您好,欢迎访问三七文档
拒绝服务攻击及防范技术•DoS概述案例、定义、特点、分类•DoS攻击技术•DoS攻击防范案例•政府网站美国白宫的网站曾经遭受拒绝服务攻击•分布式拒绝服务2000年2月发生的一次对某些高利润站点Yahoo、eBay等的拒绝服务攻击,持续了近两天,使这些公司遭受了很大的损失。信息安全的基本属性•保密性•完整性•防抵赖•可用性(availability)•可控性DoS是针对可用性发起的攻击DoS的定义•DoS,DenialofService•攻击网络协议实现的缺陷或通过各种手段耗尽被攻击对象的资源,以使得被攻击计算机或网络无法提供正常的服务或者资源,合法用户的请求得不到及时的响应DoS攻击的特点•资源稀缺性•软件复杂性(6个/KLOC,6-30)•难确认,隐蔽性好(主观角度)•难防范,缺乏模型有些DoS可以通过管理的手段防止;受挫折,无法攻入目标系统,最后一招:DOSDoS类型•发送一些非法数据包使系统死机或重起,造成系统或网络瘫痪•向系统发送大量信息,使系统或网络不能响应DoS攻击技术分类(1)•利用协议中的漏洞SYN-Flood攻击•利用软件实现的缺陷teardrop攻击、land攻击•发送大量无用突发数据攻击耗尽资源ICMPflood攻击、Connectionflood攻击•欺骗型攻击IPSpoofingDoS攻击DoS攻击技术分类(2)•利用TCP/IP协议进行的TCPDoS攻击–SYNflood攻击–Land攻击–Teardrop攻击•利用UDP服务进行的UDPDoS攻击–UDPFloodDoS攻击•利用ICMP协议进行的ICMPDoS攻击–PingofDeath攻击–Smurf攻击发展历史•早期的Internet蠕虫病毒•消耗网络资源分片装配,非法的TCP标志,SYNFlood等•利用系统实现上的缺陷,点对点形式PingofDeath,IP分片重叠•分布式DoS(DDoS)攻击smurf攻击一些典型的DoS攻击•PingofDeath–发送异常的(长度超过IP包的最大值)•Teardrop–IP包的分片装配•UDPFlood•Land–程序发送一个TCPSYN包,源地址与目的地址相同,源端口与目的端口相同,从而产生DoS攻击•SYNFlood–快速发送多个SYN包•Smurf–给广播地址发送ICMPEcho包,造成网络阻塞•……PingofDeath原理:直接利用ping包,即ICMPEcho包,有些系统在收到大量比最大包还要长的数据包,会挂起或者死机•受影响的系统:许多操作系统受影响•攻击做法直接利用ping工具,发送超大的ping数据包•防止措施打补丁:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(servicepack3之后),linux、Solaris、和MacOS都具有抵抗一般pingofdeath攻击的能力。防火墙阻止这样的ping包TCP/IP允许数据包的最大容量为65536C:\ping162.105.30.200Pinging162.105.30.200with32bytesofdata:Replyfrom162.105.30.200:bytes=32time=10msTTL=255Replyfrom162.105.30.200:bytes=32time10msTTL=255Replyfrom162.105.30.200:bytes=32time10msTTL=255Replyfrom162.105.30.200:bytes=32time10msTTL=255Pingstatisticsfor162.105.30.200:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=10ms,Average=C:\ping-l65570162.105.30.200Badvalueforoption-l,validrangeisfrom0to65500IP碎片•IP碎片攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃•常见的IP碎片程序有jolt2、teardrop、newtear、syndrop、boink等。•防御措施:主要是服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。Teardrop•原理:利用IP包的分片装配过程中,由于分片重叠,计算过程出现长度为负值,在执行memcpy的时候导致系统崩溃•受影响的系统:Linux/WindowsNT/95,97年发现•攻击特征攻击非常简单,发送一些IP分片异常的数据包•防止措施加入条件判断,对这种异常的包特殊处理打补丁UDPflood•原理:各种各样的假冒攻击利用简单的TCP/IP服务,如chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽耗尽的服务攻击。•对策:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的对这些服务的UDP请求都可以防范UDPflood攻击。SYNFlood•原理:利用TCP连接三次握手过程,打开大量的半开TCP连接,使得目标机器不能进一步接受TCP连接。每个机器都需要为这种半开连接分配一定的资源,并且,这种半开连接的数量是有限制的,达到最大数量时,机器就不再接受进来的连接请求。