DoS攻擊構(gòu)造及防護luffy

1、http:/ 深圳市共進電子有限公司由中美撞機引起的由中美撞機引起的http:/ 深圳市共進電子有限公司DoS攻擊構(gòu)成及防護攻擊構(gòu)成及防護Luffy.G2009-06-18http:/ 深圳市共進電子有限公司培訓(xùn)目的1、了解DoS攻擊的定義及原理2、增強對TCP/IP協(xié)議的理解3、掌握防DoS攻擊的測試方法4、.http:/ 深圳市共進電子有限公司主要內(nèi)容1、DoS相關(guān)定義2、DoS攻擊的分類3、常見DoS攻擊包的構(gòu)成（8種）4、防DoS攻擊測試方法5、我司防DoS攻擊產(chǎn)品的缺陷總結(jié)http:/ 深圳市共進電子有限公司相關(guān)定義（一） 服務(wù)指系統(tǒng)提供的，用戶在其使用中 會受益受益的功能。 拒絕服

2、務(wù)（DoS）任何對服務(wù)的干涉如果使得其可用性降低或者失去可用性均稱為拒絕服務(wù)。http:/ 深圳市共進電子有限公司 相關(guān)定義（二） 拒絕服務(wù)攻擊（DoS攻擊）是指攻擊者通過某種手段，有意造成計算機或網(wǎng)絡(luò)不能正常運轉(zhuǎn)從而不能向合法用戶提供所需服務(wù)或使得服務(wù)質(zhì)量降低。 分布式拒絕服務(wù)攻擊（DDoS）多個處于不同位置的多個攻擊者同時發(fā)起的DoS攻擊。http:/ 深圳市共進電子有限公司舞廳分類法 舞伴（Partner）與受害人跳舞。 風(fēng)暴（Flood）用大量的噪音來干擾受害者，使之無法聽到他人的跳舞邀請。 陷阱（Trip）只要受害人跳舞就通過設(shè)置陷阱阻止其跳舞。 介入（intervene）阻止邀請傳

3、到受害者，包括阻止舞會的進行。http:/ 深圳市共進電子有限公司常見的DoS攻擊（一） 洪水攻擊洪水攻擊思考：洪水的特點是什么？ 閾值判斷是否是洪水攻擊的門限常見的洪水攻擊包： TCP SYN Flood，TCP ACK Flood TCP FIN Flood，UDP Flood ICMP Flood http:/ 深圳市共進電子有限公司常見的DoS攻擊（一）構(gòu)造方法（以SYN Flood為例）：方法一、利用Smartwindows模擬TCP SYN 包，設(shè)置速率大于閾值。方法二、利用抓包工具抓取SYN包，導(dǎo)入數(shù) 據(jù)包編輯器，設(shè)置速率大于閾值。http:/ 深圳市共進電子有限公司洪水攻擊防護

4、日志http:/ 深圳市共進電子有限公司常見的DoS攻擊（二） TCP/UDP PortScan（端口掃描）（端口掃描）特征：通過發(fā)目的端口從165535變化的TCP Syn包或UDP包到服務(wù)器，找到服務(wù)器上已打開的端口。（如何找到？）危害：對已打開的端口進行攻擊。http:/ 深圳市共進電子有限公司常見的DoS攻擊（二）思考：當(dāng)攻擊者發(fā)TCP Syn包到服務(wù)器，若開放的目的端口服務(wù)被監(jiān)聽，服務(wù)器會返回什么包？若開放的端口服務(wù)沒有被監(jiān)聽，服務(wù)器會返回什么包？UDP呢？http:/ 深圳市共進電子有限公司常見的DoS攻擊（二） 構(gòu)造方法1、利用Smartbit模擬出TCP SYN包或UDP包使目

5、的端口從165535變化。2、直接用PortScan工具。http:/ 深圳市共進電子有限公司端口掃描防護日志http:/ 深圳市共進電子有限公司常見的DoS攻擊（三） PingOfDeath（死亡之（死亡之ping）特征：總數(shù)據(jù)報長度超過65535的ICMP包危害：主要針對Win95系統(tǒng)，導(dǎo)致系統(tǒng)崩潰，死機，重啟等http:/ 深圳市共進電子有限公司常見的DoS攻擊（三）目前的Windows和Linux系統(tǒng)不允許發(fā)送大于65535字節(jié)的ICMP包，那么如何構(gòu)造呢？ http:/ 深圳市共進電子有限公司常見的DoS攻擊（三） 構(gòu)造方法 使用Window發(fā)出一個65500的ping包，抓包。利用

