拒绝服务攻击及防御

1、拒绝服务攻击及防御信息安全系列培训之三1大纲拒绝服务攻击原理典型的拒绝服务攻击DoS工具与傀儡网络蠕虫攻击及其对策拒绝服务攻击防御拒绝服务攻击检测2拒绝服务攻击原理3什么是拒绝服务攻击DoS (Denial of Service)攻击其中文含义是拒绝服务攻击，这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。黑客不正当地采用标准协议或连接方法，向攻击的服务发出大量的讯息，占用及超越受攻击服务器所能处理的能力，使它当(Down)机或不能正常地为用户服务。4属性分类法攻击静态属性（Static）攻击控制模式攻击通信模式

2、攻击技术原理攻击协议和攻击协议层攻击动态属性（Dynamic）攻击源地址类型攻击包数据生成模式攻击目标类型交互属性（Mutual）攻击的可检测程度攻击影响5攻击静态属性（1）攻击控制方式（ControlMode）攻击控制方式直接关系到攻击源的隐蔽程度。根据攻击者控制攻击机的方式可以分为以下三个等级：直接控制方式（Direct）、间接控制方式（Indirect）和自动控制方式（Auto）。（2）攻击通信方式（CommMode）在间接控制的攻击中，控制者和攻击机之间可以使用多种通信方式，它们之间使用的通信方式也是影响追踪难度的重要因素之一。攻击通信方式可以分为三种方式，分别是：双向通信方式（bi）

3、、单向通信方式（mono）和间接通信方式（indirection）。6攻击静态属性3）攻击原理（Principle）DoS攻击原理主要分为两种，分别是：语义攻击（Semantic）和暴力攻击（Brute）。语义攻击指的是利用目标系统实现时的缺陷和漏洞，对目标主机进行的拒绝服务攻击，这种攻击往往不需要攻击者具有很高的攻击带宽，有时只需要发送1个数据包就可以达到攻击目的，对这种攻击的防范只需要修补系统中存在的缺陷即可。暴力攻击指的是不需要目标系统存在漏洞或缺陷，而是仅仅靠发送超过目标系统服务能力的服务请求数量来达到攻击的目的，也就是通常所说的风暴攻击。7攻击静态属性（4）攻击协议层（ProLaye

4、r）攻击所在的TCP/IP协议层可以分为以下四类：数据链路层、网络层、传输层和应用层。数据链路层的拒绝服务攻击受协议本身限制，只能发生在局域网内部，这种类型的攻击比较少见。针对IP层的攻击主要是针对目标系统处理IP包时所出现的漏洞进行的，如IP碎片攻击Anderson01，针对传输层的攻击在实际中出现较多，SYN风暴、ACK风暴等都是这类攻击，面向应用层的攻击也较多，剧毒包攻击中很多利用应用程序漏洞的（例如缓冲区溢出的攻击）都属于此类型。（5）攻击协议（ProName）攻击所涉及的最高层的具体协议，如SMTP、ICMP、UDP、HTTP等。攻击所涉及的协议层越高，则受害者对攻击包进行分析所需消

5、耗的计算资源就越大。8攻击动态属性（Dynamic）（1）攻击源地址类型（SourceIP）攻击者在攻击包中使用的源地址类型可以分为三种：真实地址（True）伪造合法地址（Forge Legal）伪造非法地址（Forge Illegal）（2）攻击包数据生成模式（DataMode）攻击包中包含的数据信息模式主要有5种：不需要生成数据（None）统一生成模式（Unique）随机生成模式（Random）字典模式（Dictionary）生成函数模式（Function）9攻击动态属性（Dynamic）（3）攻击目标类型（Target）攻击目标类型可以分为以下6类：应用程序（Application）系统

6、（System）网络关键资源（Critical）网络（Network）网络基础设施（Infrastructure）因特网（Internet）10交互属性（Mutual）（1）可检测程度（Detective）根据能否对攻击数据包进行检测和过滤，受害者对攻击数据的检测能力从低到高分为以下三个等级：可过滤（Filterable）有特征但无法过滤（Unfilterable）无法识别（Noncharacterizable）（2）攻击影响（Impact）根据攻击对目标造成的破坏程度，攻击影响自低向高可以分为：无效（None）服务降低（Degrade）可自恢复的服务破坏（Self-recoverable）可

