 Port 139
TCP Open
防火墙
防火墙把有危险的包
阻隔在网络外
G. Mark Hardy
Date
19
整理课件
UDP-Flood攻击
Date
20
整理课件
UDP-Flood攻击
UDP协议无状态,应用五花八门。
利用小报文冲击应用服务器:Radius认证服务器、DNS服务器、流媒体服务器。
针对DNS攻击的手段
只针对53端口发NULL数据包,危害性不大。
请求解析固定的域名,由于有CACHE存在,需要较大数量。
随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求,引起连锁反应。
蠕虫扩散带来的大量域名解析请求。
Date
21
整理课件
UDP-Flood攻击预防
杜绝UDP Flood攻击的最好办法是关掉不必要的TCP/IP服务,或者配置防火墙以阻断来自Internet的UDP服务请求,不过这可能会阻断一些正常的UDP服务请求。
Date
22
整理课件
HTTP Get Flood攻击
利用***发起大量的HTTP Get请求。
主要是请求动态页面。
数据库服务器负载极高,无法正常响应。
Date
23
整理课件
分布式拒绝服务(DDOS)
以破坏系统或网络的可用性为目标
常用的工具:
Trinoo,
TFN/TFN2K,
Stacheldraht
Mstream
Stacheldraht
Naptha
应用层的CC攻击
很难防范
伪造源地址,流量加密,因此很难跟踪
client
target
handler
...
agent
...
DoS
ICMP Flood / SYN Flood / UDP Flood
Date
24
整理课件
分布式拒绝服务攻击网络结构图
客户端
客户端
主控端
主控端
主控端
主控端
代理端
代理端
代理端
代理端
代理端
代理端
代理端
代理端
Date
25
整理课件
分布式拒绝服务攻击步骤1
Scanning
Program
不安全的计算机
Hacker
攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。
1
Internet
Date
26
整理课件
Hacker
被控制的计算机(代理端)
黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置***、sniffer或守护程序甚至是客户程序。
2
分布式拒绝服务攻击步骤2
Internet
Date
27
整理课件
Hacker
黑客在得到入侵计算机清单后,从中选出满足建立网络所需要的主机,放置已编译好的守护程序,并对被控制的计算机发送命令。
3
被控制计算