拒绝服务攻击与防御技术
2021-02-03 15:56:43 1 举报AI智能生成
拒绝服务攻击与防御技术,包括攻击类型和实现技术
作者其他创作
大纲/内容
分布式
拒绝服
务攻击
拒绝服
务攻击
定义
借助C/S技术,将多个计算机联合作为
攻击平台,对每一个或多个目标发动DOS攻击
攻击平台,对每一个或多个目标发动DOS攻击
分别进行不同类型的攻击
组成
客户端
控制台,发起攻击的主机
服务器端
攻击服务,完成客户端发来的控制命令
守护进程
攻击器、攻击代理,直接或间接完成与攻击目标的通信
过程
探测扫描大量主机寻找可入侵主机
入侵有漏洞的主机并获取控制权
在每台入侵主机中安装攻击所用的客户进程或守护进程
向安装了客户进程的主控主机发出命令,由他们控制代理主机上的守护进程进行协同入侵
被攻击后现象
大量等待的TCP连接
大量的无用数据包,源地址为假
高流量无用数据
无法及时处理正常请求
死机
工具
TFN2k
Trinao
Stacheldraht
其他
检测
核心方案
异常的网络流量
检测异常
大量的DNS PTR查询请求
超出网络正常工作时的极限通讯流量
特大型的ICMP和UDP数据包
数据包内容只包含文字和数字字符的数据包
防御
优化网络和路由结构
保护主机系统及网络安全
安装入侵检测系统
类型
基于网络的IDS
基于主机的IDS
匹配
样式匹配技术
不规则探测系统
与ISP服务商合作
工具扫描
拒绝服务攻击(DOS)
简单的破坏性攻击,通常利用传输协议的缺陷、系统存在的漏洞、服务漏洞,对系统发动大规模的进攻,消耗系统软硬件资源,造成系统崩溃、瘫痪、宕机等
有意与无意
有意:未被授权的用户过量使用资源
无意:合法用户无意的操作使资源不可用
主要原因
网络协议本身的安全缺陷
可分配服务资源
网络宽带
文件系统空间容量
开放的进程
向内的连接
实现思路分类
滥用合理的服务请求
制造高流量无用数据
利用传输协议缺陷
利用服务器程序的漏洞
漏洞利用方式分类
特定资源消耗类
暴力攻击类
发送速率变化方式
固定速率
可变速率
按产生的影响分类
系统或程序崩溃类
服务降级类
防御
难点
不容易确定攻击者的位置
不可完全阻止,但适当的防御可减少被攻击
方法
完善的设计
宽带限制
及时打补丁
运行少量服务
只运行必要通信
封锁敌意Ip
实现技术
Ping of Death
早期计算机,当ICMP包超过64kb时,会出现溢出,导致TCP/IP协议栈崩溃
防御
利用系统审计,大于64kb,丢弃
泪滴(Teardrop)
分片攻击
大数据包分片传输时,
TCP头部就会有分片
识别号、偏移量、数
据长度、标志位等
TCP头部就会有分片
识别号、偏移量、数
据长度、标志位等
正常的PSH,
每一段长度相
同,序号比邻
每一段长度相
同,序号比邻
PSH 1:1025
PSH 1025:2049
PSH 2049:3073
PSH 1025:2049
PSH 2049:3073
异常的PSH,
无法重组,
协议栈崩溃
无法重组,
协议栈崩溃
PSH 1:1025
PSH 100:2049
PSH 2049:3077
PSH 100:2049
PSH 2049:3077
防御
添加系统补丁,丢弃异常的分片数据包
IP欺骗DOS攻击
利用RST位
攻击流程
建立一个合法用户1.1.1.1,与服务器建立正常连接。
攻击者伪装成1.1.1.1,向服务器发送RST
服务器认为1.1.1.1发送的连接有误,清空缓存区建立好的连接
UDP洪水
利用主机能自动回复的服务
UDP
chargen
echo
SYN洪水
发送大量伪造的TCP连接请求,使对方资源耗尽(CPU满负荷或内存不足)
当一个客户端发送一个SYN的时候,服务器会放回SYN+ACk,若此时客户端
不在线,服务器会在一定时间内一直重发,成为SYN Timeout
不在线,服务器会在一定时间内一直重发,成为SYN Timeout
防御方法
缩短SYN Time out时间
设置SYN cookie
每一个请求连接的IP地址分配一个cookie,如果
短时间内收到某个Ip重复SYN报文,以后从这个IP来的都丢弃
短时间内收到某个Ip重复SYN报文,以后从这个IP来的都丢弃
负反馈策略
SYN连接数到达一定的限制后,系统自动修改SYN timeout、
清空缓存区等一些参数
清空缓存区等一些参数
退让策略
当检测到被攻击,修改自己的IP地址或者修改DNS解析IP地址
分布式DNS负载均衡
防火墙
Land攻击
发送大量源地址和目标地址相同的包,造成目标解析Land包时占用大量的系统资源
Smurf攻击
利用IP欺骗和ICMP回应包引起阻塞
将源地址设置为被攻击主机的地址,
而将目的地址设置为广播地址
而将目的地址设置为广播地址
Fraggle攻击
与smurf类似,但是使用的是UDP应答消息
电子邮件炸弹
大量的发送邮件
畸形消息攻击
利用目标主机或特定服务存在的安全漏洞进行攻击
Slashdot effect
服务器过载
WinNuke攻击
带外输出攻击
端口
139
138
137
113
53
原理
制造特殊的报文,其指针字段与数据的实际位置不符,存在重合。
Windows处理这样的数据会崩溃
Windows处理这样的数据会崩溃
URG位设置为1
自由主题
0 条评论
下一页
