拒绝服务攻击

拒绝服务攻击第1页，共64页，2023年，2月20日，星期一3.1拒绝服务攻击的基本概念

1、定义

拒绝服务攻击（DenialofService，DoS

）攻击是通过向服务器、主机发送大量的服务请求，用大量的数据包“淹没”目标主机，迫使目标主机疲于处理这些垃圾数据，而无法向合法用户提供正常服务的一种攻击。第2页，共64页，2023年，2月20日，星期一3.1拒绝服务攻击的基本概念

2、特点和危害

拒绝服务攻击是非法用户向目标主机提供的合法服务请求，因此，它具有：易于实施难于防范破坏性强等特点

第3页，共64页，2023年，2月20日，星期一3.1拒绝服务攻击的基本概念

2、特点和危害

2007年4月，“联众”被DDoS连续攻击了一个月，损失难于估量；2008年9月，开心网遭受DDoS攻击；2009年5月，易名中国被DDoS攻击，上万个网站无法打开；2009年下半年，中国电信多个省份遭受DDoS攻击，断网；2009年12月，彩票直通车遭受DDoS连续攻击。第4页，共64页，2023年，2月20日，星期一3.2攻击的分类

1、按攻击的方式分类直接攻击反射攻击（中间人攻击）分布式拒绝服务攻击①直接攻击带宽资源CPU资源内存磁盘、进程数、数据库连接数、文件句柄等。

第5页，共64页，2023年，2月20日，星期一3.2攻击的分类

①直接攻击PingofDeathSYNFloodTCP连接耗尽攻击UDP风暴攻击等。

②反射攻击

反弹服务器Web服务器DNS服务器路由器网关第6页，共64页，2023年，2月20日，星期一3.2攻击的分类

③分布式拒绝服务攻击（DistributedDenialofService，DDoS）分布式拒绝服务攻击瞬间能产生极大流量，造成被攻击主机资源耗尽，从而无法提供服务；攻击包的源IP具有随机伪造性。黑客控制主机追踪调查难度很大。

第7页，共64页，2023年，2月20日，星期一3.2攻击的分类

2、按攻击技术分类①向服务器发送合法的服务请求，通过消耗系统资源，使服务超载，无法响应其他请求，进而导致服务器拒绝向合法用户提供服务。

带宽资源CPU资源内存磁盘、进程数、数据库连接数、文件句柄等。

第8页，共64页，2023年，2月20日，星期一3.2攻击的分类

2、按攻击技术分类②利用系统漏洞、软件缺陷或系统管理员的错误配置，向系统发送攻击数据包，导致系统的瘫痪或崩溃。攻击数据包瘫痪崩溃第9页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

1）PingofDeathC:\>ping-l65507078065536第10页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

2）SYNFloodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方第11页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

2）SYNFloodSYNTimeout30秒-2分钟SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接第12页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

2）SYNFloodTCPSYN分段SourceIP=IPxTCPSYN/ACK分段IPx不断发送大量伪造的TCPSYN分段最多可打开的半开连接数量超时等待时间等待期内的重试次数X半开连接缓冲区溢出第13页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

2）SYNFlood第14页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

2）SYNFloodSYNFlood攻击的检测监视系统的半开连接数。比如：使用Netstat命令就能看到系统SYN_RCVD的半连接数。半连接的数量>500或占总连接数的10%以上。

第15页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

2）SYNFlood应对策略

①缩短SYNTimeout时间。②设置SYNCookie。就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。第16页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

3）TCP连接耗尽攻击（connectionFlood攻击）

攻击者受害者大量tcpconnect这么多？不能建立正常的连接正常tcpconnect正常用户正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect攻击表象利用真实IP地址（代理服务器、广告页面）在服务器上建立大量连接服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应蠕虫传播过程中会出现大量源IP地址相同的包，对于TCP蠕虫则表现为大范围扫描行为消耗骨干设备的资源，如防火墙的连接数第17页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

3）TCP连接耗尽攻击第18页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

4）“泪滴”（Teardrop）攻击第19页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

5）Land攻击

SYN发起方应答方第20页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

6）UDPFlood——在UDP协议中，每一个应用程序进程在进行通信前，都需要向本地操作系统提出端口申请。intbind(SOCKETs,conststructsockaddr*name,intnamelen);SOCKETserSock;serSock=SOCKET(AF_INET,SOCK_DGRAM,0);my_addr.sin_family=AF_INET;my_addr.sin_port=htons(4000);my_addr.sin_addr.s_addr=inet_addr(“99”);

bind(serSock,(structsockaddr*)&my_addr,slen)第21页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

