第四周 拒绝服务与数据库安全

1、第3章 拒绝服务与数据库安全 拒绝服务攻击概述 3.1SQL数据库安全 3.2 SQL Server攻击的防护 3.31掌握DoS攻击的原理掌握DoS攻击工具的基本使用和防护了解基于服务的漏洞和入侵方法掌握Telnet入侵的基本防护了解SQL数据库的安全技术和原理掌握基于SQL的入侵和防护本章学习要点：23.1 拒绝服务攻击概述3.1.1 DoS定义 DoS（Denial of Service，拒绝服务）是指阻止或拒绝合法使用者存取网络服务器。 造成DoS的攻击行为被称为DoS攻击，即将大量的非法申请封包传送给指定的目标主机，其目的是完全消耗目标主机资源，使计算机或网络无法提供正常的服务。3拒

2、绝服务攻击(DoS)：DoS-Denial of Service：现在一般指导致服务器 不能正常提供服务的攻击。DoS攻击的事件 ： 2000年2月份的Yahoo、亚马逊、CNN被DoS攻击。 2002年10月全世界13台DNS服务器同时受到了DDoS（分布式拒绝服务）攻击。 2003年1月25日的“2003蠕虫王”病毒。 2004年8月，共同社报道：日本近期共有上百网站遭到黑客袭击。4 最常见的DoS攻击包括计算机网络带宽攻击和连通性攻击。 带宽攻击是指以极大的通信量冲击网络，使得所有可用的网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。 连通性攻击是指用大量的连接请求冲击计算机，使得

3、所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。5 是借助网络系统或协议的缺陷以及配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或系统应用死锁，妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损，甚至导致服务中断。DoS攻击的原理:6是首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息。由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送一批新的请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽，而导致服务中断

4、，如图3.1所示。DoS攻击的基本过程:7图3.1 DoS攻击的基本过程83.1.2 拒绝服务攻击的分类1按攻击的对象分类 拒绝服务攻击可以是“物理的”（又称“硬件的”），也可以是“逻辑的”（又称“软件的”）。 物理形式的攻击，如偷窃、破坏物理设备，破坏电源等。 逻辑的攻击，如通过软件破坏网络、系统资源和服务，如邮件服务、DNS服务、CPU资源等。92按攻击的目标分类 按攻击的目标拒绝服务攻击又可分为节点型和网络连接型。 节点型：旨在消耗节点（主机Host）资源。节点型又可以进一步细分为主机型和应用型。10主机型攻击：其目标主要是主机中的公共资源，如CPU、磁盘等，使得主机对所有的服务都不能响

5、应。 应用型攻击：其目标是网络中特定的应用，如邮件服务、DNS服务、Web服务等。受攻击时，受害者上的其他服务可能不受影响或者受影响的程度较小（与受攻击的服务相比而言）。 网络连接型：旨在消耗网络连接和带宽。113按攻击方式分类 按照攻击方式拒绝服务攻击可以分为资源消耗、服务中止和物理破坏。 资源消耗：指攻击者试图消耗目标的合法资源，如网络带宽、内存和磁盘空间、CPU使用率等。根据资源类型的不同，资源消耗可分为带宽耗尽和系统资源耗尽两类。12带宽耗尽攻击：其本质是攻击者通过放大等技巧，消耗掉目标网络的所有可用带宽。系统资源耗尽攻击：指对系统内存、CPU 或程序中的其他资源进行消耗，使其无法满足

6、正常提供服务的需求。著名的Syn Flood攻击即是通过向目标服务发送大量的数据包，造成服务的连接队列耗尽，无法再为其他正常的连接请求提供服务。13 服务中止：指攻击者利用服务中的某些缺陷导致服务崩溃或中止。 物理破坏：指雷击、电流、水、火等以物理接触的方式导致的拒绝服务攻击。144按受害者类型分类 按受害者类型拒绝服务攻击可以分为服务器端拒绝服务攻击和客户端拒绝服务攻击。 服务器端拒绝服务攻击：指攻击的目标是特定的服务器，使之不能提供服务（或者不能向某些客户端提供某种服务），如攻击一个Web服务器使之不能访问。 客户端拒绝服务攻击：针对特定的客户端，使之不能使用某种服务，如游戏、聊天室中的“

