(8)拒绝服务及防范技术

信息安全研究中心拒绝服务攻击及防范技术•DoS概述案例、定义、特点、分类•DoS攻击技术•DoS攻击防范信息安全研究中心案例•政府网站美国白宫的网站曾经遭受拒绝服务攻击•分布式拒绝服务2000年2月发生的一次对某些高利润站点Yahoo、eBay等的拒绝服务攻击，持续了近两天，使这些公司遭受了很大的损失。信息安全研究中心信息安全的基本属性•保密性•完整性•防抵赖•可用性(availability)•可控性DoS是针对可用性发起的攻击信息安全研究中心DoS的定义•DoS,DenialofService•攻击网络协议实现的缺陷或通过各种手段耗尽被攻击对象的资源，以使得被攻击计算机或网络无法提供正常的服务或者资源，合法用户的请求得不到及时的响应信息安全研究中心DoS攻击的特点•资源稀缺性•软件复杂性（6个/KLOC，6-30）•难确认，隐蔽性好（主观角度）•难防范，缺乏模型有些DoS可以通过管理的手段防止；受挫折，无法攻入目标系统，最后一招:DOS信息安全研究中心DoS类型•发送一些非法数据包使系统死机或重起，造成系统或网络瘫痪•向系统发送大量信息，使系统或网络不能响应信息安全研究中心DoS攻击技术分类（1）•利用协议中的漏洞SYN-Flood攻击•利用软件实现的缺陷teardrop攻击、land攻击•发送大量无用突发数据攻击耗尽资源ICMPflood攻击、Connectionflood攻击•欺骗型攻击IPSpoofingDoS攻击信息安全研究中心DoS攻击技术分类（2）•利用TCP/IP协议进行的TCPDoS攻击–SYNflood攻击–Land攻击–Teardrop攻击•利用UDP服务进行的UDPDoS攻击–UDPFloodDoS攻击•利用ICMP协议进行的ICMPDoS攻击–PingofDeath攻击–Smurf攻击信息安全研究中心发展历史•早期的Internet蠕虫病毒•消耗网络资源分片装配，非法的TCP标志，SYNFlood等•利用系统实现上的缺陷，点对点形式PingofDeath,IP分片重叠•分布式DoS(DDoS)攻击smurf攻击信息安全研究中心一些典型的DoS攻击•PingofDeath–发送异常的(长度超过IP包的最大值)•Teardrop–IP包的分片装配•UDPFlood•Land–程序发送一个TCPSYN包，源地址与目的地址相同，源端口与目的端口相同，从而产生DoS攻击•SYNFlood–快速发送多个SYN包•Smurf–给广播地址发送ICMPEcho包，造成网络阻塞•……信息安全研究中心PingofDeath原理：直接利用ping包，即ICMPEcho包，有些系统在收到大量比最大包还要长的数据包，会挂起或者死机•受影响的系统：许多操作系统受影响•攻击做法直接利用ping工具，发送超大的ping数据包•防止措施打补丁：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后的windows,NT(servicepack3之后)，linux、Solaris、和MacOS都具有抵抗一般pingofdeath攻击的能力。防火墙阻止这样的ping包信息安全研究中心TCP/IP允许数据包的最大容量为65536C:\ping162.105.30.200Pinging162.105.30.200with32bytesofdata：Replyfrom162.105.30.200:bytes=32time=10msTTL=255Replyfrom162.105.30.200:bytes=32time10msTTL=255Replyfrom162.105.30.200:bytes=32time10msTTL=255Replyfrom162.105.30.200:bytes=32time10msTTL=255Pingstatisticsfor162.105.30.200:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=10ms,Average=C:\ping-l65570162.105.30.200Badvalueforoption-l,validrangeisfrom0to65500信息安全研究中心IP碎片•IP碎片攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃•常见的IP碎片程序有jolt2、teardrop、newtear、syndrop、boink等。•防御措施：主要是服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。信息安全研究中心Teardrop•原理：利用IP包的分片装配过程中，由于分片重叠，计算过程出现长度为负值，在执行memcpy的时候导致系统崩溃•受影响的系统：Linux/WindowsNT/95，97年发现•攻击特征攻击非常简单，发送一些IP分片异常的数据包•防止措施加入条件判断，对这种异常的包特殊处理打补丁信息安全研究中心UDPflood•原理：各种各样的假冒攻击利用简单的TCP/IP服务，如chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽耗尽的服务攻击。•对策：关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的对这些服务的UDP请求都可以防范UDPflood攻击。信息安全研究中心SYNFlood•原理：利用TCP连接三次握手过程，打开大量的半开TCP连接，使得目标机器不能进一步接受TCP连接。每个机器都需要为这种半开连接分配一定的资源，并且，这种半开连接的数量是有限制的，达到最大数量时，机器就不再接受进来的连接请求。