网络安全第四讲

第四章拒绝服务攻击4第四章拒绝服务攻击4.1拒绝服务攻击分类4.2服务端口攻击4.3拒绝服务攻击概述4电子邮件轰炸4.4分布式拒绝服务攻击4.5拒绝服务攻击概述•DoS定义–拒绝服务攻击DoS（DenialofService）是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式。•DoS攻击思想–服务器的缓冲区满，不接收新的请求。–使用IP欺骗，迫使服务器将合法用户的连接复位，影响合法用户的连接。4.1拒绝服务攻击分类•攻击模式–消耗资源•网络带宽、存储空间、CPU时间等–破坏或改变配置信息–物理破坏或者改变网络部件–利用服务程序中的处理错误使服务失效•发起方式–传统的拒绝服务攻击–分布式拒绝服务攻击（DistributedDenialofService）4.2拒绝服务攻击分类•攻击模式：消耗资源–针对网络连接的拒绝服务攻击•ping、flooding、SYNflooding•ping、finger广播包•广播风暴（SMURF攻击）–消耗磁盘空间•Email•ERROR-LOG•FTP站点的incoming目录•制造垃圾文件4.2拒绝服务攻击分类•攻击模式：消耗资源–消耗CPU资源和内存资源main(){fork()；main()；｝4.2拒绝服务攻击分类•攻击模式：破坏或更改配置信息–修改服务用户群（apache服务器，access.conf配置文件）–删除口令文件（tmp目录安全问题，Linux）4.2拒绝服务攻击分类•攻击模式：物理破坏或改变网络部件–计算机、路由器、网络配线室、网络主干段、电源、冷却设备、其它的网络关键设备•攻击模式：利用服务程序中的处理错误使服务失效•LAND攻击4.2服务端口攻击•SYNFlooding（同步包风暴拒绝服务攻击）•Smurf攻击•利用处理程序错误的拒绝服务攻击4.3服务端口攻击•SYNFloodingACK=y+1SYN,SEQ=y,ACK=x+1SYN,SEQ=x发送端S接收端DTCP连接的三次握手为连接分配资源4.3服务端口攻击•SYNFloodingSYN,SEQ=y,ACK=x+1SYN,SEQ=x发送端S接收端DSYNFlooding为连接分配资源4.3服务端口攻击•SYNFlooding–具有以下特点•针对TCP/IP协议的薄弱环节进行攻击•发动攻击时，只要很少的数据流量就可以产生显著的效果•攻击来源无法定位（IP欺骗）•在服务端无法区分TCP连接请求是否合法4.3服务端口攻击•SYNFlooding–防御•从防御角度来说，有几种简单的解决方法，第一种是缩短SYNTimeout时间，由于SYNFlood攻击的效果取决于服务器上保持的SYN半连接数。•这个值=SYN攻击的频度*SYNTimeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃该连接的时间，例如设置为20秒以下（过低的SYNTimeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。4.3•第二种方法是设置SYNCookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。•Linux内核中提供了SYNCookie的检验机制，用来防御SYNFlood攻击。因此，延伸出来的在SYNCookieFirewall，用来验证SYN连接，并对通过验证报文进行转发。•使用syncookie检验机制的Firewall，实际上相当于一个synproxy。它会代替server对client三次握手，对syn报文进行cookie验证。服务端口攻击4.3•上述的两种方法只能对付比较原始的SYNFlood攻击，缩短SYNTimeout时间仅在对方攻击频度不高的情况下生效，SYNCookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，同时利用SOCK_RAW随机改写IP报文中的源地址，以上的方法将毫无用武之地。服务端口攻击•SYNFlooding–同步包风暴攻击的本质是利用TCP/IP协议集的设计弱点和缺陷–只有对现有的TCP/IP协议集进行重大改变才能修正这些缺陷4.3服务端口攻击•Smurf攻击–这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络数据充斥目标系统，引起目标系统拒绝为正常请求进行服务。4.3服务端口攻击•Smurf攻击目标主机黑客主机路由器网络主机n因特网1.黑客向网络广播地址发ICMP包（源地址是目标主机）2.路由器不过滤广播包5.目标主机受到大量ICMP包攻击4.