拒绝服务攻击及防御

拒绝服务攻击及防御信息安全系列培训之三樊山大纲拒绝服务攻击原理典型的拒绝服务攻击DoS工具与傀儡网络蠕虫攻击及其对策拒绝服务攻击防御拒绝服务攻击检测拒绝服务攻击原理什么是拒绝服务攻击DoS(DenialofService)攻击其中文含义是拒绝服务攻击，这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。黑客不正当地采用标准协议或连接方法，向攻击的服务发出大量的讯息，占用及超越受攻击服务器所能处理的能力，使它当(Down)机或不能正常地为用户服务。属性分类法攻击静态属性（Static）攻击控制模式攻击通信模式攻击技术原理攻击协议和攻击协议层攻击动态属性（Dynamic）攻击源地址类型攻击包数据生成模式攻击目标类型交互属性（Mutual）攻击的可检测程度攻击影响攻击静态属性（1）攻击控制方式（ControlMode）攻击控制方式直接关系到攻击源的隐蔽程度。根据攻击者控制攻击机的方式可以分为以下三个等级：直接控制方式（Direct）、间接控制方式（Indirect）和自动控制方式（Auto）。（2）攻击通信方式（CommMode）在间接控制的攻击中，控制者和攻击机之间可以使用多种通信方式，它们之间使用的通信方式也是影响追踪难度的重要因素之一。攻击通信方式可以分为三种方式，分别是：双向通信方式（bi）、单向通信方式（mono）和间接通信方式（indirection）。攻击静态属性3）攻击原理（Principle）DoS攻击原理主要分为两种，分别是：语义攻击（Semantic）和暴力攻击（Brute）。语义攻击指的是利用目标系统实现时的缺陷和漏洞，对目标主机进行的拒绝服务攻击，这种攻击往往不需要攻击者具有很高的攻击带宽，有时只需要发送1个数据包就可以达到攻击目的，对这种攻击的防范只需要修补系统中存在的缺陷即可。暴力攻击指的是不需要目标系统存在漏洞或缺陷，而是仅仅靠发送超过目标系统服务能力的服务请求数量来达到攻击的目的，也就是通常所说的风暴攻击。攻击静态属性（4）攻击协议层（ProLayer）攻击所在的TCP/IP协议层可以分为以下四类：数据链路层、网络层、传输层和应用层。数据链路层的拒绝服务攻击受协议本身限制，只能发生在局域网内部，这种类型的攻击比较少见。针对IP层的攻击主要是针对目标系统处理IP包时所出现的漏洞进行的，如IP碎片攻击[Anderson01]，针对传输层的攻击在实际中出现较多，SYN风暴、ACK风暴等都是这类攻击，面向应用层的攻击也较多，剧毒包攻击中很多利用应用程序漏洞的（例如缓冲区溢出的攻击）都属于此类型。（5）攻击协议（ProName）攻击所涉及的最高层的具体协议，如SMTP、ICMP、UDP、HTTP等。攻击所涉及的协议层越高，则受害者对攻击包进行分析所需消耗的计算资源就越大。攻击动态属性（Dynamic）（1）攻击源地址类型（SourceIP）攻击者在攻击包中使用的源地址类型可以分为三种：真实地址（True）伪造合法地址（ForgeLegal）伪造非法地址（ForgeIllegal）（2）攻击包数据生成模式（DataMode）攻击包中包含的数据信息模式主要有5种：不需要生成数据（None）统一生成模式（Unique）随机生成模式（Random）字典模式（Dictionary）生成函数模式（Function）攻击动态属性（Dynamic）（3）攻击目标类型（Target）攻击目标类型可以分为以下6类：应用程序（Application）系统（System）网络关键资源（Critical）网络（Network）网络基础设施（Infrastructure）因特网（Internet）交互属性（Mutual）（1）可检测程度（Detective）根据能否对攻击数据包进行检测和过滤，受害者对攻击数据的检测能力从低到高分为以下三个等级：可过滤（Filterable）有特征但无法过滤（Unfilterable）无法识别（Noncharacterizable）（2）攻击影响（Impact）根据攻击对目标造成的破坏程度，攻击影响自低向高可以分为：无效（None）服务降低（Degrade）可自恢复的服务破坏（Self-recoverable）可人工恢复的服务破坏（Manu-recoverable）不可恢复的服务破坏（Non-recoverable）舞厅分类法舞厅分类法主干节点1-2舞伴类节点3-7风暴类节点8-16陷阱类节点18-22介入类节点23-37DDOS攻击的典型过程信息收集占领傀儡机攻击实施获取目标信息信息收集WhoisNslookup网上公开信息搜索引擎网络刺探Tracerouter网络扫描漏洞扫描DDOS攻击的典型过程占领傀儡机实施攻击信息收集占领傀儡机攻击实施拒绝服务攻击原理典型的拒绝服务攻击剧毒包型DoS攻击WinNuke攻击碎片（Teardrop）攻击Land攻击Pingofdeath攻击WinNuke攻击攻击特征：WinNuke攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。检测方法：判断数据包目标端口是否为139、138、137等，并判断URG位是否为“1”。反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段（丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址MAC）。