网络的主动攻击和被动攻击
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络的主动攻击和被动攻击
原站
目的站 原站
目的站 原站
目的站 原站
目的站
截获 被动攻击
中断 DDOS
篡改
伪造
主动攻击
原站
DOS
目的站
原站
目的站
SYN/ACK
伪站
ACK
等待的确认ACK包
smurf
SYN
网络的主动攻击和被动攻击
黑客 控制傀儡机
主动攻击 DDOS
攻击傀儡机 攻击傀儡机 攻击傀儡机 攻击傀儡机
1 2 3
交 换 机
1 2
4 33
[2, 1] [2, 2]
交换机 2 的转发表
[3, 2]
[3, 3]
目的站 下一跳
[1, 1] [1, 3] [3, 2] [3, 3] [2, 1] [2, 2]
交换机1 交换机1 交换机3 交换机3
直接
直接
目的站是[3, 2]吗? 是 根据转发表指出的下一跳把分组转发到交换机 3。
明在图上,一开始两个网桥中的转发表都是空的, 以后有以下各站向其他的站发送数据帧
B1
B2
端口1
2
1
2
实用的停止等待协议的分析
A
B
送 主 机
送
时
主
间
机
(a) 正常情况
四种情况
A
B
A
B
出错
丢
失
tout
!
重 传
送 主 机
(b) 数据帧出错
重 传
送 主 机
(c) 数据帧丢失
A
B
tout 丢
送
失
主
重!
机
传
丢
• 在转发分组时,可只根据分组的主机地 址中的交换机号来查找转发表。
• 只有当分组到达与目的主机相连的结点 交换机时,交换机才检查第二部分地址 (主机号),并通过合适的低速端口将 分组交给目的主机。
扩展局域网的数据转发
• 现有五个站分别连接在三个局域网上,并且用两个 网桥连接起来,如图,每个网桥的两个端口号都标
• 有时链路上的干扰很严重,或由于其他一些原因,节点B收不到节点 A发来的数据帧,这种情况称为帧丢失(图c),这时节点B不会向节 点A发送任何确认帧,若节点A一直在等节点B的确认帧,这出现死锁, 同样节点B发送的确认帧丢失,一样死锁
• 解决死锁问题,在节点A发送完一个数据帧时,就启动一个超时计时 器,设置重传时间tout,若在此时间内仍收不到节点B的任何确认帧, 这节点A就重传前面所发送的数据帧(图d)。
分组转发到交换机3 后就查找交换机 3 的转发表。 从转发表(此处省略了)可知不必再转发分组了,
把该分组直接交付给主机[3, 2]即可。
1 交1
2 3
换2 机3 14
4 56 7
交换机 2
123
1 交1
2 换2
3 4
机3 3
[3, 2] [3, 3]
[2, 1] [2, 2]
• 只要转发表中目的站一栏中的交换机号 相同,那么查出的“下一跳”就是相同 的。
• DOS即Denial Of Service(拒绝服务), 则侧重于通过对主 机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机 死机而无法提供正常的网络服务功能,从而造成拒绝服务, 就这两种拒绝服务攻击而言,危害较大的主要是DDoS攻 击,原因是很难防范,至于DOS攻击,通过给主机服务器 打补丁或安装防火墙软件就可以很好地防范。
1 2
交1 换2 机3
3 14
4 56 7
交换机 2
123
1交 1
2换 2
3 4
机 3
3
[2, 1] [2, 2]
交换机 2 的转发表
[3, 2]
[3, 3]
目的站 下一跳
[1, 1] [1, 3] [3, 2] [3, 3] [2, 1] [2, 2]
交换机1 交换机1 交换机3 交换机3
直接
直接
ATMLAN星形结构的校园网应用
服务器
多媒体 工作站
多媒体 工作站
MMWS
令牌环网
ATM 集中器
ATM 交换机
PABX
ATM 交换机
