版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、-. z.目录 TOC o 1-3 h z u HYPERLINK l _Toc4044446701拒接效劳攻击简介 PAGEREF _Toc404444670 h 2HYPERLINK l _Toc4044446712拒接效劳攻击的原理 PAGEREF _Toc404444671 h 2HYPERLINK l _Toc4044446722.1 SYN Flood PAGEREF _Toc404444672 h 2HYPERLINK l _Toc4044446732.2 UDP洪水攻击 PAGEREF _Toc404444673 h 2HYPERLINK l _Toc4044446742.3P
2、ing洪流攻击 PAGEREF _Toc404444674 h 2HYPERLINK l _Toc4044446752.4其他方式的攻击原理 PAGEREF _Toc404444675 h 2HYPERLINK l _Toc4044446763攻击过程或步骤流程 PAGEREF _Toc404444676 h 2HYPERLINK l _Toc4044446773.1攻击使用的工具 PAGEREF _Toc404444677 h 2HYPERLINK l _Toc4044446783.2 SYN flood攻击模拟过程 PAGEREF _Toc404444678 h 2HYPERLINK l
3、_Toc4044446794此次攻击的功能或后果 PAGEREF _Toc404444679 h 2HYPERLINK l _Toc4044446805对拒绝效劳防*手段与措施 PAGEREF _Toc404444680 h 2HYPERLINK l _Toc4044446815.1增强网络的容忍性 PAGEREF _Toc404444681 h 2HYPERLINK l _Toc4044446825.2提高主机系统的或网络平安性 PAGEREF _Toc404444682 h 2HYPERLINK l _Toc4044446835.3入口过滤 PAGEREF _Toc404444683 h
4、2HYPERLINK l _Toc4044446845.4出口过滤 PAGEREF _Toc404444684 h 2HYPERLINK l _Toc4044446855.5主机异常的检测 PAGEREF _Toc404444685 h 2HYPERLINK l _Toc4044446866个人观点 PAGEREF _Toc404444686 h 2HYPERLINK l _Toc4044446877参考文献 PAGEREF _Toc404444687 h 2拒绝效劳攻击技术研究与实现*:江志明班级:YA*接效劳攻击简介所谓的拒绝效劳攻击简单说即攻击者想方法让目标机器
5、停顿提供效劳,是黑客常用的攻击手段之一。其实对网络带宽进展的消耗性攻击只是拒绝效劳攻击的一小局部,只要能够对目标造成麻烦,使*些效劳被暂停甚至主机死机,都属于拒绝效劳攻击。拒绝效劳攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的平安缺陷造成的,从而拒绝效劳攻击也成为了攻击者的终极手法。攻击者进展拒绝效劳攻击,实际上让效劳器实现两种效果:一是迫使效劳器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使效劳器把合法用户的连接复位,影响合法用户的连接。2拒接效劳攻击的原理2.1 SYN FloodSYN Flood是当前最流行的DoS(拒绝效劳攻击)与DDoS(Distribut
6、ed Denial Of Service分布式拒绝效劳攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存缺乏)的攻击方式,这种攻击容易操作并且效果明显具体过程是通过三次握手协议实现的假设一个用户向效劳器发送了SYN报文后突然死机或掉线,则效劳器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下效劳器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒2分钟);一个用户
7、出现异常导致效劳器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址),效劳器端将为了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进展SYN+ACK的重试。实际上如果效劳器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃 即使效劳器端的系统足够强大,效劳器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,效劳器失去响应,这种情况就称作:效劳器端受到了SYN Flood攻击(SYN
8、洪水攻击)。TCP三次握手示意图DDOS分布式示意图2.2 UDP洪水攻击攻击者利用简单的TCP/IP效劳,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与*一主机的Chargen效劳之间的一次的UDP连接,回复地址指向开着Echo效劳的一台主机,这样就生成在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的效劳攻击。在实际情况下,攻击者会利用一定数量级的傀儡机器同时进展攻击,这时候就有可能发生受害机UDP淹没。被UDP攻击机示意图2.3Ping洪流攻击这种攻击方式是早期的方式,又被陈为死芒之PING,是利用系统的自身漏洞实现的,具体原理是许多操作系统对TCP/