碎片(Teardrop)攻击攻击特征：Teardrop是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。检测方法：对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。反攻击方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。Land攻击攻击特征：用于Land攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。检测方法：判断网络数据包的源地址和目标地址是否相同。反攻击方法：适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为（一般是丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址）。Pingofdeath攻击攻击特征：该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。检测方法：判断数据包的大小是否大于65535个字节。反攻击方法：使用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进行系统审计。风暴型DoS攻击直接风暴型攻击Ping风暴攻击SYN风暴攻击TCP连接耗尽攻击UDP风暴攻击对邮件系统的拒绝服务攻击HTTP风暴攻击反射攻击一般意义的反射攻击放大式反射攻击直接风暴攻击Ping风暴攻击单纯向受害者发送大量ICMP回应请求消息SYN风暴攻击TCP连接耗尽攻击UDP风暴攻击占用网络带宽对邮件系统的拒绝服务攻击邮件炸弹垃圾邮件HTTP风暴攻击反射攻击一般意义的反射攻击攻击者利用了反射器会响应一个消息的要求而自行产生一个回应消息的特征或能力凡是支持“自动消息生成”的协议,包括TCP、UDP、各种ICMP消息，应用协议等，都可能被用于反射攻击与其它的分布式拒绝服务攻击不同，分布式反射攻击不依赖于系统漏洞，任何系统都可能成为反射攻击的“帮凶”SYN-ACK消息或者RST消息是攻击者常利用的消息类型当使用SYN-ACK进行攻击时，反射器就像SYN风暴攻击的受害者。反射攻击放大式放大攻击Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。放大式攻击Fraggle攻击Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP。防御：在防火墙上过滤掉UDP应答消息。以CISCO的ASA为例class-mapfraggle-------------定义端口号和协议号matchportudpeqechopolicy-mapfraggle--------------策略匹配,设置最大连接数为1classfragglesetconnectionconn-max1service-policyfraggleinterfaceinside----------------在接口上应用放大攻击Fraggle攻击DoS工具与傀儡网络DoS工具分析TrinooTFNStacheldrahtShaftTFN2K傀儡网络什么是傀儡网络傀儡网络的危害傀儡网络工作原理傀儡网络攻击实现什么是傀儡网络BotNet，也称僵尸网络，指攻击者利用互联网用户的计算机建立的可以集中控制的用于其险恶用途的计算机群，包括控制手段等。傀儡网络的危害蠕虫扩散分布式拒绝服务攻击发送垃圾邮件窃取秘密信息窃取资源作为跳板傀儡网络工作原理IRC协议应用层协议C/S模式默认端口：TCP6667傀儡网络攻击实现发动大规模分布式拒绝服务攻击（DDOS）利用傀儡网络进行钓鱼（Phishing）攻击利用傀儡网络开设HTTP代理利用傀儡网络发送垃圾邮件利用傀儡进行漏洞扫描安装间谍软件蠕虫攻击及其对策蠕虫常见传播策略选择性随机扫描顺序扫描基于目标列表的扫描基于路由的扫描基于DNS扫描分治扫描扫描策略评价目标地址空间选择是否采用多线程搜索易感染主机是否有易感染主机列表传播途径的多样化蠕虫的攻击手段缓冲区溢出攻击基于堆栈的缓冲区溢出基于堆的缓冲区溢出基于LIBC库的缓冲区溢出攻击格式化字符串攻击拒绝服务攻击弱口令攻击默认设置脆弱性攻击社会工程攻击蠕虫的检测与防范基于单机的蠕虫检测基于网络的蠕虫检测其他基于单机的蠕虫检测基于特征的检测技术基于网络负载的特征匹配基于日志分析的特征匹配基于文件内容的特征匹配基于黑洞检测技术对所有扫描全网的蠕虫都适用对于采用队列扫描和基于目标列表的扫描蠕虫不适用基于流量检测校验和技术沙箱技术安全操作系统对网络蠕虫的防范基于网络的蠕虫检测基于GrIDS的网络蠕虫检测通过与预定义的行为模式进行匹配，检测网络蠕虫是否存在。基于PLD硬件的检测和防御采用特征匹配技术，存在误报，无法检测未知网络蠕虫，只能进行事后处理基于蜜罐的检测和防御基于控制中心的检测、防御和阻断其他加强个人安全意识提高软件产品的安全性安全编码非可执行的缓冲区数组边界检查加强对返回地址的保护及时打补丁或者升级拒绝服务攻击防御终端防御最终受害处攻击为主机时-受害者主机和受害者所在网络攻击为带宽时-目标网络防御策略增强容忍性提高主机系统或网络安全性入口过滤增强容忍性随机释放当SynFlood时，随机释放一些未完成的半打开连接SYNCookiesSYNCookie功能一般是在发现、怀疑有攻击存在或者当前连接请求较多的时候才启用SYNCache通过全局表建立连接表提高了