拒绝服务攻击及防御

1、回绝效力攻击及防御信息平安系列培训之三樊山.大纲.回绝效力攻击原理.什么是回绝效力攻击DoS (Denial of Service)攻击其中文含义是回绝效力攻击，这种攻击行动使网站效力器充斥大量要求回复的信息，耗费网络带宽或系统资源，导致网络或系统不胜负荷以致于瘫痪而停顿提供正常的网络效力。黑客不正当地采用规范协议或衔接方法，向攻击的效力发出大量的讯息，占用及超越受攻击效力器所能处置的才干，使它当(Down)机或不能正常地为用户效力。.属性分类法攻击静态属性Static攻击控制方式攻击通讯方式攻击技术原理攻击协议和攻击协议层攻击动态属性Dynamic攻击源地址类型攻击包数据生成方式攻击目的类型

2、交互属性Mutual攻击的可检测程度攻击影响.攻击静态属性1攻击控制方式ControlMode攻击控制方式直接关系到攻击源的隐蔽程度。根据攻击者控制攻击机的方式可以分为以下三个等级：直接控制方式Direct、间接控制方式Indirect和自动控制方式Auto。2攻击通讯方式CommMode在间接控制的攻击中，控制者和攻击机之间可以运用多种通讯方式，它们之间运用的通讯方式也是影响追踪难度的重要要素之一。攻击通讯方式可以分为三种方式，分别是：双向通讯方式bi、单向通讯方式mono和间接通讯方式indirection。.攻击静态属性3攻击原理PrincipleDoS攻击原理主要分为两种，分别是：语义

3、攻击Semantic和暴力攻击Brute。语义攻击指的是利用目的系统实现时的缺陷和破绽，对目的主机进展的回绝效力攻击，这种攻击往往不需求攻击者具有很高的攻击带宽，有时只需求发送1个数据包就可以到达攻击目的，对这种攻击的防备只需求修补系统中存在的缺陷即可。暴力攻击指的是不需求目的系统存在破绽或缺陷，而是仅仅靠发送超越目的系统效力才干的效力恳求数量来到达攻击的目的，也就是通常所说的风暴攻击。.攻击静态属性4攻击协议层ProLayer攻击所在的TCP/IP协议层可以分为以下四类：数据链路层、网络层、传输层和运用层。数据链路层的回绝效力攻击受协议本身限制，只能发生在局域网内部，这种类型的攻击比较少见。

4、针对IP层的攻击主要是针对目的系统处置IP包时所出现的破绽进展的，如IP碎片攻击Anderson01，针对传输层的攻击在实践中出现较多，SYN风暴、ACK风暴等都是这类攻击，面向运用层的攻击也较多，剧毒包攻击中很多利用运用程序破绽的例如缓冲区溢出的攻击都属于此类型。5攻击协议ProName攻击所涉及的最高层的详细协议，如SMTP、ICMP、UDP、HTTP等。攻击所涉及的协议层越高，那么受害者对攻击包进展分析所需耗费的计算资源就越大。.攻击动态属性Dynamic1攻击源地址类型SourceIP攻击者在攻击包中运用的源地址类型可以分为三种：真实地址True伪造合法地址Forge Legal伪造非

5、法地址Forge Illegal2攻击包数据生成方式DataMode攻击包中包含的数据信息方式主要有5种：不需求生成数据None统终身成方式Unique随机生成方式Random字典方式Dictionary生成函数方式Function.攻击动态属性Dynamic3攻击目的类型Target攻击目的类型可以分为以下6类：运用程序Application系统System网络关键资源Critical网络Network网络根底设备Infrastructure因特网Internet.交互属性Mutual1可检测程度Detective根据能否对攻击数据包进展检测和过滤，受害者对攻击数据的检测才干从低到高分为以下

6、三个等级：可过滤Filterable有特征但无法过滤Unfilterable无法识别Noncharacterizable2攻击影响Impact根据攻击对目的呵斥的破坏程度，攻击影响自低向高可以分为：无效None效力降低Degrade可自恢复的效力破坏Self-recoverable可人工恢复的效力破坏Manu-recoverable不可恢复的效力破坏Non-recoverable.舞厅分类法.舞厅分类法主干节点1-2舞伴类节点3-7风暴类节点8-16圈套类节点18-22介入类节点23-37.DDOS攻击的典型过程获取目的信息信息搜集WhoisNslookup网上公开信息搜索引擎网络刺探Trac

