第09章拒绝服务攻击

1、第第9章章 拒绝服务攻击拒绝服务攻击何路何路 计算机网络安全计算机网络安全何路何路 本章主要内容本章主要内容l拒绝服务攻击拒绝服务攻击DOS概念概念lDOS原理及分类原理及分类l分布式拒绝服务攻击（分布式拒绝服务攻击（DDOS）lDOS发展趋势发展趋势计算机网络安全计算机网络安全何路何路 国内僵尸网络起源和发展国内僵尸网络起源和发展l早在早在2001年，国内一些安全爱好者就开年，国内一些安全爱好者就开始研究僵尸程序（始研究僵尸程序（只作为研究只作为研究） 。l2003

2、年年3月月8日，在我国首先发现的口令日，在我国首先发现的口令蠕虫蠕虫(国外称之为国外称之为“Deloader”或或“Deloder”)就可以视为僵尸网络就可以视为僵尸网络 。l2004年末爆发的一场浩荡的僵尸网络攻年末爆发的一场浩荡的僵尸网络攻击事件，就将这个埋藏在中国数年之久的击事件，就将这个埋藏在中国数年之久的隐患释放隐患释放 。计算机网络安全计算机网络安全何路何路 僵尸网络飞速发展僵尸网络飞速发展l2009年年5月月1日至日至31日，日，CNCERT/CC对对僵尸网络的活动状况进行了抽样监测，发僵尸网络的活动状况进行了抽样监测，发现国内外现国内外

3、1212个个IP地址对应的主机被利地址对应的主机被利用作为僵尸网络控制服务器用作为僵尸网络控制服务器 。l就全球感染情况来说，目前，英国是感染就全球感染情况来说，目前，英国是感染Bot最多的国家。如表所示，已知感染最多的国家。如表所示，已知感染Bot 的计算机中有的计算机中有32%来自英国，来自英国，19%来来自美国，自美国，7%来自中国，我国的来自中国，我国的Bot感染率感染率赫然名列第三。赫然名列第三。 计算机网络安全计算机网络安全何路何路 网络信息安全网络信息安全全球僵尸网络增长情况表全球僵尸网络增长情况表计算机网络安全计算机网络安全何路何路ht

4、tp:/ DoS概念概念lDoS的英文全称是的英文全称是Denial of Service即即 “拒绝服务拒绝服务”的意思。的意思。 lDoS攻击是指利用网络协议漏洞或其他系攻击是指利用网络协议漏洞或其他系统以及应用软件的漏洞耗尽被攻击目标资统以及应用软件的漏洞耗尽被攻击目标资源，使得被攻击的计算机或网络无法正常源，使得被攻击的计算机或网络无法正常提供服务，直至系统停止响应甚至崩溃的提供服务，直至系统停止响应甚至崩溃的攻击方式，即攻击者通过某种手段，导致攻击方式，即攻击者通过某种手段，导致目标机器或网络停止向合法用户提供正常目标机器或网络停止向合法用户提供正常的服

5、务或资源访问。的服务或资源访问。 计算机网络安全计算机网络安全何路何路 DOS原理及分类原理及分类lDOS原理：原理：计算机网络安全计算机网络安全何路何路 DOS原理原理l攻击者向服务器发送众多的带有虚假地址的请攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息。求，服务器发送回复信息后等待回传信息。l由于地址是伪造的，所以服务器一直等不到回由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有传的消息，分配给这次请求的资源就始终没有被释放。被释放。l当服务器

6、等待一定的时间后，连接会因超时而当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。源最终会被耗尽。 计算机网络安全计算机网络安全何路何路 DoS分类分类lDoS的攻击方式有很多种，最基本的的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服的服务资源，从而使合法用户无法得到服务。务。 lSYN Flo

7、odl死死ping(ping of death)l泪滴泪滴(teardrop)l计算机网络安全计算机网络安全何路何路 SYN Flood计算机网络安全计算机网络安全何路何路 SYN Floodl防御措施防御措施:l在防火墙上过滤来自同一主机的后续连接。在防火墙上过滤来自同一主机的后续连接。SYN洪水威胁很大，由于释放洪流的主机洪水威胁很大，由于释放洪流的主机并不寻求响应，所以无法从一个简单高容并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。量的传输中鉴别出来。计算机网络安全计算机网络安全何路何路http

8、:/ 死死ping(ping of death)l在早期版本中许多操作系统对网络数据包的最在早期版本中许多操作系统对网络数据包的最大尺寸有限制，对大尺寸有限制，对TCP/IP栈的实现在栈的实现在ICMP包上包上规定为规定为64KB。在读取包的报头后，要根据该报。在读取包的报头后，要根据该报头里包含的信息来为有效载荷生成缓冲区。头里包含的信息来为有效载荷生成缓冲区。l当发送当发送ping请求的数据包声称自己的尺寸超过请求的数据包声称自己的尺寸超过ICMP上限，也就是加载的尺寸超过上限，也就是加载的尺寸超过64K上限时，上限时，就会使就会使ping请求接收方出现内存分

9、配错误，导请求接收方出现内存分配错误，导致致TCP/IP堆栈崩溃致使接受方当机。堆栈崩溃致使接受方当机。计算机网络安全计算机网络安全何路何路 死死ping(ping of death)l防御：防御：l现在所有的标准现在所有的标准TCP/IP实现都已实现对实现都已实现对付超大尺寸的包，并且大多数防火墙能够付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括从自动过滤这些攻击，包括从windows98之后的之后的windows,NT(service pack 3之后之后) linux Solaris 和和Mac OS都具有抵抗一般都具有抵抗一般pin

