四川工程职业技术学院计算机科学系
减少危险总则
严格的网络安全政策，限定进出信息 联系网络设备商，操作系统商，安装最新补丁 联系ISP，实施防护 监测系统登录数据，网络信息流 路由器，防火墙添加过滤规则 定期进行漏洞扫描，确保系统没有“僵尸”程序 尽早实施实时监控系统
（6）Winnuke

发送特别构造的TCP包，使得Windows机器蓝屏 使得分散在因特网各处的机器共同完成对一台主机 攻击的操作，从而使主机看起来好像是遭到了不同 位置的许多主机的攻击。
（7）分布式拒绝服务攻击


四川工程职业技术学院计算机科学系
DDoS的种类
分布式拒绝服务攻击工具-- Trinoo
Trinoo守护程序的二进制代码包最初是在一些Solaris 2.x主机中发现的， 这些主机是被攻击者利用RPC服务安全漏洞“statd”、“cmsd”和 "ttdbserverd"入侵的。
分布式拒绝服务攻击工具-- Tribe Flood Network
德国著名黑客Mixter(年仅20岁)编写的分布式拒绝服务攻击工具——“Tribe Flood Network（TFN）” TFN与另一个分布式拒绝服务攻击工具"Trinoo"相似，都在互联网的大量Unix系统中开发和测试。
6.3.1 DoS工具TfGen的使用
TfGen是一个免费的流量生成的软件。它可以 向目标主机的特定端口发送TCP和UDP的数据 包，以模拟网络流量。

四川工程职业技术学院计算机科学系
6.3.2 DoS工具WAN Killer的使用
WAN Killer也是一款简单小巧的流量生成的 软件，是网络管理软件Solarwinds中的一个 组件。

四川工程职业技术学院计算机科学系
DDoS攻击的动机
发动攻击的动机:


引起业界注意 恶意行为(不同见解；破坏墙壁) 好奇心(测试下载软件)
商业竞争 不满的雇员/客户 金钱利欲(i.e. 控制股市) 政治动机
长远看, DDoS类攻击使用因素:


“三次握手”：(SYN request;SYN/ACK;ACK) 用户传送信息 要求服务器予以确认,服务器接收到客户请求后回复用户， 用户被确认后，建立连接，登录服务器。

四川工程职业技术学院计算机科学系
“拒绝服务”（DoS）的攻击方式
“拒绝服务”的攻击方式为：用户传送众多要求确认的信 息到服务器，使服务器里充斥着这种无用的信息。 所有 的信息都有需回复的虚假地址，以至于当服务器试图回 传时，却无法找到用户。服务器于是暂时等候，有时超 过一分钟，然后再切断连接。服务器切断连接时，黑客 再度传送新一批需要确认的信息，这个过程周而复始， 最终导致服务器处于瘫痪状态
网络安全技术应用
第6 章
DOS和DoS原理 掌握DoS和DDoS工具的使用方法 掌握DoS和DDoS的防御方法

四川工程职业技术学院计算机科学系
什么是DoS攻击?
Denial of Service (DoS) 拒绝服务攻击,

攻击者利用大量的数据包“淹没”目标主机，耗尽 可用资源乃至系统崩溃，而无法对合法用户作出响 应。(电子邮件)
Targeted System
四川工程职业技术学院计算机科学系
DDoS Attack Illustrated
Hacker Master Server
Zombies
5
主控端向“僵尸”发送攻 击信号，对目标发动攻击
Internet
目标系统 System

四川工程职业技术学院计算机科学系
2 使用访问控制列表（ACL）过滤RFC 1918列出的地址。
interface xy ip access-group 101 in access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 permit ip any any
四川工程职业技术学院计算机科学系
（5）Smurf Smurf攻击 Smurf是一种较早的DDoS攻击。它的原理如下：攻击者冒用 攻击目标主机的IP地址向一个网络的广播地址发送伪造 ICMP 包，例如从目标主机 (1.2.3.4) 到另一个网络的广播地址 (6.7.8.255), 被利用网络的每一个主机(假如有100台机器) 都向 目标主机响应. 这样一来就放大了攻击者的带宽，给目标主机 带来威胁。 Smurf主要是没有正确配置路由器和防火墙。没有必要在远程 通信使用广播ICMP包。广播ICMP pings 只在LAN中用来确认 哪个IP地址被使用等等。在路由器或防火墙，应该屏蔽广播通 信。 如果想确认网络是否易遭到SMURF攻击，请访问下列网站， 输入你的网络地址，你将很快收到结果。 /index.html http://www.powertech.no/smurf/ 四川工程职业技术学院计算机科学系