6、數(shù)據(jù)包編輯器編輯最后一個IP分片，使其長度增加35字節(jié)以上，從而使分片重組時數(shù)據(jù)報總長度大于65535。http:/ 深圳市共進電子有限公司PingOfDeath防護攻擊日志http:/ 深圳市共進電子有限公司常見的DoS攻擊（四） Land（陸地攻擊）（陸地攻擊）特征：Syn包，源IP與目的IP相同，源端口和目的端口相同。危害：在Land攻擊下，許多UNIX將崩潰，NT變得極其緩慢 。http:/ 深圳市共進電子有限公司常見的DoS攻擊（四） 構(gòu)造方法 用SmartWindows或數(shù)據(jù)包編輯器構(gòu)建SYN包，目的IP和源IP均為攻擊對象的IP地址；目的端口和源端口相同。http:/ 深圳市共進

7、電子有限公司Land攻擊防護攻擊日志http:/ 深圳市共進電子有限公司常見的DoS攻擊（五） TearDrop（淚滴攻擊）（淚滴攻擊）特征：IP碎片攻擊，Offset有重疊危害：導(dǎo)致部分系統(tǒng)崩潰http:/ 深圳市共進電子有限公司常見的DoS攻擊（五）正常的正常的IP分片遵循如下規(guī)則：分片遵循如下規(guī)則：1、同一數(shù)據(jù)包的所有片段的識別號必須相同、同一數(shù)據(jù)包的所有片段的識別號必須相同2、每個片段必須指明其在原未分段的數(shù)據(jù)包、每個片段必須指明其在原未分段的數(shù)據(jù)包中的位置。（中的位置。（Offset）3、每個片段必須指明其數(shù)據(jù)包的長度。、每個片段必須指明其數(shù)據(jù)包的長度。4、每個片段必須說明其是否是最

8、后一個片段、每個片段必須說明其是否是最后一個片段，即其后是否還有其他的片段。，即其后是否還有其他的片段。http:/ 深圳市共進電子有限公司常見的DoS攻擊（五） 構(gòu)造方法 先發(fā)一個長度超過1500的UDP報文，使用抓包工具抓取。利用數(shù)據(jù)包編輯器編輯某IP分片的offset字段。http:/ 深圳市共進電子有限公司Teardrop攻擊防護攻擊日志http:/ 深圳市共進電子有限公司常見的DoS攻擊（六） Smurf攻擊（回音攻擊）特征：ICMP包，源地址為受害主機，目的地址廣播http:/ 深圳市共進電子有限公司常見的DoS攻擊（六） 構(gòu)造方法 設(shè)置源IP為攻擊對象的IP；目的IP為網(wǎng)內(nèi)廣播I

9、P；源MAC可隨意設(shè)置，目的MAC為FF:FF:FF:FF:FF:FFhttp:/ 深圳市共進電子有限公司Smurf防護攻擊日志http:/ 深圳市共進電子有限公司常見的DoS攻擊（七） Unknown Protocol（未知協(xié)議攻擊）特征：IP頭部封裝的上層協(xié)議字段值大于137 （目前）危害：可能對一些計算機操作系統(tǒng)的協(xié)議棧進行破壞 。http:/ 深圳市共進電子有限公司未知協(xié)議防護攻擊日志http:/ 深圳市共進電子有限公司總 結(jié)（一） 防DoS攻擊測試方法1、針對不同的防攻擊功能，構(gòu)造相應(yīng)的攻擊包；2、查看日志，待測網(wǎng)關(guān)是否能正確顯示防護攻擊信息；3、測試WAN側(cè)防攻擊時應(yīng)開啟DMZ（為什么？）4、高端產(chǎn)品應(yīng)考慮從LAN和WAN兩個方向測試；http:/ 深圳市共進電子有限公司總 結(jié)（