网络与信息安全 第6章拒绝服务攻击与防御技术 沈超刘烃 系统工程研究所 自动化科学与技术系 西安交通大学电子与信息工程院 chaoshan@mail.xitu.edu.cn tingli@mail.xitu.edu.cn
第6章 拒绝服务攻击与防御技术 沈超 刘烃 系统工程研究所 自动化科学与技术系 西安交通大学电子与信息工程院 chaoshen@mail.xjtu.edu.cn tingliu@mail.xjtu.edu.cn 网络与信息安全
本章内容安排 口61拒绝服务攻击概述 口62典型拒绝服务攻击技术 日63分布式拒绝服务攻击 口64拒绝服务攻击的防御 日65分布式拒绝服务攻击的防御 日66小结 2021/2/1 网络入侵与防范讲义
2021/2/1 网络入侵与防范讲义 2 本章内容安排 6.1 拒绝服务攻击概述 6.2 典型拒绝服务攻击技术 6.3 分布式拒绝服务攻击 6.4 拒绝服务攻击的防御 6.5 分布式拒绝服务攻击的防御 6.6 小结
61拒绝服务攻击概述 口611拒绝服务攻击的概念 口612拒绝服务攻击的类型 2021/2/1 网络入侵与防范讲义
2021/2/1 网络入侵与防范讲义 3 6.1 拒绝服务攻击概述 6.1.1 拒绝服务攻击的概念 6.1.2 拒绝服务攻击的类型
61.1拒绝服务攻击的概念 口拒绝服务( Denial of service,简称DoS),是 种简单的破坏性攻击,通常是利用传输协议中的某 个弱点、系统存在的漏洞、或服务的漏洞,对目标系 统发起大规模的进攻,用超出目标处理能力的海量数 据包消耗可用系统资源、带宽资源等,或造成程序缓 冲区溢出错误,致使其无法处理合法用户的正常请求, 无法提供正常服务,最终致使网络服务瘫痪,甚至系 统死机。 口简单的说,拒绝服务攻击就是让攻击目标瘫痪的一种 “损人不利己”的攻击手段。 2021/2/1 网络入侵与防范讲义三
2021/2/1 网络入侵与防范讲义 4 6.1.1 拒绝服务攻击的概念 拒绝服务( Denial of Service,简称DoS),是 一种简单的破坏性攻击,通常是利用传输协议中的某 个弱点、系统存在的漏洞、或服务的漏洞,对目标系 统发起大规模的进攻,用超出目标处理能力的海量数 据包消耗可用系统资源、带宽资源等,或造成程序缓 冲区溢出错误,致使其无法处理合法用户的正常请求, 无法提供正常服务,最终致使网络服务瘫痪,甚至系 统死机。 简单的说,拒绝服务攻击就是让攻击目标瘫痪的一种 “损人不利己”的攻击手段
61.1拒绝服务攻击的概念 口历史上最著名的拒绝服务攻击服务恐怕要数 Morris蠕虫事件,1988年11月,全球众 多连在因特网上的计算机在数小时内无法正 常工作,这次事件中遭受攻击的包括5个计 算机中心和12个地区结点,连接着政府、大 学、研究所和拥有政府合同的25万台计算机。 这次病毒事件,使计算机系统直接经济损失 达9600万美元。 口许多知名网站如 Yahoo、eBay、CNN、百 度、新浪等都曾遭受过DoS攻击 2021/2/1 网络入侵与防范讲义
2021/2/1 网络入侵与防范讲义 5 6.1.1 拒绝服务攻击的概念 历史上最著名的拒绝服务攻击服务恐怕要数 Morris蠕虫事件,1988年11月,全球众 多连在因特网上的计算机在数小时内无法正 常工作,这次事件中遭受攻击的包括5个计 算机中心和12个地区结点,连接着政府、大 学、研究所和拥有政府合同的25万台计算机。 这次病毒事件,使计算机系统直接经济损失 达9600万美元。 许多知名网站如Yahoo、eBay、CNN、百 度、新浪等都曾遭受过DoS攻击
61.1拒绝服务攻击的概念 口拒绝服务攻击可能是蓄意的,也可能是偶 然的。 口当未被授权的用户过量使用资源时,攻击 是蓄意的;当合法用户无意地操作而使得 资源不可用时,则是偶然的。 口应该对两种拒绝服务攻击都采取预防措施。 但是拒绝服务攻击问题也一直得不到合理 的解决,究其原因是因为这是由于网络协 议本身的安全缺陷造成的。 2021/2/1 网络入侵与防范讲义
2021/2/1 网络入侵与防范讲义 6 6.1.1 拒绝服务攻击的概念 拒绝服务攻击可能是蓄意的,也可能是偶 然的。 当未被授权的用户过量使用资源时,攻击 是蓄意的;当合法用户无意地操作而使得 资源不可用时,则是偶然的。 应该对两种拒绝服务攻击都采取预防措施。 但是拒绝服务攻击问题也一直得不到合理 的解决,究其原因是因为这是由于网络协 议本身的安全缺陷造成的
