拒绝服务攻击与防范

ProfessionalSecuritySolutionProvider拒绝服务攻击防范ProfessionalSecuritySolutionProvider现状概述ProfessionalSecuritySolutionProviderDDoS攻击造成的损失日益上升在FBI/CSI的2004抽样调查结果：被调查的企业由于网络安全事件直接造成的损失就达到1.4亿美元怠工、蓄意破坏系统渗透Web页面替换电信欺诈电脑盗窃无线网络的滥用私有信息窃取公共web应用的滥用非授权访问金融欺诈内部网络的滥用拒绝服务攻击病毒事件ProfessionalSecuritySolutionProviderDDoS攻击也变得越来越普遍•危害巨大–极大的破坏了系统和网络的可用性–涉及金钱利益的攻击事件开始出现•极易实施–广为传播的免费工具软件–人的好奇心或者其他想法•防范困难–新的攻击形式不断出现–攻击制造的流量日益增大•难于追查–需要电信部门的配合才有可能进行追查攻击特点•有意识的攻击–1999年Yahoo、ebay被拒绝服务攻击，DDoS出现–2001年CERT被拒绝服务攻击–2002年CNNIC被拒绝服务攻击–2003年全球13台根DNS中有8台被大规模拒绝服务–有组织、有预谋的涉及金钱利益的拒绝攻击出现•有意识的攻击–蠕虫传播–Exploit(ProofofConceptCode)溯本归原ProfessionalSecuritySolutionProviderWhatWeNeed?1.针对DDoS攻击具备集成的检测和阻断机制2.具备基于行为模式的DDoS攻击检测能力3.提供防御海量DDoS攻击的能力………………4.具备对复杂网络环境的适应能力5.提供强大的扩展能力，应对新出现的攻击该如何有效防御DDoS攻击ProfessionalSecuritySolutionProvider拒绝服务攻击概述ProfessionalSecuritySolutionProvider拒绝服务攻击的历史•初级阶段–1999年以前–DOS•发展阶段–1999年yahoo,ebay,cert…–DDOS•普及阶段–2002年以后–DRDOS–ZPCProfessionalSecuritySolutionProvider一些拒绝服务攻击案例•有意识的攻击–1999年yahoo,ebay，DDOS出现–2001Cert被拒绝服务攻击–2002年cnnic被攻击–2003全球13台根DNS中有8台被大规模拒绝服务–小规模的攻击行为•无目的的拒绝服务–蠕虫的传播SQLSlammerProfessionalSecuritySolutionProvider什么是拒绝服务D.O.S•DoS的英文全称是DenialofService，也就是“拒绝服务”的意思。•从网络攻击的各种方法和所产生的破坏情况来看，DoS是一种很简单但又很有效的进攻方式。•目的是使系统拒绝提供服务，破坏组织的正常运行，昀终它会使部分Internet连接和网络系统失效。ProfessionalSecuritySolutionProvider什么是分布式拒绝服务(DDOS)•DDoS(分布式拒绝服务)，它的英文全称为DistributedDenialofService•是一种基于DoS的特殊形式的拒绝服务攻击，进行分布、协作的大规模攻击方式，主要瞄准比较大的站点，象商业公司，搜索引擎和政府部门的站点。•基本的DoS攻击只要一台单机和一个网络连接就可实现，DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。ProfessionalSecuritySolutionProvider分布式拒绝服务攻击示意图ProfessionalSecuritySolutionProviderƒ极易实施PC机、广为传播的免费工具软件、好奇心或别的想法ƒ危害性极大一两台位于宽带网上的PC机就可以使整个IDC瘫痪ƒ极难追查需要多个ISP的紧密配合才有可能进行追查DDoS的特点ProfessionalSecuritySolutionProviderƒ国内外百兆硬件防火墙能“承受”DDoS流量的上限是30Mbps（Netscreen-100，Fortigate-300，NokiaFirewall-I）ƒ国内外千兆硬件防火墙没有有效防止DDoS的方法（Netscreen-Giga、Fortigate-2000、天融信、东方龙马）ƒ一台普通PC（P3800）通过应用层能打出30~40Mbps的DoS流量，在linuxkernel里能打出近50Mbps的DoS流量硬件防火墙挡不住一台PC机的攻击!国内IDC中的硬件防火墙被30MDDoS打得全部瘫痪，致使整个网段无法防问一些数据ProfessionalSecuritySolutionProvider拒绝服务工具的发展•独立的1对1攻击程序–Winnuke–Teardrop•集合的攻击程序包或者脚本–Ttools–rape•DDOS攻击工具–TFN/TFN2K..•自动漏洞利用蠕虫–引发不可控的大规模DOS–红色代码–SQLSlammerProfessionalSecuritySolutionProvider拒绝服务攻击技术的发展•DDoS攻击将越来越多地采用IP欺骗的技术；•DDoS攻击呈现由单一攻击源发起进攻，转变为由多个攻击源对单一目标进攻的趋势;•DDoS攻击将会变得越来越智能化，试图躲过网络入侵检测系统的检测跟踪，并试图绕过防火墙防御体系;•针对路由器的弱点的DDoS攻击将会增多;ProfessionalSecuritySolutionProvider近年一些新的拒绝服务攻击技术•DRDOS–形成难于追查的ACKFlood•代理连接耗尽–Fatboy等工具•BotNet网络–通过IRC控制数万台个人主机(ZombiePC)发起ProfessionalSecuritySolutionProvider拒绝服务的种类-从发起层次分析•应用层–垃圾邮件、病毒邮件–DNSFlood•网络层–SYNFlood、ICMPFlood–伪造•链路层–ARP伪造报文•物理层–直接线路破坏–电磁干扰ProfessionalSecuritySolutionProvider拒绝服务的种类-利用的原理分析•资源比拼型–ICMPFlood–ACKFlood–ConnectionFlood•软件/协议缺陷利用型–SYNFlood–ARPSpoof–PingofDeath–SMBDie•其他形式–电磁干扰–SQLFlood–DNSFooldProfessionalSecuritySolutionProvider讨论：一些问题•问题一：你管理过的网络遇到过拒绝服务攻击的情况吗？