文档介绍：该【[精选]NS 5 网络攻击4 拒绝服务攻击与防御 】是由【zhangkuan1439】上传分享，文档一共【45】页，该文档可以免费在线阅读，需要了解更多关于【[精选]NS 5 网络攻击4 拒绝服务攻击与防御 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。网络安全全
张立江
******@
第5讲网络攻击击(IV)—拒绝服务攻击与防防御
Contents
拒绝服务攻击的概念
1
典型DoS攻击
2
典型DDoS攻击
3
DoS攻击的防御
4
2022/11/7
计算机机科学学与技技术学学院
2
拒绝服服务攻攻击的的概念念
拒绝服服务((DenialofService,DoS):一种破破坏性性攻击,,通常常是利利用传传输协协议中中的某某个弱弱点、、系统统存在在的漏漏洞、服务务的漏洞对对目标系系统发发起大大规模模的进进攻,,用超超出目目标处处理能能力的的海量量数据据包消消耗可可用系统资资源、带宽资资源等,或或造成成程序缓缓冲区区溢出出错误,,致使使其无无法处处理合合法用用户的的正常常请求求,无无法提提供正正常服服务,,最终终致使使网络络服务务瘫痪痪,甚甚至系系统死机
简单的的说,,拒绝绝服务务攻击击就是是让攻攻击目目标瘫瘫痪的的一种种“损人不不利己己”的攻击击手段段
2022/11/7
计算机机科学学与技技术学学院
3
拒绝服服务攻攻击的的概念念
史上最著著名的的拒绝绝服务务攻击之之一——Morris蠕虫:1988年11月,全全球众众多连连在因因特网网上的的计算算机在在数小小时内内无法法正常常工作作,遭受受攻击的的包括括5个个计算算机中中心和和12个地区区结点点,连连接着着政府府、大大学、、研究究所和和拥有有政府府合同同的25万台计计算机机。直接接经济损损失达达9600万美元
许多知知名网网站如如Yahoo、eBay、CNN、百度度、新新浪等等都曾曾遭受受过DoS攻击
典型案案例::百度度遭受受大规规模SYNFlooding攻击击(2006年)
2022/11/7
计算算机机科科学学与与技技术术学学院院
4
2022/11/7
计算算机机科科学学与与技技术术学学院院
5
拒绝绝服服务务攻攻击击的的类类型型
按照照攻攻击击行行为为可可分分为为两两类类::
网络络带带宽宽攻攻击击:极极大大的的通通信信量量冲冲击击网网络络,,使使所所有有可可用用的的网网络络资资源源被被消消耗耗殆殆尽尽,,最最终终导导致致合合法法用用户户请请求求无无法法通通过过
连通通性性攻攻击击:大大量量的的连连接接请请求求冲冲击击计计算算机机,,使使得得所所有有可可用用的的系系统统资资源源被被消消耗耗殆殆尽尽,,最最终终计计算算机机无无法法再再处处理理合合法法用用户户的的请请求求
2022/11/7
计算算机机科科学学与与技技术术学学院院
6
拒绝绝服服务务攻攻击击的的类类型型
从实实施施DoS攻击击所所用用的的思思路路来来看看,,DoS攻击击可可以以分分为为::
滥用用合合理理的的服服务务请请求求
过度度地地请请求求系系统统的的正正常常服服务务,,占占用用过过多多服服务务资资源源,,致致使使系系统统超超载载。。这这些些服服务务资源源包包括括网络络带带宽宽、、文文件件系系统统空空间间容容量量、、开开放放的的进进程程或或者者连连接接数数等等
制造造高高流流量量无无用用数数据据
恶意意地地制制造造和和发发送送大大量量各各种种随随机机无无用用的的数数据据包包,,用用这这种种高高流流量量的的无无用用数数据据占占据据网网络络带带宽宽,,造造成成网网络络拥拥塞塞
利用用传传输输协协议议缺缺陷陷
构造造畸畸形形的的数数据据包包并并发发送送,,导导致致目目标标主主机机无无法法处处理理,,出出现现错错误误或或崩溃溃
利用用服服务务程程序序的的漏漏洞洞
针对对主主机机上上的的服服务务程程序序的的特特定定漏漏洞洞,,发发送送一一些些有有针针对对性性的的特特殊殊格格式式的的数数据据,,导导致致服服务务处处理理错错误误而而拒拒绝绝服服务务
2022/11/7
计算机科科学与技技术学院院
7
典型拒绝绝服务攻攻击技术术
PingofDeath
泪滴(Teardrop)
IP欺骗DoS攻击
UDP洪水
SYN洪水
Land攻击
Smurf攻击
Fraggle攻击
电子邮件件炸弹
畸形消息攻击击
Slashdoteffect
WinNuke攻击
2022/11/7
计算机科科学与技技术学院院
8
典型拒绝绝服务攻攻击技术术
PingofDeath(死亡之之Ping):
ICMP报文长度度固定,,大小为64KB,早期很很多操作作系统在在接收ICMP报文时,,只开辟64KB的缓存区区用于存存放接收收到的数据包
一旦发送送过来的的ICMP数据包的的实际尺尺寸超过过64KB,操作系统统将收到到的数据据报文向向缓存区区填写时时,就会产生缓存溢出,将导致TCP/IP协议堆栈栈的崩溃溃,造成成主机的的重启或死机机
“ping–l”可指定发送送数据包包的尺寸寸,因此使用用Ping就可以简单单地实现现这种攻攻击。例如:
Ping-
2022/11/7
计算机科学学与技术学学院
9
典型拒绝服服务攻击技技术
现在的操作作系统已修补了这一漏洞:对可发送的数数据包大小小进行了限制
在Windowsxp及以后操作系统中输入这样样的命令::
Ping-
系统返回这这样的信息息:
Badvalueforoption-l,validrangeisfrom0to65500.
2022/11/7
计算机科学学与技术学学院
10