3拒绝服务攻击

网络与系统攻击技术第三章拒绝服务攻击本章主要内容拒绝服务攻击DoS概念DoS原理及分类分布式拒绝服务攻击（DDoS）DoS发展趋势2国内僵尸网络起源和发展早在2001年，国内一些安全爱好者就开始研究僵尸程序（只作为研究）。2003年3月8日，在我国首先发现的口令蠕虫(国外称之为“Deloader”或“Deloder”)就可以视为僵尸网络。2004年末爆发的一场浩荡的僵尸网络攻击事件，就将这个埋藏在中国数年之久的隐患释放。3僵尸网络飞速发展2009年5月1日至31日，CNCERT/CC对僵尸网络的活动状况进行了抽样监测，发现国内外1212个IP地址对应的主机被利用作为僵尸网络控制服务器。就全球感染情况来说，目前，英国是感染Bot最多的国家。如表所示，已知感染Bot的计算机中有32%来自英国，19%来自美国，7%来自中国，我国的Bot感染率赫然名列第三。4全球僵尸网络增长情况表网络信息安全5DoS概念DoS的英文全称是DenialofService即“拒绝服务”的意思。DoS攻击是指利用网络协议漏洞或其他系统以及应用软件的漏洞耗尽被攻击目标资源，使得被攻击的计算机或网络无法正常提供服务，直至系统停止响应甚至崩溃的攻击方式。即攻击者通过某种手段，导致目标机器或网络停止向合法用户提供正常的服务或资源访问。6DoS原理及分类DoS原理：7DoS原理攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息。由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。8DoS的基本模式(1)资源耗尽型攻击者恶意使用资源大量消耗资源缺乏资源系统服务终止或性能下降9DoS的基本模式①消耗网络带宽。攻击者有意制造大量的数据报或传输大量文件以占用有限的网络带宽，致使合法用户无法正常使用网络资源。②消耗磁盘空间。攻击者利用磁盘空间的有限性或存储空间大小控制的缺陷，短时间内制造大量的垃圾信息，使系统或用户因没有磁盘空间而停止工作。③消耗CPU和内存资源。操作系统需要提供CPU和内存资源给许多进程共用，攻击者利用系统中存在的缺陷，有意使用大量的CPU和内存资源，导致系统服务性能下降甚至造成系统崩溃。例如：UNIX系统中，编制下面的C程序可以实现消耗CPU资源和内存资源的攻击。main(){fork();main();}10DoS的基本模式(2)配置修改型攻击者修改删除配置文件系统服务停止或系统服务性能降低•改变路由信息；•修改WindowsNT注册表；•修改UNIX系统的各种配置文件，如/etc目录下的各种文件。11DoS的基本模式(3)基于系统缺陷型攻击者利用目标系统和通信协议的漏洞实现拒绝服务攻击。例如一些系统出于安全考虑，限制用户试探口令次数和注册等待时间。当用户口令输入次数超过若干次，或注册等待时间超过某个时间值，系统就会停止该用户的使用权。攻击者利用系统这个安全特点，有意输错口令导致系统锁定该用户帐号，致使该用户得不到应有的服务。(4)物理实体破坏型这种拒绝服务攻击针对物理设备。攻击者通过破坏或改变网络部件实现拒绝服务攻击，其攻击的目标包括:计算机、路由器、网络配线室、网络主干段、电源、冷却设备。12DoS攻击的基本形式(1)服务过载当大量的服务请求发向一台计算机中的服务守护进程时，就会发生服务过载。计算机忙碌地处理不断到来的服务请求，以至于无法处理常规的任务。同时，许多新到来的请求被丢弃。如果攻击的是一个基于TCP协议的服务，那么这些请求的包还会被重发，结果更加重了网络的负担。13DoS攻击的基本形式(2)消息流消息流发生于用户向一台网络上的目标主机发送大量的数据报，来延缓目标主机的处理速度，阻止它处理正常任务的这种情况。这些请求可能是请求文件服务，要求登录或者仅仅是简单的要求响应数据报。(3)信号接地物理方法也可以关闭一个网络。将网络的电缆接地，引入一些其他信号或者将以太网上的端接器拿走，都可以有效地阻止客户发送或者接收消息。“广播风暴”14(4)粘住攻击可以使用TCP的半连接耗尽资源。如果攻击者发出多个连接请求。初步建立了连接，但又没有完成其后的连接步骤，接收者便会保留许多这种半连接，占据有限的资源。通常这些连接请求使用的是伪造的源地址表明连接来自于一台不存在的主机或者一台无法访问的主机。DoS攻击的基本形式15DoS攻击分类DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。SYNFlood死ping(pingofdeath)泪滴(teardrop)Smurf攻击Land攻击分布式拒绝服务攻击……16SYNFlood攻击超时（Timeout）分配资源等待回复连接分配资源等待回复（2）TCPSYNACK（1）TCPSYN正常的TCP请求TCPSYN攻击客户客户服务器服务器（3）TCPACK（1）TCPSYN（2）TCPSYNACK等待等待17SYNFlood攻击对WindowsNT攻击很有效利用IP欺骗技术。例：WindowsNT3.5和4.0中缺省设置为可重复发送SYN－ACK答复5次。要等待3+6+12+24+48+96=189秒之后，才释放资源。18SYNFlood攻击SYNFlood远程拒绝服务攻击具有以下特点:针对TCP/IP协议的薄弱环节进行攻击；发动攻击时，只要很少的数据流量就可以产生显著的效果；攻击来源无法定位；在服务端无法区分TCP连接请求是否合法。防御措施:在防火墙上过滤来自同一主机的后续连接。SYN洪水威胁很大，由于释放洪流的主机并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。