第09章拒绝服务攻击
《第09章拒绝服务攻击》由会员分享,可在线阅读,更多相关《第09章拒绝服务攻击(30页珍藏版)》请在文档大全上搜索。
1、第第9章章 拒绝服务攻击拒绝服务攻击何路何路 http:/dc-security.org 计算机网络安全计算机网络安全何路何路http:/dc-security.org 本章主要内容本章主要内容l拒绝服务攻击拒绝服务攻击DOS概念概念lDOS原理及分类原理及分类l分布式拒绝服务攻击(分布式拒绝服务攻击(DDOS)lDOS发展趋势发展趋势计算机网络安全计算机网络安全何路何路http:/dc-security.org 国内僵尸网络起源和发展国内僵尸网络起源和发展l早在早在2001年,国内一些安全爱好者就开年,国内一些安全爱好者就开始研究僵尸程序(始研究僵尸程序(只作为研究只作为研究) 。l2003
2、年年3月月8日,在我国首先发现的口令日,在我国首先发现的口令蠕虫蠕虫(国外称之为国外称之为“Deloader”或或“Deloder”)就可以视为僵尸网络就可以视为僵尸网络 。l2004年末爆发的一场浩荡的僵尸网络攻年末爆发的一场浩荡的僵尸网络攻击事件,就将这个埋藏在中国数年之久的击事件,就将这个埋藏在中国数年之久的隐患释放隐患释放 。计算机网络安全计算机网络安全何路何路http:/dc-security.org 僵尸网络飞速发展僵尸网络飞速发展l2009年年5月月1日至日至31日,日,CNCERT/CC对对僵尸网络的活动状况进行了抽样监测,发僵尸网络的活动状况进行了抽样监测,发现国内外现国内外
3、1212个个IP地址对应的主机被利地址对应的主机被利用作为僵尸网络控制服务器用作为僵尸网络控制服务器 。l就全球感染情况来说,目前,英国是感染就全球感染情况来说,目前,英国是感染Bot最多的国家。如表所示,已知感染最多的国家。如表所示,已知感染Bot 的计算机中有的计算机中有32%来自英国,来自英国,19%来来自美国,自美国,7%来自中国,我国的来自中国,我国的Bot感染率感染率赫然名列第三。赫然名列第三。 计算机网络安全计算机网络安全何路何路http:/dc-security.org 网络信息安全网络信息安全全球僵尸网络增长情况表全球僵尸网络增长情况表计算机网络安全计算机网络安全何路何路ht
4、tp:/dc-security.org DoS概念概念lDoS的英文全称是的英文全称是Denial of Service即即 “拒绝服务拒绝服务”的意思。的意思。 lDoS攻击是指利用网络协议漏洞或其他系攻击是指利用网络协议漏洞或其他系统以及应用软件的漏洞耗尽被攻击目标资统以及应用软件的漏洞耗尽被攻击目标资源,使得被攻击的计算机或网络无法正常源,使得被攻击的计算机或网络无法正常提供服务,直至系统停止响应甚至崩溃的提供服务,直至系统停止响应甚至崩溃的攻击方式,即攻击者通过某种手段,导致攻击方式,即攻击者通过某种手段,导致目标机器或网络停止向合法用户提供正常目标机器或网络停止向合法用户提供正常的服
5、务或资源访问。的服务或资源访问。 计算机网络安全计算机网络安全何路何路http:/dc-security.org DOS原理及分类原理及分类lDOS原理:原理:计算机网络安全计算机网络安全何路何路http:/dc-security.org DOS原理原理l攻击者向服务器发送众多的带有虚假地址的请攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息。求,服务器发送回复信息后等待回传信息。l由于地址是伪造的,所以服务器一直等不到回由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有传的消息,分配给这次请求的资源就始终没有被释放。被释放。l当服务器
6、等待一定的时间后,连接会因超时而当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。源最终会被耗尽。 计算机网络安全计算机网络安全何路何路http:/dc-security.org DoS分类分类lDoS的攻击方式有很多种,最基本的的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服的服务资源,从而使合法用户无法得到服务。务。 lSYN Flo
7、odl死死ping(ping of death)l泪滴泪滴(teardrop)l计算机网络安全计算机网络安全何路何路http:/dc-security.org SYN Flood计算机网络安全计算机网络安全何路何路http:/dc-security.org SYN Floodl防御措施防御措施:l在防火墙上过滤来自同一主机的后续连接。在防火墙上过滤来自同一主机的后续连接。SYN洪水威胁很大,由于释放洪流的主机洪水威胁很大,由于释放洪流的主机并不寻求响应,所以无法从一个简单高容并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。量的传输中鉴别出来。计算机网络安全计算机网络安全何路何路http
8、:/dc-security.org 死死ping(ping of death)l在早期版本中许多操作系统对网络数据包的最在早期版本中许多操作系统对网络数据包的最大尺寸有限制,对大尺寸有限制,对TCP/IP栈的实现在栈的实现在ICMP包上包上规定为规定为64KB。在读取包的报头后,要根据该报。在读取包的报头后,要根据该报头里包含的信息来为有效载荷生成缓冲区。头里包含的信息来为有效载荷生成缓冲区。l当发送当发送ping请求的数据包声称自己的尺寸超过请求的数据包声称自己的尺寸超过ICMP上限,也就是加载的尺寸超过上限,也就是加载的尺寸超过64K上限时,上限时,就会使就会使ping请求接收方出现内存分
9、配错误,导请求接收方出现内存分配错误,导致致TCP/IP堆栈崩溃致使接受方当机。堆栈崩溃致使接受方当机。计算机网络安全计算机网络安全何路何路http:/dc-security.org 死死ping(ping of death)l防御:防御:l现在所有的标准现在所有的标准TCP/IP实现都已实现对实现都已实现对付超大尺寸的包,并且大多数防火墙能够付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括从自动过滤这些攻击,包括从windows98之后的之后的windows,NT(service pack 3之后之后) linux Solaris 和和Mac OS都具有抵抗一般都具有抵抗一般pin
10、g of death攻击的能力。此外对防火攻击的能力。此外对防火墙进行配置,阻断墙进行配置,阻断ICMP以及任何未知协以及任何未知协议都将防止此类攻击。议都将防止此类攻击。计算机网络安全计算机网络安全何路何路http:/dc-security.org 泪滴泪滴(teardrop)l泪滴攻击利用那些在泪滴攻击利用那些在TCP/IP堆栈实现中,堆栈实现中,信任信任IP碎片中的包的标题头所包含的信息碎片中的包的标题头所包含的信息来实现攻击。来实现攻击。IP分段含有指示该分段所包分段含有指示该分段所包含的是原包的哪一段的信息,某些含的是原包的哪一段的信息,某些TCP/IP 包括包括service pa
