1 / 18

DoS 、 DDoS 網路 攻擊

DoS 、 DDoS 網路 攻擊. A0953306 沈惇鈺 指導教授:梁明章. DoS 攻擊. “Denial of Service” ,「阻斷服務攻擊」 是一種利用合理的服務請求佔用過多的服務資源,從而使合法用戶無法得到服務回應的網路攻擊行為. DoS 攻擊. 難以進行事前預防 利用網際網路協定( TCP/IP )的設計弱點 待管理者在網路不通或系統效能大幅降低時,才驚覺已遭到阻斷服務攻擊. DoS 攻擊. 依據攻擊封包量的大小區分成軟體刺探 (software exploits) 跟洪水攻擊 (flooding)

justin-bullock
Download Presentation

DoS 、 DDoS 網路 攻擊

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. DoS、DDoS網路攻擊 A0953306 沈惇鈺 指導教授:梁明章

  2. DoS攻擊 • “Denial of Service”,「阻斷服務攻擊」 • 是一種利用合理的服務請求佔用過多的服務資源,從而使合法用戶無法得到服務回應的網路攻擊行為

  3. DoS攻擊 • 難以進行事前預防 • 利用網際網路協定(TCP/IP)的設計弱點 • 待管理者在網路不通或系統效能大幅降低時,才驚覺已遭到阻斷服務攻擊

  4. DoS攻擊 • 依據攻擊封包量的大小區分成軟體刺探(software exploits)跟洪水攻擊(flooding) • 洪水攻擊(flooding)依據攻擊來源數量的多寡分成單一來源與多重來源攻擊

  5. 軟體刺探(Software Exploits) • 利用存在於軟體或系統的瑕疵 • 透過傳送一個或是少量的封包到目標主機 • 使得應用程式或作業系統無法正確處理所送來封包中的資訊,而發生錯誤來達到癱瘓受害主機的目標。 • 例如:land攻擊、ping of death、Teardrop

  6. Land 攻擊 • 利用將 TCP 協定中 SYN 封包中的來源位置和目的地位址都改成受害主機的IP位址 • 以不合邏輯的封包在受害主機上產生無窮迴圈,使受害主機產生混亂,造成其處理網路封包的速度降低來達成阻斷服務攻擊

  7. Ping of Death攻擊 • 利用 ping 指令(透過送出 ICMP 來確認對方主機是否還活著),將超過正常長度的封包送到受害主機,由於作業系統本身無法處理這種變形封包,因此導致當機的狀況 • 此問題只存在較老舊的OS中

  8. Teardrop攻擊 • 利用IP層中封包分割重組間的漏洞,MTU • 正常的TCP封包片段應是一個個以互相接續方式傳入目標主機,再由主機的IP層將其重組回原資料段。但若有經過刻意製造的不正常封包序列(如封包大小改變等),這些片段在目的地主機重組時,則可能造成一些系統當機。

  9. 防範 • 類似於對病毒或漏洞防範的手法 • 更新軟體或利用軟體廠商所提供的修補檔 • 防火牆過濾不必要的 ICMP 封包

  10. 單一來源洪水攻擊 • 主要透過消耗主機運算資源或頻寬資源來達成阻斷合法使用者存取主機資源的攻擊 • 例如:SYN Flood攻擊

  11. SYN Flood攻擊 • 利用 TCP 連線時的三方交握(Three Way Handshaking) • 攻擊者惡意送出許多TCP SYN封包給被攻擊端,而沒有後續連結的封包傳出時,被攻擊端的SYN queue因儲存太多正在等待連結的資訊而超過其容許量,因而導致暫停服務。

  12. ICMP封包攻擊 • 利用消耗網路頻寬的方式 • 若攻擊者擁有的頻寬大於目標網路的頻寬,則攻擊者可輕易以大量封包,塞爆目標網路的頻寬,讓其使用者無法使用網路。 • 但若攻擊者所掌握的頻寬不足以塞爆目標網路,則可透過其他方式取得所需的頻寬,例如Smurt攻擊。

  13. Smurt攻擊 • 假冒目標主機的 IP 位址向router發出廣播的ICMP Echo封包 • 當封包送到廣播位址後,同一個網路內的主機都會收到廣播的封包,並同時向受害主機送出相對應的回應封包,這些突然的大量封包會阻塞受害者的網路頻寬,使目標主機因為無法反應如此多的系統干擾而導致當機。

  14. 多重來源洪水攻擊 • 在 2000 年 2 月 9 日,美國幾個著名的商業網站包含 Yahoo、eBay、CNN、Amazon、buy.com、E*TRAE 及 ZDNet,遭受駭客以「分散式阻斷攻擊」 (Distributed Denial of Service Attacks),使得正常使用者在這些網站遭受攻擊時無法連上這些網站。

  15. DDoS攻擊 • 利用許多分散在世界各處的DoS agent(攻擊代理人,或稱執行者),在某一時刻對特定目標主機以前述各種攻擊手法的混和方式,將大量封包傳入目標網域,以阻絕被攻擊者的服務功能。 • 其手法特別之處是必須先選定一定數目的主機,入侵並植入其DDoS agent程式,並在攻擊發起時遠端操控它們的行為;攻擊原理和前述幾種攻擊相同。 • 目前常見的DDoS工具:TFN、Trinoo、TFN2K、Stacheldraht。分為:daemon 及 client

  16. DDoS攻擊 • Daemon:讓攻擊者置入其所攻陷的主機,並等著攻擊者指令發動攻擊 • Client:位在攻擊者的主機上,負責將攻擊者所下的指令傳遞給各個 daemon • 例如:ICMP flooding、UDP flooding、SYN flood、Smurt 攻擊

  17. DDoS攻擊 • 每一台 daemon 主機以類似單一來源洪水攻擊的方式進行阻斷服務攻擊 • 分散式阻斷服務攻擊讓攻擊者可發動攻擊的來源分散在許多台主機上,使其發動攻擊的能量更大,且能有效的隱藏自己 • 讓透過防火牆過濾來自特定來源的阻斷服務攻擊的過程更加複雜,及事後追查元兇的工作更難以進行

  18. 防範 • 阻斷服務攻擊的特性:發動難度低、難以追蹤和防範 • 要求每個系統的管理員做好自己系統的安全防護,避免淪為攻擊者發動阻斷服務攻擊的跳板 • 適當的網路監控,針對不正常的網路行為事先加以注意以防範於未然

More Related