6）UDPFlood16位源端口号（可选）16位目的端口号（必须）16位UDP长度16位UDP校验和（可选）数据第22页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

7）HTTPGet攻击攻击者受害者(WebServer)正常HTTPGet请求不能建立正常的连接正常HTTPGetFlood正常用户正常HTTPGetFlood攻击表象利用代理服务器向受害者发起大量HTTPGet请求主要请求动态页面，涉及到数据库访问操作数据库负载以及数据库连接池负载极高，无法响应正常请求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者(DBServer)DB连接池用完啦！！DB连接池占用占用占用第23页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

8）DNS查询攻击（DNSQueryFlood）——DNS（domainnamesystem）的作用是把用户输入的域名转换成网络中计算机可识别的IP地址。

域名如：””DNSIP地址如：“40”第24页，共64页，2023年，2月20日，星期一3.3常见的拒绝服务攻击技术

8）DNS查询攻击（DNSQueryFlood）第25页，共64页，2023年，2月20日，星期一3.4分布式拒绝服务攻击

(DistributedDenialofService，DDoS)

每秒3,000个攻击包

每秒处理10,000个数据包

第26页，共64页，2023年，2月20日，星期一3.4分布式拒绝服务攻击

(DistributedDenialofService，DDoS)

黑客受攻击目标服务器PC导致服务器瘫痪，救命啊！①带宽资源耗尽型

smurf攻击第27页，共64页，2023年，2月20日，星期一3.4分布式拒绝服务攻击

(DistributedDenialofService，DDoS)

②计算资源耗尽型——利用服务器的处理缺陷，消耗目标主机的计算资源，例如CPU、内存等。

第28页，共64页，2023年，2月20日，星期一3.5拒绝服务攻击案例分析1）什么是smurf攻击？——smurf攻击是PingtoDeath攻击的一种改进

——smurf攻击PingWindows95

缓冲区第29页，共64页，2023年，2月20日，星期一3.5拒绝服务攻击案例分析1）什么是smurf攻击？——smurf攻击受攻击目标服务器导致服务器瘫痪，救命啊！PingPingPing洪水Ping攻击

黑客攻击的基本原则：——用最少的攻击资源换取被攻击者最大的消耗。

第30页，共64页，2023年，2月20日，星期一3.5拒绝服务攻击案例分析1）什么是smurf攻击？——smurf攻击是PingtoDeath攻击的一种改进

——smurf攻击主机A主机B

ICMP请求报文（类型=8，回显请求）

ICMP应答报文（类型=0，回显应答）

第31页，共64页，2023年，2月20日，星期一3.5拒绝服务攻击案例分析1）什么是smurf攻击？——smurf攻击是PingtoDeath攻击的一种改进

——smurf攻击主机A主机B

伪装成主机C发送ICMP回显请求报文错误地向主机C发送ICMP回显应答报文主机C第32页，共64页，2023年，2月20日，星期一3.5拒绝服务攻击案例分析1）什么是smurf攻击？——smurf攻击被攻击主机攻击主机伪装C广播一个ICMP请求CICMP响应假定，局域网内有N台计算机，攻击者发送了LKB大小的一个ICMP报文。C将收到L×NKB字节的应答报文。当N=100万时，smurf攻击产生的应答数据报流量可以达到1GB。

第33页，共64页，2023年，2月20日，星期一3.5拒绝服务攻击案例分析2）smurf攻击程序实现——smurf攻击应用程序TCP/IP协议栈网卡A网卡B4应用程序数据第34页，共64页，2023年，2月20日，星期一3.5拒绝服务攻击案例分析2）smurf攻击程序实现——smurf攻击1）setsockopt函数解析用于任意类型、任意状态套接口的选项设置。intsetsockopt(SOCKETs,

intlevel,

intoptname,

constcharFAR*optval,

intoptlen

);s——需要改变选项设置的套接口；第35页，共64页，2023年，2月20日，星期一3.5拒绝服务攻击案例分析1）setsockopt函数解析用于任意类型、任意状态套接口的选项设置。intsetsockopt(SOCKETs,

intlevel,

intoptname,

constcharFAR*optval,

intoptlen

);level——指定控制套接字的层次。SOL_SOCKET：通用套接字选项；IPPROTO_IP：IP选项；IPPROTO_TCP：TCP选项。optname——套接字选项的名称第36页，共64页，2023年，2月20日，星期一1）setsockopt函数解析第37页，共64页，2023年，2月20日，星期一1）setsockopt函数解析第38页，共64页，2023年，2月20日，星期一3.5拒绝服务攻击案例分析1）setsockopt函数解析intsetsockopt(SOCKETs,

intlevel,

intoptname,

constcharFAR*optval,

intoptlen

);optval——一个指针。对于布尔类型的选项，如果选项设置为TRUE，optval指向非零整型数；如果选项设置为FALSE，optval指向一个等于零的整型数。这时，optlen

