拒绝服务攻击

拒绝服务攻击第一页，共六十四页，2022年，8月28日3.1拒绝服务攻击的基本概念

1、定义

拒绝服务攻击（DenialofService，DoS

）攻击是通过向服务器、主机发送大量的服务请求，用大量的数据包“淹没”目标主机，迫使目标主机疲于处理这些垃圾数据，而无法向合法用户提供正常服务的一种攻击。第二页，共六十四页，2022年，8月28日3.1拒绝服务攻击的基本概念

2、特点和危害

拒绝服务攻击是非法用户向目标主机提供的合法服务请求，因此，它具有：易于实施难于防范破坏性强等特点

第三页，共六十四页，2022年，8月28日3.1拒绝服务攻击的基本概念

2、特点和危害

2007年4月，“联众”被DDoS连续攻击了一个月，损失难于估量；2008年9月，开心网遭受DDoS攻击；2009年5月，易名中国被DDoS攻击，上万个网站无法打开；2009年下半年，中国电信多个省份遭受DDoS攻击，断网；2009年12月，彩票直通车遭受DDoS连续攻击。第四页，共六十四页，2022年，8月28日3.2攻击的分类

1、按攻击的方式分类直接攻击反射攻击（中间人攻击）分布式拒绝服务攻击①直接攻击带宽资源CPU资源内存磁盘、进程数、数据库连接数、文件句柄等。

第五页，共六十四页，2022年，8月28日3.2攻击的分类

①直接攻击PingofDeathSYNFloodTCP连接耗尽攻击UDP风暴攻击等。

②反射攻击

反弹服务器Web服务器DNS服务器路由器网关第六页，共六十四页，2022年，8月28日3.2攻击的分类

③分布式拒绝服务攻击（DistributedDenialofService，DDoS）分布式拒绝服务攻击瞬间能产生极大流量，造成被攻击主机资源耗尽，从而无法提供服务；攻击包的源IP具有随机伪造性。黑客控制主机追踪调查难度很大。

第七页，共六十四页，2022年，8月28日3.2攻击的分类

2、按攻击技术分类①向服务器发送合法的服务请求，通过消耗系统资源，使服务超载，无法响应其他请求，进而导致服务器拒绝向合法用户提供服务。

带宽资源CPU资源内存磁盘、进程数、数据库连接数、文件句柄等。

第八页，共六十四页，2022年，8月28日3.2攻击的分类

2、按攻击技术分类②利用系统漏洞、软件缺陷或系统管理员的错误配置，向系统发送攻击数据包，导致系统的瘫痪或崩溃。攻击数据包瘫痪崩溃第九页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

1）PingofDeathC:\>ping-l65507078065536第十页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

2）SYNFloodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方第十一页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

2）SYNFloodSYNTimeout30秒-2分钟SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接第十二页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

2）SYNFloodTCPSYN分段SourceIP=IPxTCPSYN/ACK分段IPx不断发送大量伪造的TCPSYN分段最多可打开的半开连接数量超时等待时间等待期内的重试次数X半开连接缓冲区溢出第十三页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

2）SYNFlood第十四页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

2）SYNFloodSYNFlood攻击的检测监视系统的半开连接数。比如：使用Netstat命令就能看到系统SYN_RCVD的半连接数。半连接的数量>500或占总连接数的10%以上。

第十五页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

2）SYNFlood应对策略

①缩短SYNTimeout时间。②设置SYNCookie。就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。第十六页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

3）TCP连接耗尽攻击（connectionFlood攻击）

攻击者受害者大量tcpconnect这么多？不能建立正常的连接正常tcpconnect正常用户正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect攻击表象利用真实IP地址（代理服务器、广告页面）在服务器上建立大量连接服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应蠕虫传播过程中会出现大量源IP地址相同的包，对于TCP蠕虫则表现为大范围扫描行为消耗骨干设备的资源，如防火墙的连接数第十七页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

3）TCP连接耗尽攻击第十八页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

4）“泪滴”（Teardrop）攻击第十九页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

5）Land攻击

SYN发起方应答方第二十页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

6）UDPFlood——在UDP协议中，每一个应用程序进程在进行通信前，都需要向本地操作系统提出端口申请。intbind(SOCKETs,conststructsockaddr*name,intnamelen);SOCKETserSock;serSock=SOCKET(AF_INET,SOCK_DGRAM,0);my_addr.sin_family=AF_INET;my_addr.sin_port=htons(4000);my_addr.sin_addr.s_addr=inet_addr(“99”);

bind(serSock,(structsockaddr*)&my_addr,slen)第二十一页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

