第四周 拒绝服务与数据库安全

第3章拒绝服务与数据库安全拒绝服务攻击概述3.1SQL数据库安全3.2SQLServer攻击的防护3.3掌握DoS攻击的原理掌握DoS攻击工具的基本使用和防护了解基于服务的漏洞和入侵方法掌握Telnet入侵的基本防护了解SQL数据库的安全技术和原理掌握基于SQL的入侵和防护本章学习要点：3.1拒绝服务攻击概述3.1.1DoS定义DoS（DenialofService，拒绝服务）是指阻止或拒绝合法使用者存取网络服务器。造成DoS的攻击行为被称为DoS攻击，即将大量的非法申请封包传送给指定的目标主机，其目的是完全消耗目标主机资源，使计算机或网络无法提供正常的服务。拒绝服务攻击(DoS)：DoS--DenialofService：现在一般指导致服务器不能正常提供服务的攻击。DoS攻击的事件：◎2000年2月份的Yahoo、亚马逊、CNN被DoS攻击。◎2002年10月全世界13台DNS服务器同时受到了DDoS（分布式拒绝服务）攻击。◎2003年1月25日的“2003蠕虫王”病毒。◎2004年8月，共同社报道：日本近期共有上百网站遭到黑客袭击。最常见的DoS攻击包括计算机网络带宽攻击和连通性攻击。带宽攻击是指以极大的通信量冲击网络，使得所有可用的网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击是指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。是借助网络系统或协议的缺陷以及配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或系统应用死锁，妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损，甚至导致服务中断。DoS攻击的原理:是首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息。由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送一批新的请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽，而导致服务中断，如图3.1所示。DoS攻击的基本过程:图3.1DoS攻击的基本过程3.1.2拒绝服务攻击的分类1．按攻击的对象分类拒绝服务攻击可以是“物理的”（又称“硬件的”），也可以是“逻辑的”（又称“软件的”）。①物理形式的攻击，如偷窃、破坏物理设备，破坏电源等。②逻辑的攻击，如通过软件破坏网络、系统资源和服务，如邮件服务、DNS服务、CPU资源等。2．按攻击的目标分类按攻击的目标拒绝服务攻击又可分为节点型和网络连接型。①节点型：旨在消耗节点（主机Host）资源。节点型又可以进一步细分为主机型和应用型。主机型攻击：其目标主要是主机中的公共资源，如CPU、磁盘等，使得主机对所有的服务都不能响应。应用型攻击：其目标是网络中特定的应用，如邮件服务、DNS服务、Web服务等。受攻击时，受害者上的其他服务可能不受影响或者受影响的程度较小（与受攻击的服务相比而言）。②网络连接型：旨在消耗网络连接和带宽。3．按攻击方式分类按照攻击方式拒绝服务攻击可以分为资源消耗、服务中止和物理破坏。①资源消耗：指攻击者试图消耗目标的合法资源，如网络带宽、内存和磁盘空间、CPU使用率等。根据资源类型的不同，资源消耗可分为带宽耗尽和系统资源耗尽两类。带宽耗尽攻击：其本质是攻击者通过放大等技巧，消耗掉目标网络的所有可用带宽。系统资源耗尽攻击：指对系统内存、CPU或程序中的其他资源进行消耗，使其无法满足正常提供服务的需求。著名的SynFlood攻击即是通过向目标服务发送大量的数据包，造成服务的连接队列耗尽，无法再为其他正常的连接请求提供服务。②服务中止：指攻击者利用服务中的某些缺陷导致服务崩溃或中止。③物理破坏：指雷击、电流、水、火等以物理接触的方式导致的拒绝服务攻击。4．按受害者类型分类按受害者类型拒绝服务攻击可以分为服务器端拒绝服务攻击和客户端拒绝服务攻击。①服务器端拒绝服务攻击：指攻击的目标是特定的服务器，使之不能提供服务（或者不能向某些客户端提供某种服务），如攻击一个Web服务器使之不能访问。②客户端拒绝服务攻击：针对特定的客户端，使之不能使用某种服务，如游戏、聊天室中的“踢人”，也就是使某个特定的用户不能登录游戏系统或聊天室中，使之不能使用系统的服务。5．按攻击是否针对受害者分类直接和间接拒绝服务攻击6．按攻击地点分类本地攻击和远程攻击Land原是一段C程序，其向受害者发送TCPSYN包，而这些包的源IP地址和目的IP地址被伪造成相同的，即受害者的IP地址，源端口和目的端口也是相同的；此将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留，直到超时。目标系统在收到这样的包以后可能会崩溃或者重启。3.1.3常见DoS攻击1．Land程序攻击InternetCode崩溃G.MarkHardy[LAND攻击]IP包欺骗：源地址204.241.161.12Port139目的地址204.241.161.12Port139包被送回它自己攻击者172.18.1.1目标204.241.161.12LAND攻击:Land攻击防御有针对性地更改协议算法，打最新的相关的安全补丁；在防火墙上进行配置，将那些在外部接口上进入的含有内部源地址的包过滤掉，包括10域，127域，192.168域，172.16到172.31域。对剧毒包进行识别。如：由于Land攻击主要是构造IP包，使源IP和目标IP相同，源端口和目的端口相同，可以对此类包进行单独辨别、处理。2．SYNFlood攻击①攻击者向被攻击服务器发送一个包含SYN标志的TCP报文，SYN（Synchronize，同步报文）会指明客户端使用的端口以及TCP连接的初始序号，这时同被攻击服务器建立了第1次握手。