9、IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进展读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使承受方死机。2.4其他方式的攻击原理teardrop攻击:是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击Land攻击:用一个特别打造的SYN包,它的原地址和目标地址都被设置成*一个效劳器地址。Smurf攻击:通过使用将回复地址设置成受害网络的播送地址的ICMP应答请求(ping)数据包来淹没受害主机的
10、方式进展3攻击过程或步骤流程3.1攻击使用的工具TFNTFN由主控端程序和代理端程序两局部组成,它主要采取的攻击方法为:SYN风暴、Ping风暴、UDP炸弹和SMURF,具有伪造数据包的能力Trinoo Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包,在处理这些超出其处理能力的垃圾数据包的过程中,被攻击主机的网络性能不断下降,直到不能提供正常效劳,乃至崩溃。它对IP地址不做假,采用的通讯端口是:NETWO*网络工具包NETWO*是一款综合性的工具包,包含上百种的网络工具,采用字符界面形式,功能性能强大3.2 SYN flood攻击模拟过程1启动两个虚拟机系统,一个为
11、WIN2008A机,一个为*PB机。然后在Win2003虚拟机A机上运行抓包软件SmartSniff,查看当前的网络通信情况。两架计算机连通正常2在*P上运行smartsniff查看当前的网络状态当前网络良好3在宿主机上用NETWO*对*P虚拟机进展拒绝效劳攻击,命令如下:netwo* 76 i A机IP p 804此时查看靶机*P上的网络状况此时靶机*P已近处于假死机状态,通过上面的网络监听数据看,说明此次SYN flood攻击成功4此次攻击的功能或后果这次的攻击主要是通过当前流行的SYN flood攻击,包括TCP和UDP连接,占用靶机的大量的网络资源,致使受害机CPU和内存被大量占用,进
12、一步使其死机,甚至瘫痪状态。在是、SYN洪水攻击中,我们也可以通过这一种混沌状态,入侵目标主机,配合其他攻击的方式5对拒绝效劳防*手段与措施首先我们必须知道,拒绝效劳式的攻击是本身协议的缺陷,我们目前还不太可能做到对这种攻击百分百的防御,但是积极部署防御措施,还是能在很大程度上缓解和抵御这类平安威胁的。另外,加强用户的平安防*意识,提高网络系统的平安性也是很重要的措施,现在根据目前的防御手段主要有以下几种5.1增强网络的容忍性首先具体设施有我们修改内核参数即可有效缓解。主要参数如下:net.ipv4.tcp_syncookies = 1net.ipv4.tcp_ma*_syn_backlog
13、= 9000net.ipv4.tcp_synack_retries = 2分别为启用SYN Cookie、设置SYN最大队列长度以及设置SYN+ACK最大重试次数。SYN Cookie的作用是缓解效劳器资源压力。启用之前,效劳器在接到SYN数据包后,立即分配存储空间,并随机化一个数字作为SYN号发送SYN+ACK数据包。然后保存连接的状态信息等待客户端确认。启用SYN Cookie之后,效劳器不再分配存储空间,而且通过基于时间种子的随机数算法设置一个SYN号,替代完全随机的SYN号。发送完SYN+ACK确认报文之后,清空资源不保存任何状态信息。直到效劳器接到客户端的最终ACK包,通过Cooki
14、e检验算法鉴定是否与发出去的SYN+ACK报文序列号匹配,匹配则通过完成握手,失败则丢弃其次tcp_ma*_syn_backlog则是使用效劳器的内存资源,换取更大的等待队列长度,让攻击数据包不至于占满所有连接而导致正常用户无法完成握手。是降低效劳器SYN+ACK报文重试次数,尽快释放等待资源5.2提高主机系统的或网络平安性第一我们进展流量控制,通过一种手段来控制在指定时间内带宽限制,被发送到网络中的数据量,或者是最大速率的数据流量发送,防止攻击机无限制的占用网络资源。其次我们也可以对效劳器进展冗余备份,增大效劳器处理能力,关闭不必要的效劳端口,实行严格的补丁管理,防止效劳器的漏洞曝光,最后我
15、们也可以自我对效劳器进展压力测试,查看效劳器的最大处理能力,最后形成在遭遇攻击,系统崩溃的紧急处理机制5.3入口过滤第一我们对端口和协议过滤,对一些恶意地址参加黑,进展过滤,合理的编写,排列防火墙规则和路由器的访问控制列表,合理过滤数据流,其次正确配置边界路由,制止转发指向播送地址的数据包,对于ICMP数据包,只允许必须的类型和代码进出网络,如果网络不需要使用IRC,P2P服以及即使消息,则阻止向外发出这类连接5.4出口过滤用户网络或者其他ISP网络的比边界路由器被配置成在其转发出的数据包时,阻塞源IP地址是非法的数据包,以免其外出到外网5.5主机异常的检测对于以下几种异常现象我们需要即使的查明原因,实行可行的决解方案,第一受害网络通信流量超出工作极限,出现特大型ICMP和UDP数据包,数据段内容只含有数字
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 员工聘用协议书2023
- 个人租房的合同协议书范本10篇
- 再婚离婚协议书2025年
- 重症肌无力样综合征病因介绍
- T-CIECCPA 011-2024 高杂贵金属冶炼渣资源化处理技术规范
- 中考历史复习第一部分教材知识速查模块2中国近代史第1讲列强的侵略与中国人民的抗争公开课一等奖省
- (2024)汽车内饰用品项目可行性研究报告写作范本(一)
- 2023年金属门窗及类似制品项目融资计划书
- 2023年纺织产品项目筹资方案
- 《开环伯德图的绘制》课件
- 电气专业述职报告
- 腰椎病的中医护理查房
- 2024年湖南省公务员考试《行测》真题及答案解析
- 成都锦城学院《操作系统与nux管理》2022-2023学年期末试卷
- 《弧弦圆心角》说课稿课件
- 中职班级建设三年规划方案
- 河南省郑州市2023-2024学年高二上学期期末考试 物理 含解析
- 2024年中级安全工程师《(建筑施工)安全生产专业实务》考试题库(含答案)
- 弘扬抗战精神课程设计
- 康复护理完整版
- 制氢技术与工艺 课件 第7章 氨制氢
评论
0/150
提交评论