网络攻防技术 第8章 拒绝服务攻击

第八章拒绝服务攻击2023/6/16网络攻防技术2本章主要内容8.1

概述8.2

典型拒绝服务攻击8.3

分布式拒绝服务攻击8.4

拒绝服务攻击防御一、拒绝攻击服务案例1988年，Morris蠕虫爆发，其传播机制是此后僵尸网络构建方法的雏形2023/6/16网络攻防技术3一、拒绝攻击服务案例2000年，MafiaBoy使用TFN2K对Yahoo、Ebay、Amazon实施了DDOS攻击2023/6/16网络攻防技术4一、拒绝攻击服务案例2010年，Anonymous为支持Wikileak，对瑞士银行、Paypal等发动DDOS攻击2023/6/16网络攻防技术5一、拒绝攻击服务案例2016年，网络服务提供商Dyn的域名服务受到Mirai僵尸网络发动的分布式拒绝服务攻击，Netflix、Twitter等著名网站受到攻击影响而无法访问。此次攻击的峰值流量达到1.2Tbps2023/6/16网络攻防技术6二、拒绝服务攻击概念指攻击者通过攻击网络节点、网络链路或网络应用，致使合法用户无法得到正常服务响应的网络攻击行为广义而言，拒绝服务攻击可以泛指一切导致目标服务不可用的攻击手段，包括物理环境、硬件、软件等各个层面所实施的破坏。在网络安全相关研究中，论及拒绝服务攻击时多数指上述狭义的内涵2023/6/16网络攻防技术7三、拒绝服务攻击分类1、漏洞型拒绝服务攻击：指利用软件实现中存在的漏洞，致使服务崩溃或者系统异常。具体如:PingofDeath;TearofDrop…2023/6/16网络攻防技术8三、拒绝服务攻击分类2、重定向型拒绝服务攻击：指利用网络协议的设计缺陷，使目标传输的数据被重定向至错误的网络地址，从而无法进行正常的网络通信。具体如:基于ARP欺骗、基于DNS欺骗等2023/6/16网络攻防技术9三、拒绝服务攻击分类3、资源消耗型拒绝服务攻击：指通过大量的请求占用网络带宽或系统资源，从而导致服务可用性下降甚至丧失。具体如SYNFLOOD、UDPFLOOD、HTTPFLOOD等2023/6/16网络攻防技术102023/6/16网络攻防技术11本章主要内容8.1

