Download
1 / 36
360 likes | 491 Views
主要内容. 四、拒绝服务攻击. 案例. 2000 年 2 月 7 日开始,美国的 Yahoo , eBay 等几个著名的大型商业网站连续遭到黑客攻击,造成长达数小时的瘫痪,直接经济损失达 12 亿美元以上。据有关报道,这次攻击是以大量垃圾数据报淹没目标网站,使其用户无法使用。. 概述. 拒绝服务( Denial-of-Service )攻击就是消耗目的主机或者网络的资源,从而干扰或者瘫痪其为合法用户提供的服务。 DoS 攻击是一种最悠久最常见也是最容易产生效果的攻击形式。. DoS 攻击基本模式. 资源耗尽型. 资源耗尽形式. 2 种. DoS 攻击基本模式.
E N D
案例 2000年2月7日开始,美国的Yahoo,eBay等几个著名的大型商业网站连续遭到黑客攻击,造成长达数小时的瘫痪,直接经济损失达12亿美元以上。据有关报道,这次攻击是以大量垃圾数据报淹没目标网站,使其用户无法使用。
概述 拒绝服务(Denial-of-Service)攻击就是消耗目的主机或者网络的资源,从而干扰或者瘫痪其为合法用户提供的服务。 DoS攻击是一种最悠久最常见也是最容易产生效果的攻击形式。
DoS攻击基本模式 资源耗尽型
资源耗尽形式 2种
DoS攻击基本模式 修改 系统服务停止或性能降低 配置文件 攻击者 删除 配置修改型
DoS攻击基本模式 基于系统缺陷型 攻击者利用目标系统和通信协议的漏洞实现拒绝付攻击 物理实体破坏型 攻击者通过改变或者破坏网络部件实现实现拒绝付攻击
常见攻击手段 SYN Flood IP欺骗DOS攻击 UDP洪水攻击 Ping洪流攻击 泪滴(teardrop)攻击 Land攻击 Smurf攻击 Fraggle攻击 分布式拒绝服务攻击(DDoS) 分布式反射拒绝服务攻击(DRDoS)
SYN Flood攻击 概述 SYN Flood是最为有效和流行的一种DoS攻击形式。它利用TCP三次握手协议的缺陷,向目标主机发送大量的伪造源地址的SYN连接请求,消耗目标主机的资源,从而不能够为正常用户提供服务。
SYN Flood攻击 攻击原理(三次握手)
SYN Flood攻击 攻击过程
SYN Flood攻击 特点 针对TCP/IP协议的薄弱环节进行攻击; 发动攻击时,只要很少的数据流量就可以产生很显著的效果; 攻击源无法定位; 在服务端无法区分TCP连接请求是否合法。
SYN Flood防御 缩短SYN Timeout时间 由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度 x SYN Timeout,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间 设置SYN Cookie 给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,并记录地址信息,以后从这个IP地址来的包会被一概丢弃。
Smurf攻击 攻击原理 攻击的过程是这样的:Attacker向一个具有大量主机和因特网连接的网络的广播地址发送一个欺骗性Ping分组(echo 请求),这个目标网络被称为反弹站点,而欺骗性Ping分组的源地址就是Attacker希望攻击的系统。
Smurf防御 阻塞Smurf攻击的源头 用户可以使用路由路的访问保证内部网络中发出的所有传输信息都具有合法的源地址,以防止这种攻击。这样可以使欺骗性分组无法找到反弹站点。
Smurf防御 阻塞Smurf的反弹站 第一种方法可以简单地阻塞所有入站echo请求,这们可以防止这些分组到达自己的网络。 如果不能阻塞所有入站echo请求,用户就需要令自己的路由器把网络广播地址映射成为LAN广播地址。制止了这个映射过程,自己的系统就不会再收到这些echo请求。
Teardrop攻击 攻击原理 Teardrop是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。
Teardrop防御 检测 对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。 防御 添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。尽可能采用最新的操作系统,或者在防火墙上设置分段重组功能。
Land攻击 原理 在Land攻击中,一个特别打造的SYN包中的源地址和目标地址都被设置成某一个服务器地址,这时将导致接受服务器向它自己的地址发送SYN一ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉。
Land防御 服务供应商可以在边缘路由器的进入端口上安装过滤器对所有入内数据包的 IP 源地址进行检查,这样就可以阻止发生在会聚点后的 LAND 攻击。如果该源地址的前缀在预先规定的范围之内,则该数据包被转发,否则被丢弃。
分布式拒绝服务攻击(DDoS) 概述 一种基于DoS的特殊形式的拒绝服务攻击,是一种分布的,协作的大规模攻击方式,主要瞄准比较大的站点,例如商业公司、搜索引擎和政府部门的站点。
分布式拒绝服务攻击(DDoS) 原理 DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式,DDoS就是利用更多的网络上的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
分布式拒绝服务攻击(DDoS) 网络机构
分布式拒绝服务攻击(DDoS) 步骤 探测扫描大量主机以寻找可入侵主机目标 入侵有安全漏洞的主机并获得控制权 在每台入侵主机中安装攻击程序 利用已入侵主机继续进行扫描和入侵
分布式拒绝服务攻击(DDoS) 特点 被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用的源地址为假的数据包,制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯 利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求 严重时会造成系统死机
分布式拒绝服务攻击(DDoS) 分类 SYN变种攻击 TCP混乱数据包攻击 针对用UDP协议的攻击 针对WEB Server的多连接攻击 针对WEB Server的变种攻击 针对游戏服务器的攻击
分布式拒绝服务攻击(DDoS) 防御 关闭不必要的服务 限制同时打开的Syn半连接数目 缩短Syn半连接的time out 时间 及时更新系统补丁 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问
概述 缓冲区溢出是一种在各种操作系统、应用软件中广泛存在普遍且危险的漏洞,利用缓冲区溢出攻击可以导致程序运行失败、系统崩溃等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。
原理 当正常的使用者操作程序的时候,所进行的操作一般不会超出程序的运行范围;而黑客却利用缓冲长度界限向程序中输入超出其常规长度的内容,造成缓冲区的溢出 从而破坏程序的堆栈,使程序运行出现特殊的问题转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数,属于程序开发过程考虑不周到的结果。
分类 栈溢出攻击 堆溢出攻击
危害 缓冲区溢出漏洞比其他一些黑客攻击手段更具有破坏力和隐蔽性。不易查找和追踪攻击源。这也是利用缓冲区溢出漏洞进行攻击日益普遍的原因。它极容易使服务程序停止运行,服务器死机甚至删除服务器上的数据。
示例 世界上第一个缓冲区溢出攻击——Morris蠕虫,发生在十几年前,曾造成了全球6000多台网络服务器瘫痪。 在BSD上存在打印守护进程远程缓冲区溢出漏洞;在Sun OS上的Solaris whodo本地缓冲区溢出漏洞; 世界上第一个Linux病毒Reman,其实就是一个缓冲区溢出攻击程序; 而Windows下IIS4、IIS5某些版本在处理超长文件名时,存在缓冲区溢出漏洞。
防御方法 通过操作系统使得缓冲区不可执行,从而阻止攻击者植入攻击代码; 强制写正确的代码的方法; 利用编译器的边界检查来实现缓冲区的保护,使得缓冲区溢出不可能出现,从而完全消除了缓冲区溢出的威胁。