6）UDPFlood16位源端口号（可选）16位目的端口号（必须）16位UDP长度16位UDP校验和（可选）数据第二十二页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

7）HTTPGet攻击攻击者受害者(WebServer)正常HTTPGet请求不能建立正常的连接正常HTTPGetFlood正常用户正常HTTPGetFlood攻击表象利用代理服务器向受害者发起大量HTTPGet请求主要请求动态页面，涉及到数据库访问操作数据库负载以及数据库连接池负载极高，无法响应正常请求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者(DBServer)DB连接池用完啦！！DB连接池占用占用占用第二十三页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

8）DNS查询攻击（DNSQueryFlood）——DNS（domainnamesystem）的作用是把用户输入的域名转换成网络中计算机可识别的IP地址。

域名如：””DNSIP地址如：“40”第二十四页，共六十四页，2022年，8月28日3.3常见的拒绝服务攻击技术

8）DNS查询攻击（DNSQueryFlood）第二十五页，共六十四页，2022年，8月28日3.4分布式拒绝服务攻击

(DistributedDenialofService，DDoS)

每秒3,000个攻击包

每秒处理10,000个数据包

第二十六页，共六十四页，2022年，8月28日3.4分布式拒绝服务攻击

(DistributedDenialofService，DDoS)

黑客受攻击目标服务器PC导致服务器瘫痪，救命啊！①带宽资源耗尽型

smurf攻击第二十七页，共六十四页，2022年，8月28日3.4分布式拒绝服务攻击

(DistributedDenialofService，DDoS)

②计算资源耗尽型——利用服务器的处理缺陷，消耗目标主机的计算资源，例如CPU、内存等。

第二十八页，共六十四页，2022年，8月28日3.5拒绝服务攻击案例分析1）什么是smurf攻击？——smurf攻击是PingtoDeath攻击的一种改进

——smurf攻击PingWindows95

缓冲区第二十九页，共六十四页，2022年，8月28日3.5拒绝服务攻击案例分析1）什么是smurf攻击？——smurf攻击受攻击目标服务器导致服务器瘫痪，救命啊！PingPingPing洪水Ping攻击

黑客攻击的基本原则：——用最少的攻击资源换取被攻击者最大的消耗。

第三十页，共六十四页，2022年，8月28日3.5拒绝服务攻击案例分析1）什么是smurf攻击？——smurf攻击是PingtoDeath攻击的一种改进

——smurf攻击主机A主机B

ICMP请求报文（类型=8，回显请求）

ICMP应答报文（类型=0，回显应答）

第三十一页，共六十四页，2022年，8月28日3.5拒绝服务攻击案例分析1）什么是smurf攻击？——smurf攻击是PingtoDeath攻击的一种改进

——smurf攻击主机A主机B

伪装成主机C发送ICMP回显请求报文错误地向主机C发送ICMP回显应答报文主机C第三十二页，共六十四页，2022年，8月28日3.5拒绝服务攻击案例分析1）什么是smurf攻击？——smurf攻击被攻击主机攻击主机伪装C广播一个ICMP请求CICMP响应假定，局域网内有N台计算机，攻击者发送了LKB大小的一个ICMP报文。C将收到L×NKB字节的应答报文。当N=100万时，smurf攻击产生的应答数据报流量可以达到1GB。

第三十三页，共六十四页，2022年，8月28日3.5拒绝服务攻击案例分析2）smurf攻击程序实现——smurf攻击应用程序TCP/IP协议栈网卡A网卡B4应用程序数据第三十四页，共六十四页，2022年，8月28日3.5拒绝服务攻击案例分析2）smurf攻击程序实现——smurf攻击1）setsockopt函数解析用于任意类型、任意状态套接口的选项设置。intsetsockopt(SOCKETs,

intlevel,

intoptname,

constcharFAR*optval,

intoptlen

);s——需要改变选项设置的套接口；第三十五页，共六十四页，2022年，8月28日3.5拒绝服务攻击案例分析1）setsockopt函数解析用于任意类型、任意状态套接口的选项设置。intsetsockopt(SOCKETs,

intlevel,

intoptname,

constcharFAR*optval,

intoptlen

);level——指定控制套接字的层次。SOL_SOCKET：通用套接字选项；IPPROTO_IP：IP选项；IPPROTO_TCP：TCP选项。optname——套接字选项的名称第三十六页，共六十四页，2022年，8月28日1）setsockopt函数解析第三十七页，共六十四页，2022年，8月28日1）setsockopt函数解析第三十八页，共六十四页，2022年，8月28日3.5拒绝服务攻击案例分析1）setsockopt函数解析intsetsockopt(SOCKETs,

intlevel,

intoptname,

constcharFAR*optval,

intoptlen

);optval——一个指针。对于布尔类型的选项，如果选项设置为TRUE，optval指向非零整型数；如果选项设置为FALSE，optval指向一个等于零的整型数。这时，optlen