7、erouter网络扫描破绽扫描.DDOS攻击的典型过程占领傀儡机实施攻击.回绝效力攻击原理.典型的回绝效力攻击.剧毒包型DoS攻击WinNuke攻击碎片Teardrop攻击Land攻击Ping of death攻击.WinNuke攻击攻击特征：WinNuke攻击又称带外传输攻击，它的特征是攻击目的端口，被攻击的目的端口通常是、113、53，而且URG位设为“1，即紧急方式。检测方法：判别数据包目的端口能否为、等，并判别URG位能否为“1。反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段丢弃该数据包，并对这种攻击进展审计记录事件发生的时间，源主机和目的主机的MAC地址和IP地址M

8、AC。.碎片(Teardrop)攻击攻击特征：Teardrop是基于UDP的病态分片数据包的攻击方法，其任务原理是向被攻击者发送多个分片的IP包IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息，某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统解体、重启等景象。检测方法：对接纳到的分片数据包进展分析，计算数据包的片偏移量Offset能否有误。反攻击方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进展审计。.Land攻击攻击特征：用于Land攻击的数据包中的源地址和目的地址是一样的，由于当操作系统接纳到这类数据包时，不知道该如何处置堆栈中通讯源地址和目

9、的地址一样的这种情况，或者循环发送和接纳该数据包，耗费大量的系统资源，从而有能够呵斥系统解体或死机等景象。检测方法：判别网络数据包的源地址和目的地址能否一样。反攻击方法：适当配置防火墙设备或过滤路由器的过滤规那么就可以防止这种攻击行为普通是丢弃该数据包，并对这种攻击进展审计记录事件发生的时间，源主机和目的主机的MAC地址和IP地址。.Ping of death攻击攻击特征：该攻击数据包大于65535个字节。由于部分操作系统接纳到长度大于65535字节的数据包时，就会呵斥内存溢出、系统解体、重启、内核失败等后果，从而到达攻击的目的。检测方法：判别数据包的大小能否大于65535个字节。反攻击方法：

10、运用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进展系统审计。.风暴型DoS攻击直接风暴型攻击Ping风暴攻击SYN风暴攻击TCP衔接耗尽攻击UDP风暴攻击对邮件系统的回绝效力攻击HTTP风暴攻击反射攻击普通意义的反射攻击放大式反射攻击.直接风暴攻击Ping风暴攻击单纯向受害者发送大量ICMP回应恳求音讯SYN风暴攻击TCP衔接耗尽攻击UDP风暴攻击占用网络带宽对邮件系统的回绝效力攻击邮件炸弹渣滓邮件HTTP风暴攻击.反射攻击普通意义的反射攻击攻击者利用了反射器会呼应一个音讯的要求而自行产生一个回应音讯的特征或才干凡是支持“自动音讯生成的协议,包括TCP、UDP、各种I

11、CMP音讯，运用协议等，都能够被用于反射攻击与其它的分布式回绝效力攻击不同，分布式反射攻击不依赖于系统破绽，任何系统都能够成为反射攻击的“帮凶SYN-ACK音讯或者RST音讯是攻击者常利用的音讯类型当运用SYN-ACK进展攻击时，反射器就像SYN风暴攻击的受害者。.反射攻击.放大式放大攻击Smurf攻击经过运用将回复地址设置成受害网络的广播地址的ICMP应对恳求(ping)数据包，来淹没受害主机，最终导致该网络的一切主机都对此ICMP应对恳求做出回答，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方解体。.放大式攻击Fraggle攻击Fraggle攻击对Smurf攻

12、击作了简单的修正，运用的是UDP应对音讯而非ICMP。防御：在防火墙上过滤掉UDP应对音讯。以CISCO的ASA为例class-map fraggle -定义端口号和协议号match port udp eq echopolicy-map fraggle -战略匹配,设置最大衔接数为1class fraggleset connection conn-max 1service-policy fraggle interface inside -在接口上运用.放大攻击Fraggle攻击.DoS工具与傀儡网络.DoS工具分析TrinooTFNStacheldrahtShaftTFN2K.傀儡网络什么是傀

13、儡网络傀儡网络的危害傀儡网络任务原理傀儡网络攻击实现.什么是傀儡网络BotNet，也称僵尸网络，指攻击者利用互联网用户的计算机建立的可以集中控制的用于其险恶用途的计算机群，包括控制手段等。.傀儡网络的危害蠕虫分散分布式回绝效力攻击发送渣滓邮件窃取信息窃取资源作为跳板.傀儡网络任务原理IRC协议运用层协议C/S方式默许端口：TCP 6667.傀儡网络攻击实现发动大规模分布式回绝效力攻击DDOS利用傀儡网络进展钓鱼Phishing攻击利用傀儡网络开设HTTP代理利用傀儡网络发送渣滓邮件利用傀儡进展破绽扫描安装间谍软件.蠕虫攻击及其对策.蠕虫常见传播战略选择性随机扫描顺序扫描基于目的列表的扫描基于路