②受害服务器在收到攻击者的SYN后，将返回一个SYN+ACK的报文，表示攻击者的请求被接受，同时TCP序号被加1，ACK（Acknowledgement）即确认，这样就同被攻击服务器建立了第2次握手。③攻击者也返回一个确认报文ACK给受害服务器，同样TCP序列号被加1，到此一个TCP连接完成，第3次握手完成。“攻击过程”SYNFlood原理TCP连接的三次握手SYNFlood原理SynFlood攻击者不会完成三次握手SYNFloodSYN_RECV状态半开连接队列遍历，消耗CPU和内存SYN|ACK重试SYNTimeout：30秒~2分钟无暇理睬正常的连接请求—拒绝服务SYN（我可以连接吗？）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接！SYNFlood攻击原理攻击表象SYNFlood原理假设一个客户向服务器发送了SYN报文段后突然掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度称为SYNTimeout，一般来说这个时间大约为30秒-2分钟；同时，对于每个连接，双方都要为这个连接分配必要的内存资源，用来存放所使用的协议，地址、端口、时钟以及初始序号等信息，这些内存资源大约占用280字节。SYNFlood原理当一个服务器收到大量连续的SYN包时，就会为这些连接分配必要的内存资源，这些半连接将耗尽系统的内存资源和CPU时间，从而拒绝为合法的用户提供服务。此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服务器端受到了SYNFlood攻击（SYN洪水攻击）。以windows为例SYN攻击花费时间（秒）累计花费时间（秒）第一次，失败33尝试第1次，失败69尝试第2次，失败1221尝试第3次，失败2445尝试第4次，失败4893尝试第5次，失败96189SYNFlood防护策略优化系统配置缩短超时时间，使无效的半连接尽快释放，也可能导致某些合法连接失败；增加半连接队列长度，使系统能够处理更多的半连接；关闭不必要或不重要的服务，减少被攻击的机会。优化路由器配置丢弃那些来自内网而源地址具有外网IP地址的包。加强监测在网络的关键点上安装监测软件，持续监视TCP/IP流量，分析通信状态，辨别攻击行为。SYNFlood防护策略防火墙有些防火墙具有SYNProxy功能，这种方法设置每秒通过指定对象（目标地址和端口、仅目标地址或仅源地址）的SYN片段数的阈值，当来自相同源地址或发往相同目标地址的SYN片段数达到这些阈值之一时，防火墙就开始截取连接请求和代理回复SYN/ACK片段，并将不完全的连接请求存储到连接队列中直到连接完成或请求超时。当防火墙中代理连接的队列被填满时，防火墙拒绝来自相同区域中所有地址的新SYN片段，避免网络主机遭受不完整的三次握手的攻击。这种方法在攻击流量较大的时候，连接出现较大的延迟，网络的负载较高，很多情况下反而成为整个网络的瓶颈。这种攻击利用RST（Resettheconnection）位来实现。假设现在有一个合法用户(61.61.61.61)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为61.61.61.61，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从61.61.61.61发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户61.61.61.61再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。攻击时，攻击者会伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务，从而实现了对受害服务器的拒绝服务攻击。3．IP欺骗DoS攻击4.Smurf攻击这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。第一步：攻击者向被利用网络A的广播地址发送一个ICMP协议的’echo’请求数据报，该数据报源地址被伪造成10.254.8.9第二步：网络A上的所有主机都向该伪造的源地址返回一个‘echo’响应，造成该主机服务中断。Smuff攻击Smurf攻击攻击通常分为以下五步：黑客锁定一个被攻击的主机（通常是一些Web服务器）；黑客寻找中间代理（路由器），用来对攻击实施放大；黑客给中间代理站点的广播地址发送大量的ICMP包（主要是指Ping命令的ECHO包）。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址；中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包；中间代理子网主机对被攻击的网络进行响应。分析和对抗首先，防止让你的网络里的人发起这样的攻击。在Smurf攻击中，大量源欺骗的IP数据包离开了第一个网络。通过在路由器上使用输出过滤，滤掉这样的包，从而阻止从你的网络中发起的Smurf攻击。其次，防止你的网络做为中间代理。如果没有必须要向外发送广播数据包的情况，就可以在路由器的每个接口上设置禁止直接广播；配置主机的操作系统，使其不响应ICMP广播包。5．PingofDeath发送长度超过65535字节的ICMPEchoRequest数据包导致目标机TCP/IP协议栈崩溃，系统死机或重启现有的操作系统基本上都能正确处理这种异常数据包，不会出现问题。6．Teardrop攻击发送特别构造的IP数据包导致目标机TCP/IP协议栈崩溃，系统死锁现有的操作系统基本上都能正确处理这种异常数据包，不会出现问题。7．WinNuke攻击发送特别构造的TCP包，使得Windows机器蓝屏3.1.4分布式拒绝服务分布式拒绝服务（DistributedDenialofServi