7、踢人”，也就是使某个特定的用户不能登录游戏系统或聊天室中，使之不能使用系统的服务。155按攻击是否针对受害者分类 直接和间接拒绝服务攻击6按攻击地点分类 本地攻击和远程攻击16Land原是一段C程序，其向受害者发送TCP SYN包，而这些包的源IP地址和目的IP地址被伪造成相同的，即受害者的IP地址，源端口和目的端口也是相同的；此将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留，直到超时。 目标系统在收到这样的包以后可能会崩溃或者重启。 3.1.3 常见DoS攻击1Land程序攻击17Internet

8、Code崩溃G. Mark HardyLAND攻击IP 包欺骗：源地址 204.241.161.12 Port 139目的地址 204.241.161.12 Port 139包被送回它自己攻击者172.18.1.1目标204.241.161.12LAND攻击:18Land攻击防御有针对性地更改协议算法，打最新的相关的安全补丁；在防火墙上进行配置，将那些在外部接口上进入的含有内部源地址的包过滤掉，包括10域，127域，192.168域，172.16到172.31域。对剧毒包进行识别。如：由于Land攻击主要是构造IP包，使源IP和目标IP相同，源端口和目的端口相同，可以对此类包进行单独辨别、处理

9、。192SYN Flood攻击 攻击者向被攻击服务器发送一个包含SYN标志的TCP报文，SYN（Synchronize，同步报文）会指明客户端使用的端口以及TCP连接的初始序号，这时同被攻击服务器建立了第1次握手。 受害服务器在收到攻击者的SYN后，将返回一个SYN+ACK的报文，表示攻击者的请求被接受，同时TCP序号被加1，ACK （Acknowledgement）即确认，这样就同被攻击服务器建立了第2次握手。 攻击者也返回一个确认报文ACK给受害服务器，同样TCP序列号被加1，到此一个TCP连接完成，第3次握手完成。“攻击过程”20SYN Flood原理 TCP连接的三次握手 21SYN

10、Flood原理Syn Flood攻击者不会完成三次握手 22我没发过请求SYN FloodSYN_RECV状态半开连接队列遍历，消耗CPU和内存SYN|ACK 重试SYN Timeout：30秒2分钟无暇理睬正常的连接请求拒绝服务SYN （我可以连接吗？）ACK （可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN 请求为何还没回应就是让你白等不能建立正常的连接！SYN Flood 攻击原理攻击表象23SYN Flood原理假设一个客户向服务器发送了SYN报文段后突然掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般

11、会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度称为SYN Timeout，一般来说这个时间大约为30秒-2分钟；同时，对于每个连接，双方都要为这个连接分配必要的内存资源，用来存放所使用的协议，地址、端口、时钟以及初始序号等信息，这些内存资源大约占用280字节。24SYN Flood原理当一个服务器收到大量连续的SYN包时，就会为这些连接分配必要的内存资源，这些半连接将耗尽系统的内存资源和CPU时间，从而拒绝为合法的用户提供服务。此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服务器端受到了SYN Flood攻击（SYN洪水攻击）。 25

12、以windows 为例SYN攻击花费时间（秒）累计花费时间（秒）第一次，失败3 3尝试第1 次，失败69尝试第2 次，失败1221尝试第3 次，失败2445尝试第4 次，失败4893尝试第5 次，失败9618926SYN Flood防护策略优化系统配置缩短超时时间，使无效的半连接尽快释放，也可能导致某些合法连接失败；增加半连接队列长度，使系统能够处理更多的半连接；关闭不必要或不重要的服务，减少被攻击的机会。优化路由器配置丢弃那些来自内网而源地址具有外网IP地址的包。加强监测在网络的关键点上安装监测软件，持续监视TCP/IP流量，分析通信状态，辨别攻击行为。27SYN Flood防护策略防火墙有

