學號、姓名 : 資工研一 00366050 張文銓
日期 : 2011.12.16
時間 : 14:00 ~ 15:30
演講者 : 中原大學楊明豪
DDoS
分散式阻斷服務(DDoS)攻擊的前身是所謂的『阻斷服務(Denial of-Service,簡稱DoS)攻擊』。DoS攻擊並不以篡改或竊取主機資料為目的,而是癱瘓系統主機使之無法正常運作。換言之,由於一般網路系統的系統資源(例如記憶體、磁碟空間以及網路頻寬等)皆有限,因此駭客可以根據部分網路系統或者相關通信協定等之設計或實作上的漏洞,在一段期間內透過傳送大量且密集的封包至特定網站,使該網站無法立即處理這些封包而導致癱瘓,進而造成網路用戶無法連上該網站而被阻絕在外。DDoS的攻擊原理大都是利用TCP/IP網路協定本身的漏洞與特性,使受攻擊之目標主機或網路因無法處理由駭客所發出或偽造的大量垃圾封包,而導致系統停滯或當機。目前電腦駭客常用的DDoS攻擊程式,大致上可以分為下列三種:
1.利用網路主機處理封包的特性進行攻擊,其做法是向受攻擊之目標主機發出超過其負荷之垃圾封包,使之因無法即時處理而導致當機;或者是改變封包的控制資料,使網路主機無法正確地處理所收到的封包。
例如:Ping of Death、TearDrop攻擊。
2.利用icmp做洪水或倍增型攻擊。
例如:smurf、icmp攻擊。
smurf攻擊:直接對網路進行廣播,造成網路很快地充滿垃圾封包而中斷。smurf會不斷地將小量偽造的icmp要求封包送給IP廣播位址(IP broadcast address),然後廣播位址會傳回大量的icmp回應封包給目標主機。這種smurf的攻擊方式除了攻擊特定目標主機,也能在網路上塞滿icmp的要求封包與回應封包而造成網路中斷,所以常被稱為smurf倍增型攻擊。
icmp攻擊:將大量『偽造來源位址』的icmp要求封包送給目標主機,目標主機會回應等量的icmp回應封包而造成目標主機無法負荷而當機。
3.利用TCP/IP通訊協定中詰問-回應模式的漏洞進行攻擊。
SYN Flood攻擊:駭客只對目標主機發送一連串的SYN封包,每個封包都要求目標主機系統回應一個SYN-ACK封包,然後目標主機系統在回應SYN-ACK封包後會等待對方送出ACK封包。由於駭客並不產生任何ACK封包給目標主機,因此目標主機的系統佇列裡面會暫存大量的SYN-ACK封包,這些封包必須等到收到對方的ACK封包或是超過逾時時間之後才會被移除。如此目標主機系統會因為充滿了SYN-ACK封包而造成無法再處理其他使用者的服務與要求。
LAND攻擊:運用IP Spoofing技術送出一連串SYN封包給目標主機,讓目標主機系統誤以為這些封包是由自己發送的。由於目標主機在處理這些封包的時候,它自己並無法回應給自己SYN-ACK 封包,因而造成系統當機。值得注意的是LAND攻擊程式原本是設計用來造成Windows95當機,但經過實際測試結果發現,許多Unix工作站、甚至Router也受其影響。
http://www.ascc.sinica.edu.tw/nl/89/1620/02.txt
沒有留言:
張貼留言