网络安全4-拒绝服务攻击_2

网络安全2第3章回顾网络扫描网络监听口令破解3第4章拒绝服务攻击本章介绍DoS攻击的定义、思想和分类，对SYNFlooding攻击、Smurf攻击、利用处理程序错误的拒绝服务攻击、电子邮件轰炸攻击和分布式拒绝服务攻击(DdoS)方法分别进行了详细的分析，并对每一种攻击提供了防范措施。4第4章拒绝服务攻击4.1拒绝服务攻击概述4.2拒绝服务攻击分类4.3服务端口攻击4.4电子邮件轰炸4.5分布式拒绝服务攻击DDoS5DoS/DDoS攻击事件介绍世界上第一个DoS攻击：1988年11月发生的Morris蠕虫事件。导致了5000多台主机瘫痪。2000年，世界上著名的电子商务网站：Yahoo、eBay、Amazon、CNN等都遭到了分布式拒绝服务攻击。1999年秋天，CMU大学的CERT中心发布出现一种新的攻击：DDoS。67891011相关概念服务：系统提供的，用户在对其使用中会受益的功能。拒绝服务：任何对服务的干涉，如果使其可用性降低或者失去可用性均称为拒绝服务。拒绝服务攻击：是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转，从而不能向合法用户提供所需要的服务或者使得服务质量降低。124.1拒绝服务攻击概述DoS定义拒绝服务攻击DoS（DenialofService）是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式这种攻击往往是针对TCP／IP协议中的某个弱点，或者系统存在的某些漏洞，对目标系统发起的大规模进攻使服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致目标网络或系统不胜负荷以至于瘫痪而无法向合法的用户提供正常的服务第4章第1节13拒绝服务攻击（DienialofService）拒绝服务攻击是一种广泛存在的系统攻击，这种攻击的目的是使目标主机停止网络服务，而其他攻击的目的往往是欲获取主机的控制权。这种攻击的危险性在于它可以在没有获得主机的任何权限的情况下进行，只要主机连接在网络上就可能受到攻击。攻击简单、容易达到目的、难于防止和追查困难14拒绝服务攻击产生的根源当一个对资源的合理请求大大超过系统的处理能力时就会造成拒绝服务攻击，例如，对已经满载的Web服务器进行过多的请求，或者不断生成新的文件将系统的磁盘空间耗尽。资源包括网络带宽、文件系统空间容量、进程或者内存空间、CPU处理能力、处理队列等。还有一些恶意的拒绝服务攻击利用操作系统或软件的漏洞，产生特殊的请求使系统崩溃或进入等待状态，而正常的服务请求却无法得到响应。154.1拒绝服务攻击概述从某种程度上可以说，DoS攻击永远不会消失。而且从技术上，目前还没有根本的解诀办法。第4章第1节16DoS攻击方法利用软件实现的缺陷利用协议的漏洞合理请求大大超过系统的处理能力17DoS攻击种类停止服务：破坏或是迫使目标服务器关闭一个特定服务。•消耗资源：服务进程本身还能够运行，但攻击者消耗了计算机和网络资源，阻止了合法用户的正常访问。攻击种类攻击方法•利用网络传输协议的缺陷，发送畸形的数据包，导致目标主机的TCP/IP协议栈无法处理而拒绝服务。•利用主机上的服务程序的漏洞，发送特殊格式的数据导致服务处理错误而拒绝服务。•产生高流量的无用数据，造成网络拥塞，使受害主机无法与外界正常通信。•利用应用服务协议的缺陷，提交大量的请求将主机资源耗尽。184.1拒绝服务攻击概述DoS攻击思想及方法服务器的缓冲区满，不接收新的请求使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。这也即是DoS攻击实施的基本思想DoS攻击的实现方式资源消耗、服务中止、物理破坏等第4章第1节19拒绝服务攻击DoS拒绝服务攻击有的利用了网络协议的缺陷，有的则抢占网络或者设备有限的处理能力。最常见的DoS攻击是资源型风暴攻击，如：计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。20DoS攻击分类杀死进程（init，inet进程）重新配置系统使进程崩溃填充进程表填充整个文件系统填充整个网络恶意数据包攻击（Land，Teardrop等）数据包泛滥（SYNFlood，Smurf，DDoS等）停止服务消耗资源本地远程214.2拒绝服务攻击分类攻击模式消耗资源网络带宽、存储空间、CPU时间等破坏或改变配置信息物理破坏或者改变网络部件利用服务程序中的处理错误使服务失效发起方式传统的拒绝服务攻击分布式拒绝服务攻击（DistributedDenialofService）第4章第2节224.2拒绝服务攻击分类攻击模式消耗资源针对网络连接的拒绝服务攻击ping、flooding、SYNfloodingping、finger广播包广播风暴（SMURF攻击）消耗磁盘空间EmailERROR-LOGFTP站点的incoming目录制造垃圾文件第4章第2节234.2拒绝服务攻击分类攻击模式消耗资源消耗CPU资源和内存资源main(){Fork()；main()；｝第4章第2节244.2拒绝服务攻击分类攻击模式破坏或更改配置信息修改服务用户群(deny)删除口令文件第4章第2节254.2拒绝服务攻击分类攻击模式物理破坏或改变网络部件计算机、路由器、网络配线室、网络主干段、电源、冷却设备、其它的网络关键设备利用服务程序中的处理错误使服务失效LAND第4章第2节264.2拒绝服务攻击分类攻击模式拒绝服务攻击分析加强管理机房管理设备分离定时检查各种配置定时检查关键资源的使用情况定时检查升级包第4章第2节274.3服务端口攻击SYNFloodingSmurf攻击利用处理程序错误的拒绝服务攻击第4章第3节28SYNFlood攻击SYN-Flood是目前最流行的DDoS攻击手段之一。