13、些防火墙具有SYN Proxy功能，这种方法设置每秒通过指定对象（目标地址和端口、仅目标地址或仅源地址）的SYN片段数的阈值，当来自相同源地址或发往相同目标地址的SYN片段数达到这些阈值之一时，防火墙就开始截取连接请求和代理回复SYN/ACK片段，并将不完全的连接请求存储到连接队列中直到连接完成或请求超时。当防火墙中代理连接的队列被填满时，防火墙拒绝来自相同区域中所有地址的新SYN片段，避免网络主机遭受不完整的三次握手的攻击。这种方法在攻击流量较大的时候，连接出现较大的延迟，网络的负载较高，很多情况下反而成为整个网络的瓶颈。28这种攻击利用RST（Reset the connection ）位

14、来实现。假设现在有一个合法用户(61.61.61.61)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为61.61.61.61，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从61.61.61.61发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户61.61.61.61再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。攻击时，攻击者会伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务，从而实现了对受害服务器的拒绝服务攻击。3IP欺骗DoS攻击294. Smurf攻击这种攻击方法结合

15、使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。30第一步：攻击者向被利用网络A的广播地址发送一个ICMP 协议的echo请求数据报，该数据报源地址被伪造成10.254.8.9第二步：网络A上的所有主机都向该伪造的源地址返回一个echo响应，造成该主机服务中断。Smuff攻击31Smurf攻击攻击通常分

16、为以下五步：黑客锁定一个被攻击的主机（通常是一些Web服务器）；黑客寻找中间代理（路由器），用来对攻击实施放大；黑客给中间代理站点的广播地址发送大量的ICMP包（主要是指Ping命令的ECHO包）。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址；中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包；中间代理子网主机对被攻击的网络进行响应。32分析和对抗首先，防止让你的网络里的人发起这样的攻击。在Smurf攻击中，大量源欺骗的IP数据包离开了第一个网络。通过在路由器上使用输出过滤，滤掉这样的包，从而阻止从你的网络中发起的Smurf攻击。其次，防止你的网络做为中间代理。如果没有必

17、须要向外发送广播数据包的情况，就可以在路由器的每个接口上设置禁止直接广播；配置主机的操作系统，使其不响应ICMP广播包。335Ping of Death发送长度超过65535字节的ICMP Echo Request 数据包导致目标机TCP/IP协议栈崩溃，系统死机或重启现有的操作系统基本上都能正确处理这种异常数据包，不会出现问题。346Teardrop攻击发送特别构造的IP 数据包导致目标机TCP/IP协议栈崩溃，系统死锁现有的操作系统基本上都能正确处理这种异常数据包，不会出现问题。7WinNuke攻击发送特别构造的TCP包，使得Windows机器蓝屏353.1.4 分布式拒绝服务 分布式拒绝

18、服务（Distributed Denial of Service，DDoS）是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，像商业公司、搜索引擎或政府部门的站点。36 分布式拒绝服务如图3.2所示。 DoS攻击只要一台单机和一个Modem就可实现，与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。37图3.2 分布式拒绝服务 38InternetDDoS攻击原理图HACKERCreate感染, 潜伏, 扩散攻击 破坏 拒绝服务 利用系统后门感染RandomlyAttack R

19、andomlyAttack RandomlyAttack DDOSDDOSDDOSDDOSDDOSDDOSDDOSCreate感染, 潜伏, 扩散攻击破坏 拒绝服务 利用系统后门感染Activate 100, 300 or 600 threads to attack random IP address servers没用补丁 web system已补丁web system39DDoS攻击过程扫描程序非安全主机黑客 黑客利用工具扫描 Internet，发现存在漏洞的主机1Internet(Wu- service)40黑客Zombies 黑客在非安全主机上安装类似“后门”的代理程序2DDoS At

20、tack IllustratedInternet41黑客 黑客选择主控主机，用来向“僵尸”发送命令3Zombies主控主机InternetDDoS Attack Illustrated42Hacker 通过客户端程序，黑客发送命令给主控端，并通过主控主机启动 “僵尸”程序对目标系统发动攻击4ZombiesTargetedSystemMasterServerInternetDDoS Attack Illustrated43目标系统SystemHacker 主控端向“僵尸”发送攻击信号，对目标发动攻击5MasterServerInternetZombiesDDoS Attack Illustrat

