网络攻防实战演练演示文稿.pptVIP

三、DOS攻击 DoS（Deny Of Service）就是攻击者通过使你的网络设备崩溃或把它压跨（网络资源耗尽）来阻止合法用户获得网络服务，DOS是最容易实施的攻击行为。 DoS攻击主要是利用了TCP/IP 协议中存在的设计缺陷和操作系统及网络设备的网络协议栈存在的实现缺陷。 当前第121页\共有213页\编于星期日\12点 DoS的技术分类 当前第122页\共有213页\编于星期日\12点 典型DOS攻击 当前第123页\共有213页\编于星期日\12点 Ping of Death 当前第124页\共有213页\编于星期日\12点 Ping of Death范例 当前第125页\共有213页\编于星期日\12点 IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。 泪滴(teardrop)攻击一 Teardrop 攻击原理： 当前第126页\共有213页\编于星期日\12点 受影响的系统：Linux/Windows NT/95 攻击特征：攻击过程简单，发送一些IP分片异常的数据包。 防范措施： 泪滴(teardrop)攻击二 服务器升级最新的服务包 设置防火墙时对分片进行重组，而不是转发它们。 当前第127页\共有213页\编于星期日\12点 UDP洪水(UDP flood) 当前第128页\共有213页\编于星期日\12点 Fraggle攻击 发送畸形UDP碎片，使得被攻击者在重组过程中发生未加预料的错误 典型的Fraggle攻击 碎片偏移位的错乱 强制发送超大数据包 纯粹的资源消耗 当前第129页\共有213页\编于星期日\12点 阻止IP碎片攻击 Windows系统请打上最新的Service Pack，目前的Linux内核已经不受影响。 如果可能，在网络边界上禁止碎片包通过，或者用iptables限制每秒通过碎片包的数目。 如果防火墙有重组碎片的功能，请确保自身的算法没有问题，否则DoS就会影响整个网络 Windows 2000系统中，自定义IP安全策略，设置“碎片检查” 当前第130页\共有213页\编于星期日\12点 TCP SYN flood 当前第131页\共有213页\编于星期日\12点 剖析SYN Flood攻击 TCP SYN分段 伪造Source IPx TCP SYN/ACK分段 IPx 不断发送大量伪造的TCP SYN分段 最多可打开的半开连接数量 超时等待时间 等待期内的重试次数 X 半开连接缓冲区溢出 当前第132页\共有213页\编于星期日\12点 TCP SYN Flood 攻击过程示例 当前第133页\共有213页\编于星期日\12点 对SYN Flood攻击的防御 对SYN Flood攻击的几种简单解决方法 缩短SYN Timeout时间 SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值等于SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间 设置SYN Cookie 给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃 当前第134页\共有213页\编于星期日\12点 增强Windows 2000对SYN Flood的防御 打开regedit，找到HKEY_LOCAL_MACHINE\System \CurrentControlSet\Services\Tcpip\Parameters? 增加一个SynAttackProtect的键值，类型为REG_DWORD，取值范围是0-2，这个值决定了系统受到SYN攻击时采取的保护措施，包括减少系统SYN+ACK的重试的次数等，默认值是0（没有任何保护措施），推荐设置是2。 当前第135页\共有213页\编于星期日\12点 增强Windows 2000对SYN Flood的防御 增加一个TcpMaxHalfOpen的键值，类型为REG_DWORD，取值范围是100-0xFFFF，这个值是系统允许同时打开的半连接，默认情况下WIN2K PRO和SERVER是100，ADVANCED SERVER是500，这个值取决于服务器TCP负荷的状况和可能受到的攻击强度。 增加一个TcpMaxHalfOpenRetried的键值，类型为REG_DWORD，取值范围是80-0xFFFF，默