14、由的扫描基于DNS扫描分治扫描扫描战略评价目的地址空间选择能否采用多线程搜索易感染主机能否有易感染主机列表传播途径的多样化.蠕虫的攻击手段缓冲区溢出攻击基于堆栈的缓冲区溢出基于堆的缓冲区溢出基于LIB C库的缓冲区溢出攻击格式化字符串攻击回绝效力攻击弱口令攻击默许设置脆弱性攻击社会工程攻击.蠕虫的检测与防备基于单机的蠕虫检测基于网络的蠕虫检测其他.基于单机的蠕虫检测基于特征的检测技术基于网络负载的特征匹配基于日志分析的特征匹配基于文件内容的特征匹配基于黑洞检测技术对一切扫描全网的蠕虫都适用对于采用队列扫描和基于目的列表的扫描蠕虫不适用基于流量检测校验和技术沙箱技术平安操作系统对网络蠕虫的防备.

15、基于网络的蠕虫检测基于GrIDS的网络蠕虫检测经过与预定义的行为方式进展匹配，检测网络蠕虫能否存在。基于PLD硬件的检测和防御采用特征匹配技术，存在误报，无法检测未知网络蠕虫，只能进展事后处置基于蜜罐的检测和防御基于控制中心的检测、防御和阻断.其他加强个人平安认识提高软件产品的平安性平安编码非可执行的缓冲区数组边境检查加强对前往地址的维护及时打补丁或者晋级.回绝效力攻击防御.终端防御最终受害处攻击为主机时-受害者主机和受害者所在网络攻击为带宽时-目的网络防御战略加强容忍性提高主机系统或网络平安性入口过滤.加强容忍性随机释放当Syn Flood时，随机释放一些未完成的半翻开衔接SYN Cooki

16、esSYN Cookie功能普通是在发现、疑心有攻击存在或者当前衔接恳求较多的时候才启用SYN Cache经过全局表建立衔接表提高了攻击者进展Syn风暴攻击胜利的难度，但遭到系统整体资源的限制TCP代理效力器.提高主机系统或网络平安性流量控制冗余备份封锁不需求的效力和端口实行严厉的补丁管理经常进展端口扫描主机平安加固攻击测试Pen-test病毒防护.入口过滤端口与协议过滤地址过滤合理编写、陈列防火墙规那么和路由器的访问控制列表，合理过滤数据流正确配置边境路由，制止转发指向广播地址的数据包对于ICMP数据包，只允许必需的类型和代码进出网络假设网络中不需求运用IRC、P2P效力以及即时音讯，那么阻

17、止向外发出这类衔接.源端防御发出攻击性数据包的源端源端防御优点防止拥塞较小的副作用更易追踪可以运用更为复杂的检测算法防御战略出口过滤D-WARDCOSSACK.出口过滤Egress Filtering用户网络或者其ISP网络的比边境路由被配置成在其转发外出的数据包时，阻塞过滤源IP地址明显是非法的数据包，以免其外出到外网。.出口过滤缺乏不能防止攻击者伪造地址为同一网段内的其他IP地址能够会妨碍一些特殊运用，如动态IP效力益处防止成为“中间人攻击者容易被识别，降低攻击者对其多次利用的能够性减轻蠕虫对本身网络的危害降低被作为僵尸网络的能够经过出口过滤审计日志，辨仔细正的攻击者提高本身的平安性，作一

18、个好邻居.D-WARD源端DDOS防御系统 ，检测和限制向外发出的回绝效力攻击，同时对合法用户的影响要尽量小。部署在源路由器检查从两个方向经过路由器的通讯并进展交融分析，检测异常景象。.中端防御在攻击性数据包的发送途中采取的防备措施该方法只能限制IP伪造的空间,而不能杜绝IP伪造,无法阻止没有伪造的DDOS攻击.攻击检测源端防火墙门限异常检测双向数据动态分析伪造包检测衔接语义分析攻击呼应限流.COSSACK分布式DDOS检测与呼应机制，部署于因特网的边境网络中信息获取方式SNMP统计Cisco NetFlow入侵检测系统，如：Snort每个看门狗功能本地检测协同检测.COSSACK攻击呼应指令IDS整理攻击数据的源地址信息和攻击特征信息向其他的能够是攻击发出端网络的看门狗广播攻击通告，并根据攻击特征的不同向那些能够参与协同的看门狗和广播。能够的攻击源网络的看门狗均参与到协同广播组群在接纳到攻击信息后，每个源端网络的看门狗将对其特定的外出数据流进展深化的检查，确定其范围内能否存在傀儡机检测到傀儡机的源网络需求采取措施防止攻击的继续.回绝效力攻击检测.主机异常景象检测异常景象1：受害网络通讯流量超出任务极限主干路由器建立访问控制规那么监测和过滤异常通讯异常景象2：特大型的ICMP和UDP数据包数据包捕获异常景象3