•问题二：如果遇到，现象是什么样的？你能判断是哪种拒绝服务攻击吗？•问题三：你是如何解决你遇到的拒绝服务攻击？ProfessionalSecuritySolutionProvider常见拒绝服务攻击分析ProfessionalSecuritySolutionProvider漏洞利用型•PingofDeath•Land•Teardrop•jolt2ProfessionalSecuritySolutionProvider简单的Land攻击•在Land攻击中，一个特别打造的SYN包中的原地址和目标地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送SYN_ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时。•对Land攻击反应不同，许多UNIX实现将崩溃，而WindowsNT会变的极其缓慢（大约持续五分钟）。•安装补丁或者升级操作系统是永久的解决方案ProfessionalSecuritySolutionProvider著名的PingofDeath•在互联网刚兴起的阶段，路由器对所传输的文件包昀大尺寸都有限制，许多操作系统对TCP／IP的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区•一旦产生畸形即声称自己的尺寸超过ICMP上限的包，也就是加载的尺寸超过64KB上限时，就会出现内存分配错误，导致TCP／IP堆栈崩溃，致使接受方当机•这种攻击方式主要是针对Windows9X操作系统的，而Unix、Linux、Solaris。MacOS都具有抵抗一般PingofDeath攻击的能力。ProfessionalSecuritySolutionProviderTeardrop•泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击，也就是某些TCP/IP实现中分段重新组装进程中存在的潜在弱点被人利用。•Teardrop程序则向外发送成对的IP数据包片段，数据包到达目标电脑后将组成无效的UDP数据报。WindowsNT用户收到无效UDP数据报后，将为此分配核心内存，如果收到无效UDP数据报足够多，电脑将死机，并出现“STOP0x000000A”字样。•该攻击是针对很多操作系统的TCP/IP协议栈没有正确处理已分段的IP包的重组。其特征是发送2个或更多特别的分段IP数据报。第一个包是偏移量为0的段，数据段(分段长度)字节是N,并设置了MF位，第二个包是昀后一个分段(MF==0)，但它的偏移量小于N，所有造成两个分段重叠了。为了重组这些包，有弱点的系统就会在TCP/IP栈中分配非常ProfessionalSecuritySolutionProviderTeardrop•TearDropattack曾有过多次改进，不过其实现原理都是通过修改UDP包的头部格式，利用IP层数据报的分片、重组工作原理，向主机发出多个异常的数据包。•影响linux1.x2.0.xwindows95/NT系统•利用ip报文分片的特性发送攻击报文ProfessionalSecuritySolutionProvider第一个：01/08-11:42:21.985853192.168.0.9-192.168.0.1UDPTTL:64TOS:0x0ID:242IpLen:20DgmLen:56MFFragOffset:0x0FragSize:0x24*MF=1，偏移量=0，分片IP包的第一个。*结构图：|-------20-----|------8-----|-----------28----------|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-|IP|UDP|Data|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-第二个：01/08-11:42:21.985853192.168.0.9-192.168.0.1UDPTTL:64TOS:0x0ID:242IpLen:20DgmLen:24FragOffset:0x3FragSize:0x4*MF=0，偏移量=0x3，偏移字节数为0x3*8=24，昀后一个分片。*结构图：|-----20-----|---4----|+-+-+-+-+-+-+-+-+-+-+-+|IP|Data|+-+-+-+-+-+-+-+-+-+-+-+teardrop比较简单，默认发送两个UDP数据包，就能使某些系统内核崩溃。TeardropProfessionalSecuritySolutionProvider下面的结构图表示了接收端重组分片的过程，分别对应于偏移字节数为24和32两种情况：|-------20--------|------8------|---------------28----------------|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|IP|UDP|Data|+-+-+-+-+-+-+