概述8.2

典型拒绝服务攻击8.3

分布式拒绝服务攻击8.4

拒绝服务攻击防御一、传统拒绝服务攻击传统拒绝服务型攻击多数是一些较早时间出现的漏洞利用型拒绝服务攻击技术。虽然这些漏洞利用型攻击可以通过更新相关安全补丁即可防范，但导致攻击的漏洞有时会变换形式再度出现在其它系统或软件中，使得这些看似“古老”的攻击技术会如同“幽灵”般再次浮现。2023/6/16网络攻防技术12一、传统拒绝服务攻击1、PingofDeath：针对存在漏洞的Windows95、WinNT、Linux2.0.x等系统，通过向其发送超长的IP数据包导致目标系统拒绝服务。2023/6/16网络攻防技术13一、传统拒绝服务攻击2、TearDrop：利用IP包的分片重组在多个操作系统协议栈中实现时存在的漏洞，主要影响Windows3.1x，Windows95和WindowsNT，以及早于2.0.32和2.1.63版本的Linux操作系统。2023/6/16网络攻防技术14一、传统拒绝服务攻击3、Land攻击：发送一个伪造的TCPSYN报文，源地址和目的地址设置均为目标IP地址，源端口和目标端口设置为目标某个开放的TCP端口，可以导致目标主机死锁。Windows95、WindowsNT、FreeBSD2.2.5、SunOS4.1.3，甚至多款Cisco路由器在接收到此报文后，均会产生拒绝服务。2023/6/16网络攻防技术15二、洪泛攻击洪泛攻击的共同特征是发送大量的数据包，迫使目标服务消耗大量资源来处理无用请求。根据攻击发生的协议层次，洪泛攻击可以分为网络层洪泛、传输层洪泛和应用层洪泛等，具体的常见洪泛攻击包括TCP洪泛、UDP洪泛、HTTP洪泛。2023/6/16网络攻防技术16二、洪泛攻击1、TCP洪泛（TCPFlood）又称为SYN洪泛（SYNFlood），是一种通过发送大量伪造的TCP连接请求，致使目标服务TCP连接资源被耗尽的拒绝服务攻击。2023/6/16网络攻防技术17二、洪泛攻击攻击者向服务器某个开放端口发送大量SYN连接请求并忽略服务器SYN/ACK响应，导致服务器消耗可观的资源用于维护大量未完成的TCP半连接，最终使合法的服务请求者无法得到正常响应。2023/6/16网络攻防技术18二、洪泛攻击2、UDP洪泛（UDPFlood）是一种通过发送大量的UDP报文，消耗目标服务器带宽资源的一种拒绝服务攻击。2023/6/16网络攻防技术19二、洪泛攻击UDP洪泛是一类拒绝服务攻击的统称，最早出现的UDP洪泛攻击是前文提到的Echo/Chargen攻击，后文将讨论的目前广泛流行的反射型分布式拒绝服务攻击实际上也多为UDP洪泛攻击。2023/6/16网络攻防技术20二、洪泛攻击3、HTTP洪泛（HTTPFlood）利用大量看似合法的HTTPGET或POST请求消耗Web服务器资源，最终导致其无法响应真正合法的请求。2023/6/16网络攻防技术21二、洪泛攻击HTTP洪泛并不以流量“取胜”。攻击者通常会对针对性地对目标Web服务器进行分析，选择可以更多消耗目标服务器资源的Web请求实施洪泛。2023/6/16网络攻防技术22三、低速率拒绝服务攻击低速率拒绝服务（LDoS,Low-rateDenial-of-Service）攻击，是利用网络协议或应用服务协议中的自适应机制存在的安全问题，通过周期性地发送高速脉冲攻击数据包，达到降低被攻击主机服务性能的目的。2023/6/16网络攻防技术23三、低速率拒绝服务攻击1、TCP拥塞控制-RTO发送端为发送的每个报文设置一个定时器，若收到报文的确认之前定时器超时将重新发送该报文，这里设置的定时器就是RTO2023/6/16网络攻防技术24三、低速率拒绝服务攻击1、TCP拥塞控制-AIMD发送端在收到3个重复的ACK数据包时就开启重传，启动AIMD算法调整拥塞窗口大小。2023/6/16网络攻防技术25三、低速率拒绝服务攻击2023/6/16网络攻防技术26在多数TCP协议实现中，拥塞控制综合使用多种机制来调整源端的发送速率在链路轻度拥塞的情况下，表现为发送端重复收到3个相同的确认报文，主要是采用AIMD策略实现拥塞控制而当网络重度拥塞的时候，表现为在超时重传时间内没有收到确认，此时使用RTO机制三、低速率拒绝服务攻击2、低速率拒绝服务攻击原理

LDoS攻击利用TCP拥塞控制机制，故意制造网络拥塞状况，使拥塞控制一直处于调整状态，发送端的发送速率会迅速变小，导致被攻击主机的服务性能显著降低2023/6/16网络攻防技术272023/6/16网络攻防技术28本章主要内容8.1