=sizeof(int)。对于其他选项，optval指向那个存储整型或结构的内存地址，optlen是整型、结构的长度。第三十九页，共六十四页，2022年，8月28日3.5拒绝服务攻击案例分析2）Sleep函数挂起当前正在执行的线程，等待一段时间后（单位是千分之一秒），例如：

Sleep(800);3）程序分析①文件头第四十页，共六十四页，2022年，8月28日3）程序分析

②结构及常量定义

第四十一页，共六十四页，2022年，8月28日3）程序分析

②结构及常量定义第四十二页，共六十四页，2022年，8月28日3）程序分析

③计算校验和子函数

第四十三页，共六十四页，2022年，8月28日④主程序命令格式：

FloodPing.exeFakeSourceIpDestinationIp[PacketSize]例如：

FloodPing.exe3556400

第四十四页，共六十四页，2022年，8月28日④主程序检查输入参数FloodPing.exeFakeSourceIpDestinationIp[PacketSize]例如：FloodPing.exe3556400argc=4，argv[1]=FakeSourceIpargv[2]=DestinationIp，argv[3]=PacketSize。

第四十五页，共六十四页，2022年，8月28日④主程序将命令行输入的参数保存在相应的变量中

第四十六页，共六十四页，2022年，8月28日④主程序调用注册函数，创建一个原始套接口

第四十七页，共六十四页，2022年，8月28日④主程序调用setsockopt函数，改变套接口选项设置

第四十八页，共六十四页，2022年，8月28日④主程序填写目标地址结构，构造IP报头、ICMP数据包，并放入缓冲区SendBuf

第四十九页，共六十四页，2022年，8月28日④主程序填写目标地址结构，构造IP报头、ICMP数据包，并放入缓冲区SendBuf

发送缓冲区ICMP报头ICMP数据区：E第五十页，共六十四页，2022年，8月28日④主程序计算数据包校验和，填写数据包总长度，使用无限循环，重复发送数据包第五十一页，共六十四页，2022年，8月28日——smurf攻击小结①程序只能运行在Windows2000下，WinXP不支持伪造IP地址发送数据包。②部分微软的系统可能不会回应发到广播地址的ICMP回显请求数据包。③在Windows2000下测试这个程序，用Sniffer可以观察到伪造的IP数据包发送情况。④了解如何使用原始套接口，如何构造和发送自己的IP数据包。

第五十二页，共六十四页，2022年，8月28日3.6拒绝服务攻击工具拒绝服务的特点：攻击往往与具体的平台、系统无关实现原理、技术简单，很难防范攻击可以实现工具化。常见的攻击工具：TrinooTFN/TFN2KStacheldrahtJolt2Trinity第五十三页，共六十四页，2022年，8月28日3.6拒绝服务攻击工具——Trinoo工具的结构基于UDPFlood攻击工具主控程序（master）攻击程序AgentUDP（27444）

master第五十四页，共六十四页，2022年，8月28日3.7拒绝服务攻击的检测和防御

1）拒绝服务攻击的检测①基于sniffer的流量检测

对称的TCP流报文的相关度流量统计特征IP历史数据

第五十五页，共六十四页，2022年，8月28日3.7拒绝服务攻击的检测和防御

1）拒绝服务攻击的检测②连接特征检测

——任何黑客的攻击都可以视为：一系列动作的组合，在网络上表现为一系列数据包的攻击组合。

报文的内容特征到达的流量特征使用的端口拒绝服务攻击特征库第五十六页，共六十四页，2022年，8月28日3.7拒绝服务攻击的检测和防御

1）拒绝服务攻击的检测③伪造数据包的检测——发动拒绝服务攻击的时候，黑客为了隐藏自己、摆脱跟踪、达到以小博大的效果，经常会伪造数据包。

TTL检测AB第五十七页，共六十四页，2022年，8月28日3.7拒绝服务攻击的检测和防