7、人工恢复的服务破坏（Manu-recoverable）不可恢复的服务破坏（Non-recoverable）11舞厅分类法12舞厅分类法主干节点1-2舞伴类节点3-7风暴类节点8-16陷阱类节点18-22介入类节点23-3713DDOS攻击的典型过程信息收集占领傀儡机攻击实施获取目标信息信息收集WhoisNslookup网上公开信息搜索引擎网络刺探Tracerouter网络扫描漏洞扫描14DDOS攻击的典型过程占领傀儡机实施攻击信息收集占领傀儡机攻击实施15拒绝服务攻击原理16典型的拒绝服务攻击17剧毒包型DoS攻击WinNuke攻击碎片（Teardrop）攻击Land攻击Ping of dea

8、th攻击18WinNuke攻击攻击特征：WinNuke攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。检测方法：判断数据包目标端口是否为139、138、137等，并判断URG位是否为“1”。反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段（丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址MAC）。19碎片(Teardrop)攻击攻击特征：Teardrop是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包（I

9、P分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。检测方法：对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。反攻击方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。20Land攻击攻击特征：用于Land攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。检测方法：判断网络数据包的源地址

10、和目标地址是否相同。反攻击方法：适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为（一般是丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址）。21Ping of death攻击攻击特征：该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。检测方法：判断数据包的大小是否大于65535个字节。反攻击方法：使用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进行系统审计。22风暴型DoS攻击直接风暴型攻击Ping风

11、暴攻击SYN风暴攻击TCP连接耗尽攻击UDP风暴攻击对邮件系统的拒绝服务攻击HTTP风暴攻击反射攻击一般意义的反射攻击放大式反射攻击23直接风暴攻击Ping风暴攻击单纯向受害者发送大量ICMP回应请求消息SYN风暴攻击TCP连接耗尽攻击UDP风暴攻击占用网络带宽对邮件系统的拒绝服务攻击邮件炸弹垃圾邮件HTTP风暴攻击24反射攻击一般意义的反射攻击攻击者利用了反射器会响应一个消息的要求而自行产生一个回应消息的特征或能力凡是支持“自动消息生成”的协议,包括TCP、UDP、各种ICMP消息，应用协议等，都可能被用于反射攻击与其它的分布式拒绝服务攻击不同，分布式反射攻击不依赖于系统漏洞，任何系统都可能

12、成为反射攻击的“帮凶”SYN-ACK消息或者RST消息是攻击者常利用的消息类型当使用SYN-ACK进行攻击时，反射器就像SYN风暴攻击的受害者。25反射攻击26放大式放大攻击Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。27放大式攻击Fraggle攻击Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP。防御：在防火墙上过滤掉UDP应答消息。以CISCO的ASA为

13、例class-map fraggle -定义端口号和协议号match port udp eq echopolicy-map fraggle -策略匹配,设置最大连接数为1class fraggleset connection conn-max 1service-policy fraggle interface inside -在接口上应用28放大攻击Fraggle攻击29DoS工具与傀儡网络30DoS工具分析TrinooTFNStacheldrahtShaftTFN2K31傀儡网络什么是傀儡网络傀儡网络的危害傀儡网络工作原理傀儡网络攻击实现32什么是傀儡网络BotNet，也称僵尸网络，指攻击者

14、利用互联网用户的计算机建立的可以集中控制的用于其险恶用途的计算机群，包括控制手段等。33傀儡网络的危害蠕虫扩散分布式拒绝服务攻击发送垃圾邮件窃取秘密信息窃取资源作为跳板34傀儡网络工作原理IRC协议应用层协议C/S模式默认端口：TCP 666735傀儡网络攻击实现发动大规模分布式拒绝服务攻击（DDOS）利用傀儡网络进行钓鱼（Phishing）攻击利用傀儡网络开设HTTP代理利用傀儡网络发送垃圾邮件利用傀儡进行漏洞扫描安装间谍软件36蠕虫攻击及其对策37蠕虫常见传播策略选择性随机扫描顺序扫描基于目标列表的扫描基于路由的扫描基于DNS扫描分治扫描扫描策略评价目标地址空间选择是否采用多线程搜索易感染