概述8.2

典型拒绝服务攻击8.3

分布式拒绝服务攻击8.4

拒绝服务攻击防御分布式拒绝服务攻击分布式拒绝服务攻击指采用协作的方式，利用网络中位置分布的大量主机向目标发起的拒绝服务攻击。按照协同方式的不同分为：僵尸网络的分布式拒绝服务攻击反射型分布式拒绝服务攻击2023/6/16网络攻防技术29一、基于僵尸网络的DDoS1、僵尸网络基本概念僵尸网络：是攻击者出于恶意目的，传播僵尸程序控制大量主机，并通过一对多的命令与控制信道所组成的网络。僵尸主机：又称为傀儡机，指被攻击者控制，接受并执行攻击者指令的计算机，往往被控制者用来发起大规模的网络攻击，也就是安装了僵尸程序的计算机。2023/6/16网络攻防技术30一、基于僵尸网络的DDoS1、僵尸网络基本概念僵尸程序：又称为傀儡程序，由英文单词Robot派生而来，通常指秘密运行在被他人控制的计算机中，可以接收预定义命令和执行预定义功能的程序。命令控制机制：指攻击者用来操纵僵尸网络的命令语言及控制协议。命令控制机制是僵尸网络区别于其它恶意代码形态最为本质的属性。2023/6/16网络攻防技术31一、基于僵尸网络的DDoS2、集中式命令控制机制僵尸节点通过连接到一个或多个控制服务器来获取控制信息或命令。基于IRC协议的僵尸网络和基于HTTP协议的僵尸网络都属于集中式命令控制机制的僵尸网络。2023/6/16网络攻防技术32一、基于僵尸网络的DDoS3、分布式命令控制机制在使用分布式命令控制机制时，攻击者通常会任意地连接到某个僵尸节点，在该节点上发布命令控制信息，命令会采用Push或Pull的方式在整个僵尸网络中传递。2023/6/16网络攻防技术33一、基于僵尸网络的DDoS4、利用僵尸网络发动拒绝服务攻击2023/6/16网络攻防技术34一、基于僵尸网络的DDoS4、利用僵尸网络发动拒绝服务攻击攻击者借助僵尸网络发动DDoS攻击通常需要经过以下几个阶段：构建僵尸网络收集目标信息实施DDoS攻击2023/6/16网络攻防技术35二、反射型DDoS反射型分布式拒绝服务攻击是从基于僵尸网络的分布式拒绝服务攻击衍生而来。在RDDoS攻击中，攻击者利用反射器将大量的响应包汇集到受害者主机，导致拒绝服务。2023/6/16网络攻防技术36二、反射型DDoS1、DNS反射攻击通过向DNS服务器发送伪造源地址的查询请求将应答流量导向攻击目标，亦称为DNS放大攻击。利用LDAP服务器可将攻击流量平均放大46倍，最高可放大55倍。2023/6/16网络攻防技术37二、反射型DDoS2、LDAP放大攻击通过向LDAP（LightweightDirectoryAccessProtocol，轻量目录访问协议）服务器发送伪造源地址的查询请求来将应答流量导向攻击目标。利用LDAP服务器可将攻击流量平均放大46倍，最高可放大55倍。2023/6/16网络攻防技术38二、反射型DDoS2、NTP放大攻击通过向NTP（NetworkTimeProtocol，网络时间协议）服务器发送伪造源地址的查询请求将应答流量导向攻击目标。2023/6/16网络攻防技术392023/6/16网络攻防技术40本章主要内容8.1

概述8.2

典型拒绝服务攻击8.3

分布式拒绝服务攻击8.4

拒绝服务攻击防御拒绝服务攻击防御从部署位置的角度可以分为源端防御、目标端防御、中间网络防御和混合防御2023/6/16网络攻防技术41拒绝服务攻击防御从技术的角度，拒绝服务攻击的防御可以分为预防、检测、响应与容忍：预防着眼于在攻击发生前消除拒绝服务攻击的可能性检测是检测拒绝服务攻击的发生，区分攻击流量和正常流量，为后续的响应提供依据响应关注于在拒绝服务攻击发生后降低乃至消除攻击的危害与影响容忍致力于在拒绝服务攻击发生后保持服务的可用性2023/6/16网络攻防技术42一、预防拒绝服务攻击的预防是在攻击发生前阻止攻击，具体措施包括：抑制僵尸网络规模过滤伪造源地址报文减少可用反射/放大器2023/6/16网络攻防技术43二、检测拒绝服务攻击检测是在攻击过程发现攻击，并区分攻击流量与正常流量，具体方法包括：特征检测：通过分析得到攻击行为区别于其它正常用户访问行为的唯一特征，并据此建立已知攻击的特征库异常检测：攻击会导致当前的网络状态与正常网络状态模型产生显著的不同。异常检测通过对比两者检测出攻击的发生2023/6/16网络攻防技术44三、响应拒绝服务攻击响应是指在拒绝服务攻击发生后降低乃至消除攻击的危害与影响，目前的主要方法称为：“流量清洗”：对攻击流量进行过滤，设法将恶意的网络流量剔除掉，只将合法的网络流量交付服务器2023/6/16网络攻防技术45四、容忍拒绝服务攻击容忍是指通过提高处理请求的能力来消除攻击的影响：CDN（内容分发网络）AnyCast（任播）2023/6/16网络攻防技术46四、容忍1、CDN在互联网范围内广泛设置多