19死ping(pingofdeath)在早期版本中许多操作系统对网络数据包的最大尺寸有限制，对TCP/IP栈的实现在ICMP包上规定为64KB。在读取包的报头后，要根据该报头里包含的信息来为有效载荷生成缓冲区。当发送ping请求的数据包声称自己的尺寸超过ICMP上限，也就是加载的尺寸超过64K上限时，就会使ping请求接收方出现内存分配错误，导致TCP/IP堆栈崩溃致使接受方当机。20死ping(pingofdeath)防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括从windows98之后的windows,NT(servicepack3之后)linux,Solaris和MacOS都具有抵抗一般pingofdeath攻击的能力。此外对防火墙进行配置，阻断ICMP以及任何未知协议都将防止此类攻击。21泪滴(teardrop)泪滴攻击利用那些在TCP/IP堆栈实现中，信任IP碎片中的包的标题头所包含的信息来实现攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP包括servicepack4以前的NT在收到含有重叠偏移的伪造分段时将崩溃。例如一个40个字节的数据报被分为两片，第一片数据发送0~36个字节，而第二片发送24~27字节，在某些情况下会破坏整个IP协议栈，必须重新启动计算机才能恢复。22补充：IP数据包格式23泪滴(teardrop)防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。24特别打造一个SYN包，其源地址和目标地址都被设置成某一个服务器地址；导致接收服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接；每一个这样的连接都将保留直到超时；许多UNIX将崩溃，NT变的极其缓慢（大约持续五分钟）。Land攻击25通过采用ICMP技术进行攻击。（a）攻击者找出网络上有哪些路由器会回应ICMP请求。（b）用一个虚假的IP源地址向路由器的广播地址发出讯息，路由器会把这些讯息广播到网络上所连接的每一台设备。（c）这些设备马上回应，同时产生大量讯息流量，从而占用所有设备的资源及网络带宽，而回应的地址就是受攻击的目标。Smurf攻击26Smurf攻击示意图27Fraggle攻击与Smurf攻击类似，但它使用的不是ICMP，而是UDPEcho。防范：在防火墙上过滤UDP应答消息Fraggle攻击28基本原理是利用工具软件，集中在一段时间内，向目标机发送大量垃圾信息，或是发送超出系统接收范围的信息，使对方出现负载过重、网络堵塞等状况，从而造成目标的系统崩溃及拒绝服务。常见的炸弹攻击有邮件炸弹、聊天室炸弹等。防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。炸弹攻击29分布式拒绝服务攻击（DDoS）拒绝服务攻击的发展趋势：DDoS（分布式拒绝服务），它的英文全称为DistributedDenialofService，它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，如商业公司，搜索引擎和政府部门的站点。我们可以看出DoS攻击只要一台单机和一个modem就可实现，与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。30DDoSDDoS攻击分为3层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。31DDoS主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。32DDoS攻击体系结构图33DDoS攻击最重要的第2和第3部分：它们分别用做控制和实际发起攻击。第4部分的受害者：DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。34攻击的流向是这样的'攻击者--master---分布端---目标主机。从分布端向受害者目标主机发送的DDoS都是UDP报文，每一个包含4个空字符，这些报文都从一个端口发出，但随机袭击目标主机上的不同端口。目标主机对每一个报文回复一个ICMPPortUnreachable的信息，大量不同主机发来的这些洪水般的报文源源不断目标主机将很快慢下来，直至剩余带宽变为0。用工具软件实现DDoS攻击35应付DDoS攻击的策略（1）IDS的检测方法是：分析一系列的UDP报文，寻找那些针对不同目标端口，但来自于相同源端口的UDP报文。或者取10个左右的UDP报文分析那些来自于相同的源IP、相同的目标IP、相同的源端口，但不同的目标端口的报文。这样可以逐一识别攻击的来源。（2）寻找那些相同的源地址和相同的目标地址的ICMPPortUnreachable的信息。（3）由于DDoS攻击的主要目的是消耗主机的带宽，所以很难抵挡。36僵尸网络(Botnet)基本概念Bot:机器人(Robot)的缩写，是一段可以自动执行预先设定功能，可以被控制，具有一定人工智能的程序。通常带有恶意代码的Bot被秘密植入受控计算机，主动连接服务器接受控制指令，并依照指令完成相应功能。Zombie:被包含恶意代码的Bot感染或能被远程控制的计算机，又名僵尸计算机。37僵尸网络(Botnet)IRCBot:利用IRC（InternetRelayChat）协议进行通信和控制的Bot。Command&ControlServer:IRCBot连接的IRC服务器称为命令和控制服务