DoS和DDoS攻击

网络安全技术应用第6章DOS和DDOS攻击jsj.scetc.net四川工程职业技术学院计算机科学系本章目标了解DoS和DDoS原理掌握DoS和DDoS工具的使用方法掌握DoS和DDoS的防御方法jsj.scetc.net四川工程职业技术学院计算机科学系什么是DoS攻击?DenialofService(DoS)拒绝服务攻击,攻击者利用大量的数据包“淹没”目标主机，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。(电子邮件)DistributedDenialofService(DDoS)分布式拒绝服务攻击,攻击者利用因特网上成百上千的“Zombie”(僵尸)：被利用主机，对攻击目标发动威力巨大的拒绝服务攻击。攻击者的身份很难确认。jsj.scetc.net四川工程职业技术学院计算机科学系“三次握手”：(SYNrequest;SYN/ACK;ACK)用户传送信息要求服务器予以确认,服务器接收到客户请求后回复用户，用户被确认后，建立连接，登录服务器。正常用户登录jsj.scetc.net四川工程职业技术学院计算机科学系“拒绝服务”的攻击方式为：用户传送众多要求确认的信息到服务器，使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址，以至于当服务器试图回传时，却无法找到用户。服务器于是暂时等候，有时超过一分钟，然后再切断连接。服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致服务器处于瘫痪状态“拒绝服务”（DoS）的攻击方式jsj.scetc.net四川工程职业技术学院计算机科学系DDoS攻击的动机发动攻击的动机:引起业界注意恶意行为(不同见解；破坏墙壁)好奇心(测试下载软件)长远看,DDoS类攻击使用因素:商业竞争不满的雇员/客户金钱利欲(i.e.控制股市)政治动机jsj.scetc.net四川工程职业技术学院计算机科学系DDOS（1）PingofDeath–发送长度超过65535字节的ICMPEchoRequest数据包–导致目标机TCP/IP协议栈崩溃，系统死机或重启–现有的操作系统基本上都能正确处理这种异常数据包，不会出现问题（2）Teardrop–发送特别构造的IP数据包–导致目标机TCP/IP协议栈崩溃，系统死锁–现有的操作系统基本上都能正确处理这种异常数据包，不会出现问题jsj.scetc.net四川工程职业技术学院计算机科学系（3）Synflooding–发送大量的SYN包–系统中处于SYN_RECV状态的socket目标主机被TCP连接请求淹没。请求连接的IP源地址和TCP端口随机任意，迫使目标主机保持等候，耗用资源。通常目标主机（HTTP和SMTP主机）服务进程缓慢，甚至宕机。路由器“OutofMemory”。属于第二级攻击。（4）Land–发送一个TCPSYN包，包的SRC/DSTIP相同，SPORT/DPORT相同–导致目标机TCP/IP协议栈崩溃，系统死机或失去响应–现有的操作系统基本上都能正确处理这种异常数据包，不会出现问题jsj.scetc.net四川工程职业技术学院计算机科学系（5）SmurfSmurf攻击Smurf是一种较早的DDoS攻击。它的原理如下：攻击者冒用攻击目标主机的IP地址向一个网络的广播地址发送伪造ICMP包，例如从目标主机(1.2.3.4)到另一个网络的广播地址(6.7.8.255),被利用网络的每一个主机(假如有100台机器)都向目标主机响应.这样一来就放大了攻击者的带宽，给目标主机带来威胁。Smurf主要是没有正确配置路由器和防火墙。没有必要在远程通信使用广播ICMP包。广播ICMPpings只在LAN中用来确认哪个IP地址被使用等等。在路由器或防火墙，应该屏蔽广播通信。如果想确认网络是否易遭到SMURF攻击，请访问下列网站，输入你的网络地址，你将很快收到结果。://四川工程职业技术学院计算机科学系（6）Winnuke发送特别构造的TCP包，使得Windows机器蓝屏（7）分布式拒绝服务攻击使得分散在因特网各处的机器共同完成对一台主机攻击的操作，从而使主机看起来好像是遭到了不同位置的许多主机的攻击。jsj.scetc.net四川工程职业技术学院计算机科学系分布式拒绝服务攻击工具--TrinooTrinoo守护程序的二进制代码包最初是在一些Solaris2.x主机中发现的，这些主机是被攻击者利用RPC服务安全漏洞“statd”、“cmsd”和ttdbserverd入侵的。分布式拒绝服务攻击工具--TribeFloodNetwork德国著名黑客Mixter(年仅20岁)编写的分布式拒绝服务攻击工具——“TribeFloodNetwork（TFN）”TFN与另一个分布式拒绝服务攻击工具Trinoo相似，都在互联网的大量Unix系统中开发和测试。分布式拒绝服务攻击工具--Stacheldraht“Stacheldraht”,德语意为“barbedwire“(带刺的铁丝网),结合了分布式拒绝服务攻击工具”Trinoo”与“TFN”早期版本的功能，并增加了加密攻击者、stacheldraht操纵器和可自动升级的代理程序间网络通讯的功能。分布式拒绝服务攻击工具--TFN2KTFN2K是由德国著名黑客Mixter编写的同类攻击工具TFN的后续版本。