局域校园网
ATM 交换机
ATM 路由器
公众 ATM网
多媒体 工作站
FDDI
Biblioteka Baidu
以太网
• 应用需求
校园网简单网络结构
局域网+广域网=互联网
局域网
局域网
路由器
广域网
互联网
受害者
• DDoS是英文Distributed Denial of Service的缩写,即 “分布式拒绝服务”,凡是能导致合法用户不能够访问正 常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服 务攻击的目的非常明确,就是要阻止合法用户对正常网络 资源的访问,从而达成攻击者不可告人的目的。虽然同样 是拒绝服务攻击,但是DDoS和DOS还是有所不同, DDoS的攻击策略侧重于通过很多“僵尸主机”(被攻击者 入侵过或可间接利用的主机)向受害主机发送大量看似合 法的网络包,从而造成网络阻塞或服务器资源耗尽而导致 拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包 就会犹如洪水般涌向受害主机,从而把合法用户的网络包 淹没,导致合法用户无法正常访问服务器的网络资源,因 此,拒绝服务攻击又被称之为“洪水式攻击”。
交换机 2 的转发表
[3, 2]
[3, 3]
目的站 下一跳
[1, 1] [1, 3] [3, 2] [3, 3] [2, 1] [2, 2]
交换机1 交换机1 交换机3 交换机3
直接
直接
目的站是[3, 2]吗? 否 查找转发表中的下一个项目。
1 2
交1 换2 机3
3 14
4 56 7
交换机 2
123
节点交换机 路由器
节点交换机转发分组的案例
给出结点交换机 2 中的转发表作为例子
例,一个欲发往主机[3, 2]的分组到达了交换机 2 这时应查找交换机 2 的转发表,找目的站为[3, 2]的项
交 1换 2机
4 5 6
31 7
4 56 7
交换机 2
123
4 交1
5 换2
6 7
机3 3
[2, 1] [2, 2]
弃
(d) 确认帧丢失
• 图a表示数据在传输过程中不出现差错的情况,收方在收到一个正确 的数据帧后,即交付给主机B,同时向主机A发送一个确认帧ACK, 当主机A收到确认帧ACK后才能发送一个新的数据帧,这样就实现了 收方对发方的数据流量。
• 通常在数据帧中加上了CRC所以节点B很容易检验出收到的数据帧是 否有差错,发现差错Ⅹ,节点B就向主机A发送NAK,以表示主机A应 当重传出现差错的那个数据帧,图b表示主机A重传数据帧
原站
目的站 原站
目的站 原站
目的站 原站
目的站
截获 被动攻击
中断 DDOS
篡改
伪造
主动攻击
原站
DOS
目的站
原站
目的站
SYN/ACK
伪站
ACK
等待的确认ACK包
smurf
SYN
网络的主动攻击和被动攻击
黑客 控制傀儡机
主动攻击 DDOS
攻击傀儡机 攻击傀儡机 攻击傀儡机 攻击傀儡机
1 2 3
交 换 机
1 2
4 33
[2, 1] [2, 2]
交换机 2 的转发表
[3, 2]
[3, 3]
目的站 下一跳
[1, 1] [1, 3] [3, 2] [3, 3] [2, 1] [2, 2]
交换机1 交换机1 交换机3 交换机3
直接
直接
目的站是[3, 2]吗? 是 根据转发表指出的下一跳把分组转发到交换机 3。
明在图上,一开始两个网桥中的转发表都是空的, 以后有以下各站向其他的站发送数据帧
B1
B2
端口1
2
1
2
实用的停止等待协议的分析
A
B
送 主 机
送
时
主
间
机
(a) 正常情况
四种情况
A
B
A
B
出错
丢
失
tout
!
重 传
送 主 机
(b) 数据帧出错
重 传
送 主 机
(c) 数据帧丢失
A
B
tout 丢
送
失
主
重!
