传输层及安全

SYN-Flooding攻击
SYN-Flooding攻击
攻击者
ቤተ መጻሕፍቲ ባይዱ
不能建立正常的连接 其它正常用户得不到响应
受害者
SYN-Flooding攻击
SYN洪水攻击/DDoS攻击
针对SYN-Flooding攻击的防范措施 （一）SYN Defender
针对SYN-Flooding攻击的防范措施 （二）SYN proxy
SYN-Flooding攻击概述(2)
• 假设一个用户向服务器发送了SYN报文后突然死机或掉线， 那么服务器在发出SYN+ACK应答报文后是无法收到客户 端的ACK报文的（第三次握手无法完成），这种情况下服 务器端一般会重试（再次发送SYN+ACK给客户端）并等 待一段时间后丢弃这个未完成的连接，这段时间的长度称 为SYN 超时（Timeout），一般来说这个时间是分钟的数 量级（大约为30秒到2分钟）. • 如果有一个恶意的攻击者大量模拟这种情况，服务器端将 为了维护一个非常大的半连接列表而消耗非常多的资源： 数以万计的半连接，即使是简单的保存并遍历也会消耗非 常多的CPU时间和内存.。 • 服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇 理睬客户的正常请求（毕竟客户端的正常请求比率非常之 小）。最后的结果往往是堆栈溢出崩溃.
DDoS攻击的第三步
DDoS攻击的第四步
DDoS攻击的第五步
DDoS攻击的第六步
TCP/IP协议簇
TCP三次握手机制
TCP/IP相关问题
一个TCP头包含6个标志位。它们的意义如下所 述：
SYN：标志为用来建立连接，让连接双方同步序列号。如果SYN=1而 ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连 接； FIN：表示发送端已经没有数据要求传输了，希望释放连接； RST：用来复位一个连接。RST标志位置的数据包称为复位包。一般情况 下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则 向远端发送一个复位包； URG：为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此 时紧急数据指针有效； ACK：为确认标志位。如果为1，表示包中的确认号是有效的。否则，包 中的确认号无效； PSH：如果置位，接受端应尽快把数据传送给应用层
大部分TCP/IP遵循的原则(1)
大部分TCP/IP遵循的原则(2)
大部分TCP/IP遵循的原则(3)
端口扫描原理
端口扫描基础
全TCP连接
TCPSYN扫描
TCPFIN扫描
端口扫描工具（Windows 平台）
• • • • ������ ������ ������ ������ NetScanTools WinScan SuperScan NmapNT
传输层协议及安全
端口扫描基础
TCP是一个面向连接的可靠传输协议。面向连接表示两个应用端在利 用TCP传送数据前必须先建立TCP连接。TCP的可靠性通过校验和、 定时器、数据序号和应答来提供。通过给每个发送的字节分配一个序 号，接收端接收到数据后发送应答，TCP协议保证了数据的可靠传输。 数据序号用来保证数据的顺序，剔除重复的数据。在一个TCP会话中， 有两个数据流（每个连接端从另外一端接收数据，同时向对方发送数 据），因此在建立连接时，必须要为每一个数据流分配ISN（初始序 号）。为了了解实现过程，我们假设客户端C希望跟服务器端S建立 连接，然后分析连接建立的过程（这通常称作三阶段握手
端口扫描工具：NetScanTools
端口扫描工具：WinScan
端口扫描工具：SuperScan
端口扫描工具：NmapNT
黑客常见攻击方法和防范措施
1、预攻击探测
◆主机扫描 ◆网络结构发现 ◆端口和服务扫描 ◆操作系统识别 ◆资源和用户信息扫描 ◆防范措施
扫描基础
利用IP协议项来探测主机使用哪些 协议
SYN-Flooding攻击概述(1)
• SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布 式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发 送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU 满负荷或内存不足）的攻击方式。 TCP与UDP不同，它是基于连接的，也就是说，为了在服务端和 客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是 TCP连接，建立TCP连接的标准过程如下： • ������ 首先，请求端（客户端）发送一个包含SYN标志的TCP报文， SYN即同步（Synchronize），同步报文会指明客户端使用的端 口以及TCP连接的初始序号。 • ������ 服务器在收到客户端的SYN报文后，将返回一个SYN+ACK 的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK 即确认（Acknowledgement）。 • ������ 最后，客户端也返回一个确认报文ACK给服务器端，同样 TCP序列号被加1，到此一个TCP连接完成。 • ������ 以上的连接过程在TCP协议中被称为三次握手（Three-way Handshake）
利用IP协议项来探测主机使用哪些 协议
利用组装超时ICMP错误消息探 测协议
高级扫描技术－慢速扫描
高级扫描技术－乱序扫描
• ������ 普通的扫描器在扫描远程系统的端口 时，对端口扫描的顺序是有序的，这种按 照一定的顺序扫描端口的方式很容易被入 侵检测系统发觉。 • ������ 乱序扫描的端口号的顺序是随机生产 的，这种方式能有效的欺骗某些入侵检测 系统而不会被入侵检测系统发觉
拒绝服务攻击（DoS, DDos）
• Denial of Service (DoS) 此类攻击指一个用户占据了大量的共享资源， 使 得系统没有剩余的资源给其他用户可用的一种 攻 击方式。这是一类危害极大的攻击方式，严重 的 时候可以使一个网络瘫痪。 •Flooding攻击---发送垃圾数据或者响应主机 的请求来阻塞服务 SYN （Synchronize）Flooding攻击利用 TCP 实现中的漏洞（有限的缓存）来阻塞外来的 连接请求
UDP-Flood攻击
UDP-Flood攻击预防
杜绝UDPFlood攻击的最好办法是关掉不必 要的TCP/IP服务，或者配置防火墙以阻断 来自Internet的UDP服务请求，不过这可能 会阻断一些正常的UDP服务请求。
分布式拒绝服务攻击（DDoS）
DDoS攻击的第一步
黑客
DDoS攻击的第二步