DoS攻击原理及防御方法.ppt

1、DoS攻击原理及防御方法,及典型DoS攻击软件介绍,四川交通职业技术学院高网03-1蒋虎,Internet的出现和不断强大让通讯变得前所未有的便捷，也让地球变成了一个村落。但是，在Internet发展壮大的同时，网络系统也积下了无数的漏洞和缺陷，也正是这些缺陷和漏洞给今天的Internet留下了巨大的安全隐患，给予了破坏网络的“黑客”们巨大的机会和诱惑，破坏网络的攻击方式和手段层出不穷，针对这些漏洞和缺陷的攻击软件更是起了“推波助澜”的作用。虽然，一些漏洞和缺陷在Internet的壮大和完善的过程中被修补和完善，但是，还是有部分漏洞和缺陷随着Internet的壮大而“壮大”，而且针对这些漏洞和

2、缺陷的攻击手段、方式和软件也在不断进步，基于Internet最核心的协议TCP/IP协议的缺陷的DoS（拒绝服务攻击）就是其中一个。,前言：,1.1 Dos攻击及其实现方式：,什么是DoS攻击？,DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。早期的DoS攻击常为攻击者在自己的及其或者被其控制的单一计算机上安装DoS攻击软件，对目标计算机或者服务器进行拒绝服务攻击,什么是DoS攻击？,1.2 DDoS攻击及其实现方式：,分布式拒绝服务(DDoS:Distributed Denial of Servic

3、e)攻击是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。,什么是DoS攻击？,1.3.1制造大流量无用数据，造成通往被攻击主机的网络拥塞，使被攻击主机无法正常和外界通信。1.3.2利用被攻击主机提供服务或传输协议上处理重复连接的缺陷，反复高频的发出攻击性的重复服务请求，使被攻击主机无法及时处理其它正常的请求。1.3.3利用被攻击主机所提供服务程序或传输协议的本身实现缺陷，反复发送畸形的攻击数据引发系统错误的分配大量系统资源，使主机处于挂起状态甚至死机。,1.3攻击原理,什么是DoS攻击？,1.4攻击手段,1.4.1

4、 Synflood：1.4.2 Smurf：1.4.3 Land-based：1.4.4 Ping of Death：1.4.5 Teardrop：1.4.6 PingSweep：1.4.7 Pingflood：,该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。,该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击

5、主机发包，使该主机受到攻击。,攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。,根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。,IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包

6、的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。,使用ICMP Echo轮询多个主机。,该攻击在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽。,什么是DoS攻击？,1.3攻击后果,当目标主机受到DoS的成功攻击后，通常会响应速度变慢或停止响应，连合法用户都不能访问该主机，严重的还会造成目标主机的重新启动、死机甚至崩溃。,2.1 HGOD：HGOD是在命令提示行中进行UDP/ICMP/IGMP各端口或端口段攻击的DoS软件，可以手工设定攻击时间、攻击目标端口（支持多端口同时

7、攻击）、攻击时发送的数据包大小、包发送间隔时间、网络速度、源IP变化范围等参数,2.2 DDoSer：DDoSer属于分布式拒绝服务攻击软件，采用的是与普通DDoS软件不同的另一种结构，软件分为生成器(DDoSMaker.exe)与DDoS攻击者程序(DDoSer.exe)两部分。软件在下载安装后没有DDoS攻击者程序的(只有生成器 DDoSMaker.exe)，DDoS攻击者程序要通过生成器进行生成。生成时，可以自定义攻击目标的域名或IP地址、端口等设置（如右图）。DDoS攻击者程序默认的文件名为DDoSer.exe，可以在生成时或生成后任意改名。,DoS攻击几乎是从互联网络的诞生以来，就伴

8、随着互联网络的发展而一直存在也不断发展和升级，而且DoS攻击工具可以轻易地在互联网上获得，所以任何一个上网者都可能构成网络安全的潜在威胁。DoS攻击给飞速发展的互联网络安全带来重大的威胁。然而从某种程度上可以说，DoS攻击永远不会消失而且从技术上目前没有根本的解决办法。但是，可以根据造成缺陷和漏洞的原因来预防和避免DoS攻击：,1软件弱点是包含在操作系统或应用程序中与安全相关的系统缺陷 安装hot fix或者SP,2错误配置也会成为系统的安全隐患 修改网络/系统相关配置,3重复请求导致过载的拒绝服务攻击。当对资源的重复请求大大超过资源的支付能力时就会造成拒绝服务攻击。,结语：,由于30多年前制定的Internet的核心协议族TCP/IP沿用至今，许多TCP/IP协议族中的固有缺陷和漏洞还将继续存在，攻击者也会继续研究和利用这些漏洞、缺陷来攻击网络系统。加之，计算机软硬件系统变得越来越复杂，不可避免地导致了由于人为疏忽出现的软硬件漏洞，而且也正是因为这些协议本身和计算机系统的软硬件的缺陷和漏洞给了攻击者可乘之机，DoS的攻击手段也不断地“推陈出新”，让DoS日益成为威胁Internet正常运行的首要威胁之一。但是DoS攻击并不是完全不可避免的，通过一定的技术手段可以防范和减少DoS攻击者得手的机会，或者降低DoS攻击导致的破坏和损失。,The End,Thank You!,