机
传
丢
• 在转发分组时,可只根据分组的主机地 址中的交换机号来查找转发表。
• 只有当分组到达与目的主机相连的结点 交换机时,交换机才检查第二部分地址 (主机号),并通过合适的低速端口将 分组交给目的主机。
扩展局域网的数据转发
• 现有五个站分别连接在三个局域网上,并且用两个 网桥连接起来,如图,每个网桥的两个端口号都标
• 有时链路上的干扰很严重,或由于其他一些原因,节点B收不到节点 A发来的数据帧,这种情况称为帧丢失(图c),这时节点B不会向节 点A发送任何确认帧,若节点A一直在等节点B的确认帧,这出现死锁, 同样节点B发送的确认帧丢失,一样死锁
• 解决死锁问题,在节点A发送完一个数据帧时,就启动一个超时计时 器,设置重传时间tout,若在此时间内仍收不到节点B的任何确认帧, 这节点A就重传前面所发送的数据帧(图d)。
分组转发到交换机3 后就查找交换机 3 的转发表。 从转发表(此处省略了)可知不必再转发分组了,
把该分组直接交付给主机[3, 2]即可。
1 交1
2 3
换2 机3 14
4 56 7
交换机 2
123
1 交1
2 换2
3 4
机3 3
[3, 2] [3, 3]
[2, 1] [2, 2]
• 只要转发表中目的站一栏中的交换机号 相同,那么查出的“下一跳”就是相同 的。
• DOS即Denial Of Service(拒绝服务), 则侧重于通过对主 机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机 死机而无法提供正常的网络服务功能,从而造成拒绝服务, 就这两种拒绝服务攻击而言,危害较大的主要是DDoS攻 击,原因是很难防范,至于DOS攻击,通过给主机服务器 打补丁或安装防火墙软件就可以很好地防范。
1 2
交1 换2 机3
3 14
4 56 7
交换机 2
123
1交 1
2换 2
3 4
机 3
3
[2, 1] [2, 2]
交换机 2 的转发表
[3, 2]
[3, 3]
目的站 下一跳
[1, 1] [1, 3] [3, 2] [3, 3] [2, 1] [2, 2]
交换机1 交换机1 交换机3 交换机3
直接
直接
ATMLAN星形结构的校园网应用
服务器
多媒体 工作站
多媒体 工作站
MMWS
令牌环网
ATM 集中器
ATM 交换机
PABX
ATM 交换机
局域校园网
ATM 交换机
ATM 路由器
公众 ATM网
多媒体 工作站
FDDI
Biblioteka Baidu
以太网
• 应用需求
校园网简单网络结构
局域网+广域网=互联网
局域网
局域网
路由器
广域网
互联网
受害者
• DDoS是英文Distributed Denial of Service的缩写,即 “分布式拒绝服务”,凡是能导致合法用户不能够访问正 常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服 务攻击的目的非常明确,就是要阻止合法用户对正常网络 资源的访问,从而达成攻击者不可告人的目的。虽然同样 是拒绝服务攻击,但是DDoS和DOS还是有所不同, DDoS的攻击策略侧重于通过很多“僵尸主机”(被攻击者 入侵过或可间接利用的主机)向受害主机发送大量看似合 法的网络包,从而造成网络阻塞或服务器资源耗尽而导致 拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包 就会犹如洪水般涌向受害主机,从而把合法用户的网络包 淹没,导致合法用户无法正常访问服务器的网络资源,因 此,拒绝服务攻击又被称之为“洪水式攻击”。
交换机 2 的转发表
[3, 2]
[3, 3]
目的站 下一跳
[1, 1] [1, 3] [3, 2] [3, 3] [2, 1] [2, 2]
交换机1 交换机1 交换机3 交换机3
直接
直接
目的站是[3, 2]吗? 否 查找转发表中的下一个项目。
1 2
交1 换2 机3
3 14
4 56 7
交换机 2
123
节点交换机 路由器
节点交换机转发分组的案例
给出结点交换机 2 中的转发表作为例子
例,一个欲发往主机[3, 2]的分组到达了交换机 2 这时应查找交换机 2 的转发表,找目的站为[3, 2]的项
交 1换 2机
4 5 6
31 7
4 56 7
交换机 2
123
4 交1
5 换2
6 7
机3 3
[2, 1] [2, 2]
弃
(d) 确认帧丢失
• 图a表示数据在传输过程中不出现差错的情况,收方在收到一个正确 的数据帧后,即交付给主机B,同时向主机A发送一个确认帧ACK, 当主机A收到确认帧ACK后才能发送一个新的数据帧,这样就实现了 收方对发方的数据流量。
• 通常在数据帧中加上了CRC所以节点B很容易检验出收到的数据帧是 否有差错,发现差错Ⅹ,节点B就向主机A发送NAK,以表示主机A应 当重传出现差错的那个数据帧,图b表示主机A重传数据帧