•受影响的系统：大多数操作系统•攻击细节–连接请求是正常的，但是，源IP地址往往是伪造的，并且是一台不可达的机器的IP地址，否则，被伪造地址的机器会重置这些半开连接–一般，半开连接超时之后，会自动被清除，所以，攻击者的系统发出SYN包的速度要比目标机器清除半开连接的速度要快–任何连接到Internet上并提供基于TCP的网络服务，都有可能成为攻击的目标–这样的攻击很难跟踪，因为源地址往往不可信，而且不在线信息安全研究中心SYNFlood•攻击特征目标主机的网络上出现大量的SYN包，而没有相应的应答包SYN包的源地址可能是伪造的，甚至无规律可循•防止措施针对网络•防火墙或者路由器可以在给定时间内只允许有限数量的半开连接•入侵检测，可以发现这样的DoS攻击行为打补丁•Linux和Solaris使用了一种被称为SYNcookie的技术来解决SYNFlood攻击：在半开连接队列之外另设置了一套机制，使得合法连接得以正常继续信息安全研究中心Smurf•原理：向广播地址发送伪造地址的ICMPEcho数据包。攻击者向一个广播地址发送ICMPEcho请求，并且用受害者的IP地址作为源地址，于是，广播地址网络上的每台机器响应这些Echo请求，同时向受害者主机发送ICMPEcho-Reply应答。于是，受害者主机会被这些大量的应答包淹没•受影响的系统：大多数操作系统和路由器•变种：fraggle，使用UDP包，或称为udpsmurf比如，7号端口(echo)，如果目标机器的端口开着，则送回应答，否则，产生ICM端口不可达消息•技术细节两个主要的特点：使用伪造的数据包，使用广播地址。不仅被伪造地址的机器受害，目标网络本身也是受害者，它们要发送大量的应答数据包信息安全研究中心Smurf信息安全研究中心Smurf•攻击特征–涉及到三方：攻击者，中间目标网络，受害者–以较小的网络带宽资源，通过放大作用，吃掉较大带宽的受害者系统–Smurf放大器•Smurf放大器网络：不仅允许ICMPEcho请求发给网络的广播地址，并且允许ICMPEcho-Reply发送回去•这样的公司越多，对Internet的危害就越大•实施Smurf攻击–需要长期的准备，首先找到足够多的中间网络–集中向这些中间网络发出ICMPEcho包信息安全研究中心Smurf攻击的防止措施•针对最终受害者–没有直接的方法可以阻止自己接收ICMPEchoReply消息–在路由器上阻止这样的应答消息，但结果是路由器本身遭受了DoS攻击–与中间目标网络联系•针对中间网络–关闭外来的IP广播消息，但是，如果攻击者从内部机器发起攻击，仍然不能阻止smurf攻击–配置操作系统，对于广播地址的ICMP包不响应•在每个路由节点上都记录log，以备查–流量大的路由节点上能够记录所有的流量吗信息安全研究中心Land•原理：这是一种比较老的攻击，目前大部分操作系统都能避免。在Land攻击中，构造一个特别的SYN包，它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应同许多UNIX实现将崩溃，NT变得极其缓慢（大约持续五分钟）。•对策：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉（包括10域、127域、192.168域、172.16到172.31域）都比较有效的防范Land攻击。信息安全研究中心电子邮件炸弹•原理:电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断大量地向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。•对策:对付这种攻击最简单的方法就是对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。信息安全研究中心DDOS•分布式拒绝服务，DistributedDenialofServiceattack•传统的拒绝服务是一台机器向受害者发起攻击，DDOS不是仅仅一台机器而是多台主机合作，同时向一个目标发起攻击。信息安全研究中心信息安全研究中心DDOS•攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。•主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的客户主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。•代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。信息安全研究中心DDOS的攻击过程(1)攻击者寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。(2)攻击者在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。(3)最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。信息安全研究中心常用工具a．TFN(TribeFloodNetwork)和TFN2Kb．TrinooC.Stacheldraht信息安全研究中心TFN(TribeFloodNetwork)和TFN2K•TFN是由著名黑客Mixter编写的，是第一个公开的UnixDDoS工具。由主控端程序和客户端程序两部分组成，它主要采取的攻击方法为：SYNFlood、Pingofdeath、UDPFlood和SMURF，还允许将一个rootshell和TCP端口绑定。TFN2K是由TFN发展而来的，在TF