6.12拒绝服务攻击的类型 口最常见的DoS攻击是利用合理的服务请求 来占用过多的服务资源,致使服务超载,无 法响应其他的请求。 口这些服务资源包括网络带宽、文件系统空间 容量、开放的进程、向内的连接等。 口这种攻击会导致资源的匮乏,无论计算机的 处理速度多么快,内存容量多么大,互联网 带宽多么大都无法避免这种攻击带来的后果。 2021/2/1 网络入侵与防范讲义
2021/2/1 网络入侵与防范讲义 7 6.1.2 拒绝服务攻击的类型 最常见的DoS攻击是利用合理的服务请求 来占用过多的服务资源,致使服务超载,无 法响应其他的请求。 这些服务资源包括网络带宽、文件系统空间 容量、开放的进程、向内的连接等。 这种攻击会导致资源的匮乏,无论计算机的 处理速度多么快,内存容量多么大,互联网 带宽多么大都无法避免这种攻击带来的后果
6.12拒绝服务攻击的类型 从实施DoS攻击所用的思路来看,DoS攻击可以分为: 口滥用合理的服务请求 过度地请求系统的正常服务,占用过多服务资源,致使系统超载 这些服务源通常包括网络带宽、文件系统空间容量、开放的进程 口制造高流量无用数据 恶意地制造和发送大量各种随机无用的数据包,用这种高流量的无 囗利用传输协议缺陷 ■构造畸形的数据包并发送,导致目标主机无法处理,出现错误或崩 溃,而拒绝服务 口利用服务程序的漏洞 针对主机上的服务程序的特定漏洞,发送一些有针对性的特殊格式 的数据,导致服务处理错误而拒绝服务 2021/2/1 网络入侵与防范讲义
2021/2/1 网络入侵与防范讲义 8 6.1.2 拒绝服务攻击的类型 从实施DoS攻击所用的思路来看,DoS攻击可以分为: 滥用合理的服务请求 ◼ 过度地请求系统的正常服务,占用过多服务资源,致使系统超载。 这些服务资源通常包括网络带宽、文件系统空间容量、开放的进程 或者连接数等 制造高流量无用数据 ◼ 恶意地制造和发送大量各种随机无用的数据包,用这种高流量的无 用数据占据网络带宽,造成网络拥塞 利用传输协议缺陷 ◼ 构造畸形的数据包并发送,导致目标主机无法处理,出现错误或崩 溃,而拒绝服务 利用服务程序的漏洞 ◼ 针对主机上的服务程序的特定漏洞,发送一些有针对性的特殊格式 的数据,导致服务处理错误而拒绝服务
6.12拒绝服务攻击的类型 按漏洞利用方式分类,DoS攻击可以分为: 口特定资源消耗类 主要利用TCP/IP协议栈、操作系统或应用程序设计上的 缺陷,通过构造并发送特定类型的数据包,使目标系统 的协议栈空间饱和、操作系统或应用程序资源耗尽或崩 溃,从而达到DoS的目的 口暴力攻击类 !依靠发送大量的数据包占据目标系统有限的网络带宽或 应用程序处理能力来达到攻击的目的。通常暴力攻击需 要比特定资源消耗攻击使用更大的数据流量才能达到目 的 2021/2/1 网络入侵与防范讲义
2021/2/1 网络入侵与防范讲义 9 6.1.2 拒绝服务攻击的类型 按漏洞利用方式分类,DoS攻击可以分为: 特定资源消耗类 ◼ 主要利用TCP/IP协议栈、操作系统或应用程序设计上的 缺陷,通过构造并发送特定类型的数据包,使目标系统 的协议栈空间饱和、操作系统或应用程序资源耗尽或崩 溃,从而达到DoS的目的。 暴力攻击类 ◼ 依靠发送大量的数据包占据目标系统有限的网络带宽或 应用程序处理能力来达到攻击的目的。通常暴力攻击需 要比特定资源消耗攻击使用更大的数据流量才能达到目 的
6.12拒绝服务攻击的类型 按攻击数据包发送速率变化方式,DoS攻击可分为 口固定速率 口可变速率 根据数据包发送速率变化模式,又可以分为震荡变化型 和持续增加型 震荡变化型变速率发送方式间歇性地发送数据包,使入 侵检测系统难以发现持续的异常 ■持续增加型变速率发送方式可以使攻击目标的性能缓慢 下降,并可以误导基于学习的检测系统产生错误的检测 规则。 2021/2/1 网络入侵与防范讲义
2021/2/1 网络入侵与防范讲义 10 6.1.2 拒绝服务攻击的类型 按攻击数据包发送速率变化方式,DoS攻击可分为: 固定速率 可变速率 ◼ 根据数据包发送速率变化模式,又可以分为震荡变化型 和持续增加型。 ◼ 震荡变化型变速率发送方式间歇性地发送数据包,使入 侵检测系统难以发现持续的异常。 ◼ 持续增加型变速率发送方式可以使攻击目标的性能缓慢 下降,并可以误导基于学习的检测系统产生错误的检测 规则