全国银行系统计算机安全信息交流会分布式拒绝服务攻击（DDoS）研讨

全国银行系统计算机平安信息交流会

分布式拒绝效劳攻击〔DDoS〕研讨目录DDoS震惊世界近期黑客事件回忆剖析DDoS攻击抵御DoS/DDoSDDoS攻击展望

分布式拒绝效劳攻击(DDoS)

震惊世界

二月份，Yahoo!Amazon,eBay,CNN网站接连遭到神秘黑客攻击。受害公司在３天内的损失高达１０亿多美元市场价值，营销和广告收入损失１亿美元以上。美国：克林顿召开网络平安会议，FBI倾力捉拿原凶。中国：媒体广泛报道，平安热潮乍起。中国反对互联网上的不良行为。DDoS震惊世界近期黑客事件回忆RSA威风扫地微软未能幸免日本政府网站屡遭入侵?黑客帝国?vs黑客攻击网络平安人员炙手可热剖析DDoS攻击什么是DoS攻击?DenialofService(DoS)拒绝效劳攻击,攻击者利用大量的数据包“淹没〞目标主机，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。(电子邮件)DistributedDenialofService(DDoS)分布式拒绝效劳攻击,攻击者利用因特网上成百上千的“Zombie〞(僵尸)：被利用主机，对攻击目标发动威力巨大的拒绝效劳攻击。攻击者的身份很难确认。“三次握手〞：(SYNrequest;SYN/ACK;ACK)用户传送信息要求效劳器予以确认,效劳器接收到客户请求后回复用户，用户被确认后，建立连接，登录效劳器。正常用户登录“拒绝效劳〞的攻击方式为：用户传送众多要求确认的信息到效劳器，使效劳器里充满着这种无用的信息。所有的信息都有需回复的虚假地址，以至于当效劳器试图回传时，却无法找到用户。效劳器于是暂时等候，有时超过一分钟，然后再切断连接。效劳器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致效劳器处于瘫痪状态“拒绝效劳〞〔DoS〕的攻击方式DDoS攻击的动机发动攻击的动机:引起业界注意

恶意行为(不同见解；破坏墙壁)好奇心(测试下载软件)长远看,DDoS类攻击使用因素:商业竞争不满的雇员/客户

金钱利欲(i.e.控制股市)政治动机Mixter对DDoS的看法：DDoS不是黑客工具。CapacityManagement〔性能测试〕Internet本身平安问题： 地址欺骗，SYNflooding,IPstackattackswithbad fragmentation,thestreamvulnerability,本地验证，允 许connection-less和statelessStreamAttack ACK/ACK,SYNflagsetsMixter论DDoSSmurf攻击Smurf是一种较早的DDoS攻击。它的原理如下：攻击者冒用攻击目标主机的IP地址向一个网络的播送地址发送伪造ICMP包，例如从目标主机()到另一个网络的播送地址(55),被利用网络的每一个主机(假设有100台机器)都向目标主机响应.这样一来就放大了攻击者的带宽，给目标主机带来威胁。Smurf主要是没有正确配置路由器和防火墙。没有必要在远程通信使用播送ICMP包。播送ICMPpings只在LAN中用来确认哪个IP地址被使用等等。在路由器或防火墙，应该屏蔽播送通信。如果想确认网络是否易遭到SMURF攻击，请访问以下网站，输入你的网络地址，你将很快收到结果。:///index.html:///早期的DDoSSYNFlood目标主机被TCP连接请求淹没。请求连接的IP源地址和TCP端口随机任意，迫使目标主机保持等候，耗用资源。通常目标主机〔HTTP和SMTP主机〕效劳进程缓慢，甚至宕机。路由器“OutofMemory〞。属于第二级攻击。早期的DDoSDDoS的种类

TrinooTFN(tribalfloodnetwork)TFN2K(tribalfloodnetwork2K)Stacheldraht(barbedwire)NEWattacktools-announced2/15/00FapiShaftTrank分布式拒绝效劳攻击工具--Trinoo

Trinoo守护程序的二进制代码包最初是在一些Solaris2.x主机中发现的，这些主机是被攻击者利用RPC效劳平安漏洞“statd〞、“cmsd〞和"ttdbserverd"入侵的。

分布式拒绝效劳攻击工具--TribeFloodNetwork

德国著名黑客Mixter(年仅20岁)编写的分布式拒绝效劳攻击工具——“TribeFloodNetwork〔TFN〕〞TFN与另一个分布式拒绝效劳攻击工具"Trinoo"相似，都在互联网的大量Unix系统中开发和测试。分布式拒绝效劳攻击工具--Stacheldraht