10、g of death攻击的能力。此外对防火攻击的能力。此外对防火墙进行配置，阻断墙进行配置，阻断ICMP以及任何未知协以及任何未知协议都将防止此类攻击。议都将防止此类攻击。计算机网络安全计算机网络安全何路何路 泪滴泪滴(teardrop)l泪滴攻击利用那些在泪滴攻击利用那些在TCP/IP堆栈实现中，堆栈实现中，信任信任IP碎片中的包的标题头所包含的信息碎片中的包的标题头所包含的信息来实现攻击。来实现攻击。IP分段含有指示该分段所包分段含有指示该分段所包含的是原包的哪一段的信息，某些含的是原包的哪一段的信息，某些TCP/IP 包括包括service pa

11、ck 4以前的以前的NT 在在收到含有重叠偏移的伪造分段时将崩溃。收到含有重叠偏移的伪造分段时将崩溃。计算机网络安全计算机网络安全何路何路 泪滴泪滴(teardrop)l防御：防御：l服务器应用最新的服务包，或者在设置防服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。火墙时对分段进行重组，而不是转发它们。计算机网络安全计算机网络安全何路何路 分布式拒绝服务攻击（分布式拒绝服务攻击（DDOS）l拒绝服务攻击的发展趋势：拒绝服务攻击的发展趋势：DDOS（分布式拒绝服务攻击）（分布式拒绝服务

12、攻击）计算机网络安全计算机网络安全何路何路 DDOSlDDoS攻击分为攻击分为3层：攻击者、主控端、层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。代理端，三者在攻击中扮演着不同的角色。 l攻击者：攻击者所用的计算机是攻击主控攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。个攻击过程，它向主控端发送攻击命令。 计算机网络安全计算机网络安全何路何路http:/dc-securit

13、 DDOSl主控端：主控端是攻击者非法侵入并控制主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代特殊指令，并且可以把这些命令发送到代理主机上。理主机上。 l代理端：代理端同样也是攻击者侵入并控代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主接受和运行

14、主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发机是攻击的执行者，真正向受害者主机发送攻击。送攻击。计算机网络安全计算机网络安全何路何路 DDOS攻击体系结构图攻击体系结构图计算机网络安全计算机网络安全何路何路 DDOS攻击攻击l最重要的第最重要的第2和第和第3部分：它们分别用做控部分：它们分别用做控制和实际发起攻击。制和实际发起攻击。l第第4部分的受害者：部分的受害者：DDoS的实际攻击包的实际攻击包是从第是从第3部分攻击傀儡机上发出的，第部分攻击傀儡机上发出的，第2部部分的控制机只发布命令而不

15、参与实际的攻分的控制机只发布命令而不参与实际的攻击。击。 计算机网络安全计算机网络安全何路何路 僵尸网络僵尸网络(Botnet) l基本概念基本概念lBot: 机器人机器人(Robot)的缩写，是一段可以自动执行的缩写，是一段可以自动执行预先设定功能，可以被控制，具有一定人工预先设定功能，可以被控制，具有一定人工智能的程序。通常带有恶意代码的智能的程序。通常带有恶意代码的Bot被秘被秘密植入受控计算机，主动连接服务器接受控密植入受控计算机，主动连接服务器接受控制指令，并依照指令完成相应功能。制指令，并依照指令完成相应功能。lZombie: 被包含恶意代

16、码的被包含恶意代码的Bot感染或能被远程控制感染或能被远程控制的计算机，又名僵尸计算机。的计算机，又名僵尸计算机。计算机网络安全计算机网络安全何路何路 僵尸网络僵尸网络(Botnet)lIRC Bot: 利用利用IRC协议进行通信和控制的协议进行通信和控制的Bot。 lCommand & Control Server: IRC Bot连接的连接的IRC服务器称为命令和控制服务服务器称为命令和控制服务器，控制者通过该服务器发送命令，进行控制。器，控制者通过该服务器发送命令，进行控制。 lBotnet: 僵尸网络，由大量能够实现恶意功能的僵尸网络，由大量能

17、够实现恶意功能的Bot、Command & Control Server和控制者组成，和控制者组成，能够受攻击者控制的网络。能够受攻击者控制的网络。 计算机网络安全计算机网络安全何路何路 基于基于IRC僵尸网络模型僵尸网络模型计算机网络安全计算机网络安全何路何路 IRC Bot原理原理lIRC （Internet Relay Chat）协议）协议lIRC是一种专门的网络聊天室协议。是一种专门的网络聊天室协议。lIRC协议采用客服端协议采用客服端/服务器模式。服务器模式。l多服务器之间可建立信息共享。多服务器之间

18、可建立信息共享。l用户可以建立、选择和感兴趣的频道。用户可以建立、选择和感兴趣的频道。l频道可以隐藏。频道可以隐藏。l支持文件传递。支持文件传递。计算机网络安全计算机网络安全何路何路 IRC Bot原理原理lIRC Bot的功能：的功能：lBot可以根据接收到的控制命令执行预定义的功能，可以根据接收到的控制命令执行预定义的功能，这些功能包括：这些功能包括：l1 )发动发动DOS攻击攻击l2)浏览系统信息浏览系统信息l3)终止信息终止信息l4)攻击攻击IRC频道或邮箱频道或邮箱l5)上传和下载程序上传和下载程序l6)代理或代理或SMTP服务器服务器l7)升级升级Botl8)卸载卸载Bot计算机网络安全计算机网络安全何路何路 IRC Bot原理原理lIRC Bot的实现：的实现：l其特点是模拟其特点是模拟IRC客户端，使用客户端，使用IRC协议协议与与IRC服务器通信。服务器通信。计算机网络安全计算机网络安全何路何路http:/dc-security.or