第09章拒绝服务攻击

第9章拒绝服务攻击何路helu@nwu.edu.cn本章主要内容拒绝服务攻击DOS概念DOS原理及分类分布式拒绝服务攻击（DDOS）DOS发展趋势计算机网络安全何路国内僵尸网络起源和发展早在2001年，国内一些安全爱好者就开始研究僵尸程序（只作为研究）。2003年3月8日，在我国首先发现的口令蠕虫(国外称之为“Deloader”或“Deloder”)就可以视为僵尸网络。2004年末爆发的一场浩荡的僵尸网络攻击事件，就将这个埋藏在中国数年之久的隐患释放。计算机网络安全何路僵尸网络飞速发展2009年5月1日至31日，CNCERT/CC对僵尸网络的活动状况进行了抽样监测，发现国内外1212个IP地址对应的主机被利用作为僵尸网络控制服务器。就全球感染情况来说，目前，英国是感染Bot最多的国家。如表所示，已知感染Bot的计算机中有32%来自英国，19%来自美国，7%来自中国，我国的Bot感染率赫然名列第三。计算机网络安全何路概念DoS的英文全称是DenialofService即“拒绝服务”的意思。DoS攻击是指利用网络协议漏洞或其他系统以及应用软件的漏洞耗尽被攻击目标资源，使得被攻击的计算机或网络无法正常提供服务，直至系统停止响应甚至崩溃的攻击方式，即攻击者通过某种手段，导致目标机器或网络停止向合法用户提供正常的服务或资源访问。计算机网络安全何路原理及分类DOS原理：计算机网络安全何路原理攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息。由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。计算机网络安全何路分类DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。SYNFlood死ping(pingofdeath)泪滴(teardrop)……计算机网络安全何路超时（Timeout）分配资源等待回复连接分配资源等待回复（2）TCPSYNACK（1）TCPSYN正常的TCP请求TCPSYN攻击客户客户服务器服务器（3）TCPACK（1）TCPSYN（2）TCPSYNACK等待等待计算机网络安全何路防御措施:在防火墙上过滤来自同一主机的后续连接。SYN洪水威胁很大，由于释放洪流的主机并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。计算机网络安全何路(pingofdeath)在早期版本中许多操作系统对网络数据包的最大尺寸有限制，对TCP/IP栈的实现在ICMP包上规定为64KB。在读取包的报头后，要根据该报头里包含的信息来为有效载荷生成缓冲区。当发送ping请求的数据包声称自己的尺寸超过ICMP上限，也就是加载的尺寸超过64K上限时，就会使ping请求接收方出现内存分配错误，导致TCP/IP堆栈崩溃致使接受方当机。计算机网络安全何路(pingofdeath)防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括从windows98之后的windows,NT(servicepack3之后)linuxSolaris和MacOS都具有抵抗一般pingofdeath攻击的能力。此外对防火墙进行配置，阻断ICMP以及任何未知协议都将防止此类攻击。计算机网络安全何路泪滴(teardrop)泪滴攻击利用那些在TCP/IP堆栈实现中，信任IP碎片中的包的标题头所包含的信息来实现攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP包括servicepack4以前的NT在收到含有重叠偏移的伪造分段时将崩溃。计算机网络安全何路泪滴(teardrop)防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。计算机网络安全何路分布式拒绝服务攻击（DDOS）拒绝服务攻击的发展趋势：DDOS（分布式拒绝服务攻击）计算机网络安全何路DDoS攻击分为3层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。计算机网络安全何路主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。计算机网络安全何路攻击最重要的第2和第3部分：它们分别用做控制和实际发起攻击。第4部分的受害者：DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。计算机网络安全何路僵尸网络(Botnet)基本概念Bot:机器人(Robot)的缩写，是一段可以自动执行预先设定功能，可以被控制，具有一定人工智能的程序。通常带有恶意代码的Bot被秘密植入受控计算机，主动连接服务器接受控制指令，并依照指令完成相应功能。Zombie:被包含恶意代码的Bot感染或能被远程控制的计算机，又名僵尸计算机。计算机网络安全何路僵尸网络(Botnet)IRCBot:利用IRC协议进行通信和控制的Bot。Command&ControlServer:IRCBot连接的IRC服务器称为命令和控制服务器，控制者通过该服务器发送命令，进行控制。Botnet:僵尸网络，由大量能够实现恶意功能的Bot、Command&ControlServer和控制者组成，能够受攻击者控制的网络。计算机网络安全何路原理IRC（InternetRelayChat）协议IRC是一种专门的网络聊天室协议。IRC协议采用客服端/服务器模式。多服务器之间可建立信息共享。用户可以建立、选择和感兴趣的频道。频道可以隐藏。支持文件传递。计算机网络安全何路原理IRCBot的功能：Bot可以根据接收到的控制命令执行预定义的功能，这些功能包括：1)发动DOS攻击2)浏览系统信息3)终止信息4)攻击IRC频道或邮箱5)上传和下载程序6)代理或SMTP服务器7)升级Bot8)卸载Bot计算机网络安全何路原理IRCBot的实现：其特点是模拟IRC客户端，使用IRC协议与IRC服务器通信。计算机网络安全何路原理Bot的传播方式：计算机网络安全何路如何发现僵尸网络？IDS方法必须充分了解僵尸程序，提取指纹信息作为IDS检测的特征行为监测法僵尸程序行为模式：快速连接控制信道、长时间在线发呆、…蜜罐捕获法通过部署蜜罐对僵尸程序进行捕获－样本通过对网络行为进行监视和分析－僵尸网络控制信道信息计算机网络安全何路发展趋势放追踪技术升级攻击过程日趋智能化攻击手段日趋多样化计算机网络安全何路小结本章详细介绍了拒绝服务攻击的概念、成因和原理。其已经称为对互联网安全最重要的威胁。检测和防御Ddos攻击应该是网络群体性行为，各网络节点应该通过合作共同应对Ddos攻击。