网络上各个主机都向目的主机回应ICMP包网络主机1网络主机2……3.网络上各个主机都收到ICMP广播包（图中实线部分表示攻击者发出的ICMP包，虚线部分表示对目的攻击的ICMP包）4.3服务端口攻击•Smurf攻击–应对•实际发起攻击的网络–过滤掉源地址为其他网络的数据包•被攻击者利用的中间网络–配置路由器禁止IP广播包•被攻击的目标–与ISP协商，由ISP暂时阻止这些流量4.3服务端口攻击•错误处理–PingofDeath–Teardrop–Winnuke–Land–…4.3服务端口攻击•错误处理–PingofDeath•操作系统无法处理65536字节的ICMP包（Windows95）•现在的操作系统都能处理这个错误。C:\ping-l65507-n1192.168.1.107Badvalueforoption-l,validrangeisfrom0to65500.4.3服务端口攻击•错误处理–Teardrop攻击（IP分片）举个例子来说明这个漏洞：第一个分片：mf=1offset=0payload=20第二个分片：mf=0offset=10payload=9分片重组：memcpy拷贝第二个分片时的代码段:memcpy((ptr+fp-offset),fp-ptr,fp-len)其中拷贝长度为：fp-len=19-20=-1；那么将拷贝过多的数据导致崩溃。分片标志偏移值负载长度目的源长度4.3服务端口攻击•错误处理–Winnuke攻击•Windows:NetBIOS（TCP139端口）•OOB（带外数据）•蓝屏（操作系统核心故障）charc=‘X’;send(sock,&c,1,MSG_OOB);漏洞参考资料：CVE-1999-0153.=CVE-1999-01534.3服务端口攻击•错误处理–Land攻击•攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能•对Land攻击反应不同，许多UNIX系统将崩溃，而Windows会变的极其缓慢（大约持续五分钟）•127.0.0.1参考资料：TheLANDattack(IPDOS).1997.电子邮件轰炸•在很短时间内收到大量无用的电子邮件•SMTP端口(TCP25)4.4电子邮件轰炸•邮件列表炸弹–这种攻击有两个特点•真正的匿名，发送邮件的是邮件列表•难以避免这种攻击，除非被攻击者更换电子邮件地址，或者向邮件列表申请退出•病毒发送电子邮件炸弹4.4电子邮件轰炸•应对–配置路由器和防火墙，识别邮件炸弹的源头，不使其通过–提高系统记账能力，对事件进行追踪–禁止邮件匿名发送4.4分布式拒绝服务攻击DDoS•分布式拒绝服务DDoS（DistributedDenialofService）攻击是对传统DoS攻击的发展•攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。4.5分布式拒绝服务攻击DDoS•DDoS的三级控制结构4.5分布式拒绝服务攻击DDoS•传统的拒绝服务攻击的缺点–受网络资源的限制–隐蔽性差DDoS克服了这两个致命弱点突破了传统攻击方式从本地攻击的局限性和不安全性其隐蔽性和分布性很难被识别和防御4.5分布式拒绝服务攻击DDoS•被DDoS攻击时可能的现象–被攻击主机上有大量等待的TCP连接–端口随意–大量源地址为假的无用的数据包–高流量的无用数据造成网络拥塞–利用缺陷，反复发出服务请求，使受害主机无法及时处理正常请求–严重时会造成死机4.5分布式拒绝服务攻击DDoS举例•DDoS工具–Trinoo•UDP–TFN（TribeFloodingNetwork）–Stacheldraht–TFN2K（TribeFloodingNetwork2000）•多点攻击、加密传输、完整性检查、随机选择底层协议和攻击手段、IP地址欺骗、哑代理、隐藏身份等特点–Trinityv34.5分布式拒绝服务攻击DDoS•技术挑战–需要Internet范围的分布式响应–缺少攻击的详细信息–缺少防御系统的性能–大范围测试的困难性•社会挑战–DDoS的分布性–所有受保护的目标都需要防护4.5分布式拒绝服务攻击DDoS•防御基本方式–给单个主机打上补丁–优化网络结构–过滤危险数据包•防御方法–保护–检测–响应4.5分布式拒绝服务攻击DDoS•防御方式一：保护–数据源证实–数据证实–资源分配–目标隐藏•防御方式二：检测–异常检测–误用检测–特征检测4.5分布式拒绝服务攻击DDoS•防御方式三：响应–流量策略•过滤•流量限制–攻击追踪–服务区分4.5本章小结•基本原理、方法•分类•服务端口攻击•电子邮件轰炸•分布式拒绝服务攻击DDoS•课后讨论–外部用户针对网络连接发动拒绝服务攻击有哪几种模式？请举例说明。–对付分布式拒绝服务攻击的方法有哪些？举例说明。