21、ed44目标黑客 目标主机被“淹没”，无法提供正常服务，甚至系统崩溃6主控主机合法用户服务请求被拒绝Internet僵尸DDoS Attack Illustrated45 DDoS攻击分为3层：攻击者、主控端和代理端，三者在攻击中扮演着不同的角色。攻击者主控端代理端461Trinoo Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不进行修改，采用的通信端口如下。攻击者主机到主控端主机：27665/TCP。主控端主机到代理端主机：27444/UDP

22、。代理端主机到主服务器主机：31335/UDP。常见的DDoS工具：472TFN TFN由主控端程序和代理端程序两部分组成，它主要采取的攻击方法为SYN风暴、Ping风暴、UDP炸弹和SMURF，具有伪造数据包的能力。483TFN2K TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性。 它的主控端和代理端的网络通信是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通信没有加密。 494Stacheldraht 检测DDoS攻击的主要方法有以下几种。根据异常情况分析使用DDoS检测工具 503.1.5 拒绝服务攻击的防护 通常建议用户可以采取以下手

23、段来保障网络能够抵御拒绝服务攻击。 增加网络核心设备的冗余性，提高对网络流量的处理能力和负载均衡能力。 通过路由器配置访问列表，过滤掉非法流量。 部署防火墙，提高网络抵御网络攻击的能力。 部署入侵检测设备，提高对不断更新的DoS攻击的识别和控制能力。513.2 SQL数据库安全3.2.1 数据库系统概述3.2.2 SQL服务器的发展523.2.3 数据库技术的基本概念 数据（Data） 数据库（DB） 数据库管理系统（DBMS） 数据库系统（DBS） 数据库技术 数据模型533.2.4 SQL安全原理1第一级安全层次 为方便服务器管理，每个SQL Server有多个内置的服务器角色，允许系统管

24、理员给可信的实体授予一些功能，而不必使他们成为完全的管理员。 服务器中的一些角色如表3.1所示。54服务器角色描述sysadmin可以执行SQL Server中的任何任务securityadmin可以管理登录serveradmin可以设置服务器选项（sp_configure）setupadmin可以设置连接服务器，运行SP_serveroptionprocessadmin管理服务器上的进程（有能力取消连接）diskadmin可以管理磁盘文件dbcreator可以创建、管理数据库bulkadmin可以执行BULK INSERT指令表3.1服务器角色及其主要功能 552第二级安全层次3第三级安全层

25、次（1）用户定义的角色（2）固定数据库角色56固定数据库角色描述db_owner可以执行所有数据库角色的活动db_accessadmin可以增加或删除Windows组、用户和数据库中的SQL Server用户db_datareader可以阅读数据库中所有用户表的数据db_datawriter可以写或删除数据库中所有用户表的数据db_ddladmin可以增加、修改或放弃数据库的对象db_securityadmin可以管理角色和数据库角色的成员，管理数据库的参数和对象权限db_backupoperator可以备份数据库db_denydatareader不能选择数据库的数据db_denydatawr

26、iter不能改变数据库的数据表3.2数据库角色及其主要功能 573.3 SQL Server攻击的防护 微软的SQL Server是一种广泛使用的数据库，很多电子商务网站、企业内部信息化平台等都是基于SQL Server的，但是数据库的安全性还没有和系统的安全性等同起来，多数管理员认为只要把网络和操作系统的安全做好了，那么所有的应用程序也就安全了。583.3.1 信息资源的收集 在讨论如何防守攻击者之前，必须要了解攻击者如何查找和渗透SQL Server或基于SQL Server的应用程序。 攻击者可能有许多原因来选择潜在的目标，包括报复、利益或恶意。 永远不要假定自己的服务器“飞”得太低，以至于不能显示在别人的雷达屏幕上。59 许多攻击者只是因为高兴而扫描IP范围，假定自己的ISP或内部网络被这些人骚扰了，那就要做最坏的打算。 现在评估SQL Server被发现的方法，可以通过网络，也可以通过企业内部。 攻击者无论是把某些I