=sizeof(int)。对于其他选项，optval指向那个存储整型或结构的内存地址，optlen是整型、结构的长度。第39页，共64页，2023年，2月20日，星期一3.5拒绝服务攻击案例分析2）Sleep函数挂起当前正在执行的线程，等待一段时间后（单位是千分之一秒），例如：

Sleep(800);3）程序分析①文件头第40页，共64页，2023年，2月20日，星期一3）程序分析

②结构及常量定义

第41页，共64页，2023年，2月20日，星期一3）程序分析

②结构及常量定义第42页，共64页，2023年，2月20日，星期一3）程序分析

③计算校验和子函数

第43页，共64页，2023年，2月20日，星期一④主程序命令格式：

FloodPing.exeFakeSourceIpDestinationIp[PacketSize]例如：

FloodPing.exe3556400第44页，共64页，2023年，2月20日，星期一④主程序检查输入参数FloodPing.exeFakeSourceIpDestinationIp[PacketSize]例如：FloodPing.exe3556400argc=4，argv[1]=FakeSourceIpargv[2]=DestinationIp，argv[3]=PacketSize。

第45页，共64页，2023年，2月20日，星期一④主程序将命令行输入的参数保存在相应的变量中

第46页，共64页，2023年，2月20日，星期一④主程序调用注册函数，创建一个原始套接口

第47页，共64页，2023年，2月20日，星期一④主程序调用setsockopt函数，改变套接口选项设置

第48页，共64页，2023年，2月20日，星期一④主程序填写目标地址结构，构造IP报头、ICMP数据包，并放入缓冲区SendBuf

第49页，共64页，2023年，2月20日，星期一④主程序填写目标地址结构，构造IP报头、ICMP数据包，并放入缓冲区SendBuf

发送缓冲区ICMP报头ICMP数据区：E第50页，共64页，2023年，2月20日，星期一④主程序计算数据包校验和，填写数据包总长度，使用无限循环，重复发送数据包第51页，共64页，2023年，2月20日，星期一——smurf攻击小结①程序只能运行在Windows2000下，WinXP不支持伪造IP地址发送数据包。②部分微软的系统可能不会回应发到广播地址的ICMP回显请求数据包。③在Windows2000下测试这个程序，用Sniffer可以观察到伪造的IP数据包发送情况。④了解如何使用原始套接口，如何构造和发送自己的IP数据包。

第52页，共64页，2023年，2月20日，星期一3.6拒绝服务攻击工具拒绝服务的特点：攻击往往与具体的平台、系统无关实现原理、技术简单，很难防范攻击可以实现工具化。常见的攻击工具：TrinooTFN/TFN2KStacheldrahtJolt2Trinity第53页，共64页，2023年，2月20日，星期一3.6拒绝服务攻击工具——Trinoo工具的结构基于UDPFlood攻击工具主控程序（master）攻击程序AgentUDP（27444）

master第54页，共64页，2023年，2月20日，星期一3.7拒绝服务攻击的检测和防御

1）拒绝服务攻击的检测①基于sniffer的流量检测

对称的TCP流报文的相关度流量统计特征IP历史数据

第55页，共64页，2023年，2月20日，星期一3.7拒绝服务攻击的检测和防御

1）拒绝服务攻击的检测②连接特征检测

——任何黑客的攻击都可以视为：一系列动作的组合，在网络上表现为一系列数据包的攻击组合。

报文的内容特征到达的流量特征使用的端口拒绝服务攻击特征库第56页，共64页，2023年，2月20日，星期一3.7拒绝服务攻击的检测和防御

1）拒绝服务攻击的检测③伪造数据包的检测——发动拒绝服务攻击的时候，黑客为了隐藏自己、摆脱跟踪、达到以小博大的效果，经常会伪造数据包。

TTL检测AB第57页，共64页，2023年，2月20日，星期一3.7拒绝服务攻击的检测和