DDoS的种类jsj.scetc.net四川工程职业技术学院计算机科学系DDoS组成部分所有DDoS攻击均由三部分组成:1客户端程序：ClientProgram（黑客）2主控端：MasterServer通常安装在ISP或大学网络-带宽保证-网络性能3“僵尸”：Agent(Zombie)Program4在TFN中，Master与Zombie间的通讯只是ICMP_ECHOREPLY数据包，没有TCP/UDP通信jsj.scetc.net四川工程职业技术学院计算机科学系MasterMasterMasterBroadcastBroadcastBroadcastBroadcastBroadcastBroadcastTargetHackerMasterMasterZombieZombieZombieZombieZombieZombie27665/TCP27444/UDP31335/UDPTrin00/TFN具体攻击过程jsj.scetc.net四川工程职业技术学院计算机科学系DDoS攻击过程扫描程序非安全主机黑客黑客利用工具扫描Internet，发现存在漏洞的主机1Internet(Wu-ftpd;RPCservice)jsj.scetc.net四川工程职业技术学院计算机科学系黑客Zombies黑客在非安全主机上安装类似“后门”的代理程序2DDoSAttackIllustratedInternetjsj.scetc.net四川工程职业技术学院计算机科学系黑客黑客选择主控主机，用来向“僵尸”发送命令3Zombies主控主机InternetDDoSAttackIllustratedjsj.scetc.net四川工程职业技术学院计算机科学系Hacker通过客户端程序，黑客发送命令给主控端，并通过主控主机启动“僵尸”程序对目标系统发动攻击4ZombiesTargetedSystemMasterServerInternetDDoSAttackIllustratedjsj.scetc.net四川工程职业技术学院计算机科学系目标系统SystemHacker主控端向“僵尸”发送攻击信号，对目标发动攻击5MasterServerInternetZombiesDDoSAttackIllustratedjsj.scetc.net四川工程职业技术学院计算机科学系目标黑客目标主机被“淹没”，无法提供正常服务，甚至系统崩溃6主控主机合法用户服务请求被拒绝Internet僵尸DDoSAttackIllustratedjsj.scetc.net四川工程职业技术学院计算机科学系DDoS攻击的系统DDoS可以针对所有系统进行攻击“僵尸”程序LinuxSolaris2.xWindowsNT针对Win32系统的DDoSTroj_Trinoojsj.scetc.net四川工程职业技术学院计算机科学系6.3常见的DoS和DDoS工具6.3.1DoS工具TfGen的使用6.3.2DoS工具WANKiller的使用jsj.scetc.net四川工程职业技术学院计算机科学系6.3.1DoS工具TfGen的使用TfGen是一个免费的流量生成的软件。它可以向目标主机的特定端口发送TCP和UDP的数据包，以模拟网络流量。jsj.scetc.net四川工程职业技术学院计算机科学系6.3.2DoS工具WANKiller的使用WANKiller也是一款简单小巧的流量生成的软件，是网络管理软件Solarwinds中的一个组件。jsj.scetc.net四川工程职业技术学院计算机科学系6.4DoS与DDoS的防范为了抵御拒绝服务的攻击，可以使用下列两种方法：使用最新的安全修复程序更新计算机；加固WindowsServer2003计算机上的TCP/IP协议堆栈。默认的TCP/IP堆栈配置能够处理正常的Intranet通信量。如果将计算机直接连接到Internet，Microsoft建议加固TCP/IP堆栈以抵御拒绝服务攻击。jsj.scetc.net四川工程职业技术学院计算机科学系DoS/DDoS攻击是否对机密数据产生威胁？DoS/DDoS攻击通常不会对敏感数据产生直接威胁。攻击者主要目的是让被攻击系统停止正常服务，而不是窃取资料。但是，DoS/DDoS经常被利用来掩盖真正的入侵攻击。另外，网络管理人员在对付拒绝服务攻击时，往往修改系统或网络设备的一些设置，从而留下其他可能被黑客利用的漏洞，例如停止或重新启动某种服务，就可能产生问题。修改网络配置时，一定要清楚可能造成的后果。jsj.scetc.net四川工程职业技术学院计算机科学系能否抓到黑客，如何处罚DoS/DDoS攻击者?多数攻击者没有深厚的技术能力，但是下载的工具却可以非常优秀，通常能够巧妙的隐藏攻击者的身份。只有通过大量的日志审计或其他记录信息分析，或者在IRC中收集到一些自吹自擂，发泄的信息，有可能发现攻击者的踪迹。加强立法加强管理jsj.scetc.net四川工程职业技术学院计算机科学系减少危险总则严格的网络安全政策，限定进出信息联系网络设备商，操作系统商，安装最新补丁联系ISP，实施防护监测系统登录数据，网络信息流路由器，防火墙添加过滤规则定期进行漏洞扫描，确保系统没有“僵尸”程序尽早实施实时监控系统实时入侵探测和响应工具收集法律资料起诉黑客jsj.scetc.net四川工程职业技术学院计算机科学系1使用ipverifyunicastreverse-path命令对所有数据包，在CEF(CiscoExpressForwarding)表中没有源IP地址路由，Dropit!.用于防止SMURF和其他基于IP地址伪装的攻击。2使用访问控制列表（ACL）过滤RFC1918列出的地址。interfacexyipaccess-group101inaccess-list101denyip10.0.0.00.255.255.255anyaccess-list101denyip192.168.0.00.0.255.255anyaccess-list101denyip172.16.0.00.15.255.255anyaccess-list101permitipanyany3参照RFC2267，使用ACL过滤进，出报文。(ingress/egressfiltering)ISP边界路由只接受源地址属于客户网络的通信；客户网络只接受源地址未被过滤的通信。4使用CAR（controlaccessrate