四川工程职业技术学院计算机科学系
（3） Syn flooding –发送大量的SYN包 –系统中处于SYN_RECV状态的 socket 目标主机被 TCP连接请求淹没。请求连接的IP源地址和TCP 端口随机任意，迫使目标主机保持等候，耗用资源。 通常目标主机（HTTP和SMTP主机）服务进程缓慢，甚至宕 机。路由器“Out of Memory”。 属于第二级攻击。 （4） Land –发送一个TCP SYN包，包的SRC/DST IP相同， SPORT/DPORT相同 –导致目标机TCP/IP协议栈崩溃，系统死机或失去响应 –现有的操作系统基本上都能正确处理这种异常数据包， 不会出现问题

四川工程职业技术学院计算机科学系
6.4 DoS与DDoS的防范
为了抵御拒绝服务的攻击，可以使用下列两种方 法： 使用最新的安全修复程序更新计算机； 加固Windows Server 2003计算机上的 TCP/IP协议堆栈。默认的TCP/IP堆栈配置能够 处理正常的Intranet通信量。如果将计算机直 接连接到Internet，Microsoft建议加固 TCP/IP堆栈以抵御拒绝服务攻击。
四川工程职业技术学院计算机科学系
DDoS Attack Illustrated
黑客
Zombies
2
黑客在非安全主机上安装类 似“后门”的代理程序
Internet

四川工程职业技术学院计算机科学系
DDoS Attack Illustrated
黑客 主控主机
Zombies
3
黑客选择主控主机，用来 向“僵尸”发送命令
DDoS Attack Illustrated
黑客 主控主机
僵尸
，无法提供正常服务，甚 至系统崩溃
6 目标主机被“淹没” Internet
目标
服务请求被拒绝

合法用户
四川工程职业技术学院计算机科学系
DDoS攻击的系统
DDoS

可以针对所有系统进行攻击 Linux Solaris2.x Windows NT
Distributed Denial of Service (DDoS)分布式拒绝服务攻击,


攻击者利用因特网上成百上千的“Zombie”(僵尸)： 被利用主机，对攻击目标发动威力巨大的拒绝服务 攻击。 攻击者的身份很难确认。

四川工程职业技术学院计算机科学系
正常用户登录
分布式拒绝服务攻击工具-- Stacheldraht
“Stacheldraht”,德语意为“barbed wire“(带刺的铁丝网),结合了分布式拒绝 服务攻击工具”Trinoo”与“TFN”早期版本的功能，并增加了加密攻击者、 stacheldraht操纵器和可自动升级的代理程序间网络通讯的功能。
四川工程职业技术学院计算机科学系
DDOS
（1）Ping of Death –发送长度超过65535字节的ICMP Echo Request 数据包 –导致目标机TCP/IP协议栈崩溃，系统死机或重启 –现有的操作系统基本上都能正确处理这种异常数据包， 不会出现问题 （2） Teardrop –发送特别构造的IP 数据包 –导致目标机TCP/IP协议栈崩溃，系统死锁 –现有的操作系统基本上都能正确处理这种异常数据包， 不会出现问题
Internet

四川工程职业技术学院计算机科学系
DDoS Attack Illustrated
Hacker Master Server Zombies
4
通过客户端程序，黑客发送命令 给主控端，并通过主控主机启动 “僵尸”程序对目标系统发动攻 击

Internet

实时入侵探测和响应工具 收集法律资料起诉黑客

四川工程职业技术学院计算机科学系
Cisco路由器配置的建议
1 使用 ip verify unicast reverse-path命令 对所有数据包，在CEF(Cisco Express Forwarding)表中没有源IP地址路由，Drop it!. 用于防止SMURF和其他基于IP地址伪装的攻击。
信

四川工程职业技术学院计算机科学系
Trin00/TFN具体攻击过程
Hacker
27665/TCP Master 27444/UDP
31335/UDP
Master
Master
Broadcast Zombie
Broadcast Zombie
Broadcast Zombie