SYN-Flood的攻击效果好，是众黑客不约而同选择它的原因。SynFlood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是SynFlood存在的基础。294.3服务端口攻击SYNFloodingACK=y+1SYN,SEQ=y,ACK=x+1SYN,SEQ=x发送端S接收端D图4-1TCP连接的三次握手第4章第3节30SYNFlood原理TCP连接的三次握手31SYNFlood原理SynFlood攻击者不会完成三次握手32SYNFlood原理假设一个客户向服务器发送了SYN报文段后突然掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度称为SYNTimeout，一般来说这个时间大约为30秒-2分钟；同时，对于每个连接，双方都要为这个连接分配必要的内存资源，用来存放所使用的协议，地址、端口、时钟以及初始序号等信息，这些内存资源大约占用280字节。33SYNFlood原理当一个服务器收到大量连续的SYN包时，就会为这些连接分配必要的内存资源，这些半连接将耗尽系统的内存资源和CPU时间，从而拒绝为合法的用户提供服务。此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服务器端受到了SYNFlood攻击（SYN洪水攻击）。344.3服务端口攻击SYNFlooding同步包风暴拒绝服务攻击具有以下特点针对TCP/IP协议的薄弱环节进行攻击发动攻击时，只要很少的数据流量就可以产生显著的效果攻击来源无法定位在服务端无法区分TCP连接请求是否合法第4章第3节354.3服务端口攻击SYNFlooding同步包风暴攻击的本质是利用TCP/IP协议集的设计弱点和缺陷只有对现有的TCP/IP协议集进行重大改变才能修正这些缺陷目前还没有一个完整的解决方案，但是可以采取一些措施尽量降低这种攻击发生的可能性第4章第3节364.3服务端口攻击SYNFlooding应对优化系统配置优化路由器配置使用防火墙主动监视完善基础设施第4章第3节374.3服务端口攻击Smurf攻击这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络数据充斥目标系统，引起目标系统拒绝为正常请求进行服务第4章第3节38Smurf攻击这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。394.3服务端口攻击Smurf攻击目标主机黑客主机路由器网络主机n因特网1.黑客向网络广播地址发ICMP包2.路由器不过滤广播包5.目标主机受到大量ICMP包攻击4.网络上各个主机都向目的主机回应ICMP包网络主机1网络主机2……3.网络上各个主机都收到ICMP广播包（图中实线部分表示攻击者发出的ICMP包，虚线部分表示对目的攻击的ICMP包）第4章第3节40Smurf攻击示意图攻击主机被攻击主机网络连接设备中间网络41Smurf攻击攻击通常分为以下五步：黑客锁定一个被攻击的主机（通常是一些Web服务器）；黑客寻找中间代理（路由器），用来对攻击实施放大；黑客给中间代理站点的广播地址发送大量的ICMP包（主要是指Ping命令的ECHO包）。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址；中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包；中间代理子网主机对被攻击的网络进行响应。42Smurf攻击的条件smurf攻击中包括三方：攻击者，中间网络（也属于受害对象）、受害主机。smurf攻击中攻击者发送一个源地址为受害主机的ICMP回显请求给中间网络。smurf攻击的关键是找到允许广播数据包的中间网络。434.3服务端口攻击Smurf攻击应对实际发起攻击的网络过滤掉源地址为其他网络的数据包被攻击者利用的中间网络配置路由器禁止IP广播包被攻击的目标与ISP协商，由ISP暂时阻止这些流量第4章第3节444.3服务端口攻击错误处理PingofDeathTeardropWinnukeLand…第4章第3节45死亡之ping（PingofDeath）Ping程序使用的ICMP协议，而ICMP报文长度是固定的，64K。早期的很多操作系统在接收ICMP数据报文时，只开辟64K的缓冲区用于存放接收到的ICMP报文，并且没有检查接收到ICMP报文的实际长度，如果ICMP报文的实际长度大于64K，则产生一个缓冲区溢出错误，导致TCP/IP协议堆栈崩溃。造成主机的重启动或死机。这就是PingofDeath的原理。46Pingofdeath攻击攻击特征：该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。检测方法：判断数据包的大小是否大于65535个字节。反攻击方法：使用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进行系统审计。47PingofDeath攻击实例Ping－l65540192.168.1.12参数“l”：指定发送ICMP报文的长度。Windows98/2K中，使用下面的命令Ping－l65540192.168.1.12系统返回的信息：Badvalueforoption－l，validrangeisfrom0to6550048Teardrop攻击Teardrop本是一段用于拒绝服务攻击的程序名，该程序利用Windows和低版本