15、主机是否有易感染主机列表传播途径的多样化38蠕虫的攻击手段缓冲区溢出攻击基于堆栈的缓冲区溢出基于堆的缓冲区溢出基于LIB C库的缓冲区溢出攻击格式化字符串攻击拒绝服务攻击弱口令攻击默认设置脆弱性攻击社会工程攻击39蠕虫的检测与防范基于单机的蠕虫检测基于网络的蠕虫检测其他40基于单机的蠕虫检测基于特征的检测技术基于网络负载的特征匹配基于日志分析的特征匹配基于文件内容的特征匹配基于黑洞检测技术对所有扫描全网的蠕虫都适用对于采用队列扫描和基于目标列表的扫描蠕虫不适用基于流量检测校验和技术沙箱技术安全操作系统对网络蠕虫的防范41基于网络的蠕虫检测基于GrIDS的网络蠕虫检测通过与预定义的行为模式进行匹

16、配，检测网络蠕虫是否存在。基于PLD硬件的检测和防御采用特征匹配技术，存在误报，无法检测未知网络蠕虫，只能进行事后处理基于蜜罐的检测和防御基于控制中心的检测、防御和阻断42其他加强个人安全意识提高软件产品的安全性安全编码非可执行的缓冲区数组边界检查加强对返回地址的保护及时打补丁或者升级43拒绝服务攻击防御44终端防御最终受害处攻击为主机时-受害者主机和受害者所在网络攻击为带宽时-目标网络防御策略增强容忍性提高主机系统或网络安全性入口过滤45增强容忍性随机释放当Syn Flood时，随机释放一些未完成的半打开连接SYN CookiesSYN Cookie功能一般是在发现、怀疑有攻击存在或者当前连

17、接请求较多的时候才启用SYN Cache通过全局表建立连接表提高了攻击者进行Syn风暴攻击成功的难度，但受到系统整体资源的限制TCP代理服务器46提高主机系统或网络安全性流量控制冗余备份关闭不需要的服务和端口实行严格的补丁管理经常进行端口扫描主机安全加固攻击测试（Pen-test）病毒防护47入口过滤端口与协议过滤地址过滤合理编写、排列防火墙规则和路由器的访问控制列表，合理过滤数据流正确配置边界路由，禁止转发指向广播地址的数据包对于ICMP数据包，只允许必需的类型和代码进出网络如果网络中不需要使用IRC、P2P服务以及即时消息，则阻止向外发出这类连接48源端防御发出攻击性数据包的源端源端防御优

18、点避免拥塞较小的副作用更易追踪可以使用更为复杂的检测算法防御策略出口过滤D-WARDCOSSACK49出口过滤（Egress Filtering）用户网络或者其ISP网络的比边界路由被配置成在其转发外出的数据包时，阻塞（过滤）源IP地址明显是非法的数据包，以免其外出到外网。50出口过滤不足不能防止攻击者伪造地址为同一网段内的其他IP地址可能会妨碍一些特殊应用，如动态IP服务好处防止成为“中间人”攻击者容易被识别，降低攻击者对其多次利用的可能性减轻蠕虫对自身网络的危害降低被作为僵尸网络的可能通过出口过滤审计日志，识别真正的攻击者提高自身的安全性，作一个好邻居51D-WARD源端DDOS防御系统 ，检测和限制向外发出的拒绝服务攻击，同时对合法用户的影响要尽量小。部署在源路由器检查从两个方向通过路由器的通信并进行融合分析，检测异常现象。52中端防御在攻击性数据包的发送途中采取的防范措施该方法只能限制IP伪造的空间,而不能杜绝IP伪造,无法阻止没有伪造的DDOS攻击.攻击检测源端防火墙门限异常检测双向数据动态分析伪造包检测连接语义分析攻击响应限流53COSSACK分布式DDOS检测与响应机制，部署于因特网的边界网络中信息获取方式SNMP统计Cisc