•受影响的系统:大多数操作系统•攻击细节–连接请求是正常的,但是,源IP地址往往是伪造的,并且是一台不可达的机器的IP地址,否则,被伪造地址的机器会重置这些半开连接–一般,半开连接超时之后,会自动被清除,所以,攻击者的系统发出SYN包的速度要比目标机器清除半开连接的速度要快–任何连接到Internet上并提供基于TCP的网络服务,都有可能成为攻击的目标–这样的攻击很难跟踪,因为源地址往往不可信,而且不在线SYNFlood•攻击特征目标主机的网络上出现大量的SYN包,而没有相应的应答包SYN包的源地址可能是伪造的,甚至无规律可循•防止措施针对网络•防火墙或者路由器可以在给定时间内只允许有限数量的半开连接•入侵检测,可以发现这样的DoS攻击行为打补丁•Linux和Solaris使用了一种被称为SYNcookie的技术来解决SYNFlood攻击:在半开连接队列之外另设置了一套机制,使得合法连接得以正常继续Smurf•原理:向广播地址发送伪造地址的ICMPEcho数据包。攻击者向一个广播地址发送ICMPEcho请求,并且用受害者的IP地址作为源地址,于是,广播地址网络上的每台机器响应这些Echo请求,同时向受害者主机发送ICMPEcho-Reply应答。于是,受害者主机会被这些大量的应答包淹没•受影响的系统:大多数操作系统和路由器•变种:fraggle,使用UDP包,或称为udpsmurf比如,7号端口(echo),如果目标机器的端口开着,则送回应答,否则,产生ICM端口不可达消息•技术细节两个主要的特点:使用伪造的数据包,使用广播地址。不仅被伪造地址的机器受害,目标网络本身也是受害者,它们要发送大量的应答数据包SmurfSmurf•攻击特征–涉及到三方:攻击者,中间目标网络,受害者–以较小的网络带宽资源,通过放大作用,吃掉较大带宽的受害者系统–Smurf放大器•Smurf放大器网络:不仅允许ICMPEcho请求发给网络的广播地址,并且允许ICMPEcho-Reply发送回去•这样的公司越多,对Internet的危害就越大•实施Smurf攻击–需要长期的准备,首先找到足够多的中间网络–集中向这些中间网络发出ICMPEcho包Smurf攻击的防止措施•针对最终受害者–没有直接的方法可以阻止自己接收ICMPEchoReply消息–在路由器上阻止这样的应答消息,但结果是路由器本身遭受了DoS攻击–与中间目标网络联系•针对中间网络–关闭外来的IP广播消息,但是,如果攻击者从内部机器发起攻击,仍然不能阻止smurf攻击–配置操作系统,对于广播地址的ICMP包不响应•在每个路由节点上都记录log,以备查–流量大的路由节点上能够记录所有的流量吗Land•原理:这是一种比较老的攻击,目前大部分操作系统都能避免。在Land攻击中,构造一个特别的SYN包,它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应同许多UNIX实现将崩溃,NT变得极其缓慢(大约持续五分钟)。•对策:打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉(包括10域、127域、192.168域、172.16到172.31域)都比较有效的防范Land攻击。电子邮件炸弹•原理:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断大量地向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。•对策:对付这种攻击最简单的方法就是对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。DDOS•分布式拒绝服务,DistributedDenialofServiceattack•传统的拒绝服务是一台机器向受害者发起攻击,DDOS不是仅仅一台机器而是多台主机合作,同时向一个目标发起攻击。DDOS•攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。•主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的客户主机。主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。•代理端:代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令。代理端主机是攻击的执行者,真正向受害者主机发送攻击。DDOS的攻击过程(1)攻击者寻找在Internet上有漏洞的主机,进入系统后在其上面安装后门程序,攻击者入侵的主机越多,他的攻击队伍就越壮大。(2)攻击者在入侵主机上安装攻击程序,其中一部分主机充当攻击的主控端,一部分主机充当攻击的代理端。(3)最后各部分主机各司其职,在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵,所以在攻击时不会受到监控系统的跟踪,身份不容易被发现。常用工具a.TFN(TribeFloodNetwork)和TFN2Kb.TrinooC.StacheldrahtTFN(TribeFloodNetwork)和TFN2K•TFN是由著名黑客Mixter编写的,是第一个公开的UnixDDoS工具。由主控端程序和客户端程序两部分组成,它主要采取的攻击方法为:SYNFlood、Pingofdeath、UDPFlood和SMURF,还允许将一个rootshell和TCP端口绑定。TFN2K是由TFN发展而来的,在TFN所具有的特性上,TFN2K又新增一些特性,它的主控端和客户端的网络通讯使用基于64位编码的弱加密方式,可以在不同的攻击方式之间随机切换。•Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包,在处理这些超出其处理能力的垃圾数据包的过程中,被攻击主机的网络性能不断下降,直到不能提供正常服务,乃至崩溃。它对IP地址不做假Stacheldraht也是从TFN派生出来的,因此它具有TFN的特性。此外它增加了主控端与代理端的加密通讯能力,它对命令
本文标题:拒绝服务及防范技术
链接地址:https://www.777doc.com/doc-1592820 .html