“Stacheldraht〞,德语意为“barbedwire“(带刺的铁丝网),结合了分布式拒绝效劳攻击工具〞Trinoo〞与“TFN〞早期版本的功能，并增加了加密攻击者、stacheldraht操纵器和可自动升级的代理程序间网络通讯的功能。

分布式拒绝效劳攻击工具--TFN2KTFN2K是由德国著名黑客Mixter编写的同类攻击工具TFN的后续版本。DDoS的种类DDoS组成局部所有DDoS攻击均由三局部组成:1客户端程序：ClientProgram〔黑客〕2主控端：MasterServer通常安装在ISP或大学网络 -带宽保证 -网络性能3“僵尸〞：Agent(Zombie)Program4在TFN中，Master与Zombie间的通讯只是ICMP_ECHOREPLY数据包，没有TCP/UDP通信明尼苏达大学案1999年8月17日Trinoo网络(227hosts,114Internet2)CERT讨论稿1999年11月2-4日ISS,Cisco,DavidDittrich平安建议FOR 管理层 系统管理员 ISPs 紧急事件响应小组(IRTs)第一次大规模攻击MasterMasterMasterBroadcastBroadcastBroadcastBroadcastBroadcastBroadcastTargetHackerMasterMasterZombieZombieZombieZombieZombieZombie27665/TCP27444/UDP31335/UDPTrin00/TFN具体攻击过程DDoS攻击过程扫描程序非安全主机黑客

黑客利用工具扫描Internet，发现存在漏洞的主机1Internet(Wu-ftpd;RPCservice)黑客Zombies

黑客在非平安主机上安装类似“后门〞的代理程序2DDoSAttackIllustratedInternet黑客

黑客选择主控主机，用来向“僵尸〞发送命令3Zombies主控主机InternetDDoSAttackIllustratedHacker

通过客户端程序，黑客发送命令给主控端，并通过主控主机启动“僵尸〞程序对目标系统发动攻击4ZombiesTargetedSystemMasterServerInternetDDoSAttackIllustrated目标系统SystemHacker

主控端向“僵尸〞发送攻击信号，对目标发动攻击5MasterServerInternetZombiesDDoSAttackIllustrated目标黑客目标主机被“淹没〞，无法提供正常效劳，甚至系统崩溃6主控主机合法用户服务请求被拒绝Internet僵尸DDoSAttackIllustratedDDoS攻击的系统DDoS可以针对所有系统进行攻击“僵尸〞程序LinuxSolaris2.xWindowsNT针对Win32系统的DDoS Troj_Trinoo如何防范DoS/DDoS?DoS/DDoS攻击是否对机密数据产生威胁？DoS/DDoS攻击通常不会对敏感数据产生直接威胁。攻击者主要目的是让被攻击系统停止正常效劳，而不是窃取资料。但是，DoS/DDoS经常被利用来掩盖真正的入侵攻击。另外，网络管理人员在对付拒绝效劳攻击时，往往修改系统或网络设备的一些设置，从而留下其他可能被黑客利用的漏洞，例如停止或重新启动某种效劳，就可能产生问题。修改网络配置时，一定要清楚可能造成的后果。能否抓到黑客，如何处分DoS/DDoS攻击者?多数攻击者没有深厚的技术能力，但是下载的工具却可以非常优秀，通常能够巧妙的隐藏攻击者的身份。只有通过大量的日志审计或其他记录信息分析，或者在IRC中收集到一些自吹自擂，发泄的信息，有可能发现攻击者的踪迹。加强立法加强管理减少危险总那么严格的网络平安政策，限定进出信息联系网络设备商，操作系统商，安装最新补丁联系ISP，实施防护监测系统登录数据，网络信息流路由器，防火墙添加过滤规那么定期进行漏洞扫描，确保系统没有“僵尸〞程序尽早实施实时监控系统实时入侵探测和响应工具收集法律资料起诉黑客1使用ipverifyunicastreverse-path命令 对所有数据包，在CEF(CiscoExpressForwarding)表中没有源IP地址路由，Dropit!.用于防止SMURF和其他基于IP地址伪装的攻击。2使用访问控制列表〔ACL〕过滤RFC1918列出的地址。 interfacexy ipaccess-group101in access-list101denyip55any access-list101denyip55any access-list101denyip55any access-list101permitipanyany3参照RFC2267，使用ACL过滤进，出报文。(ingress/egressfiltering)ISP边界路由只接受源地址属于客户网络的通信；客户网络只接受源地址未被过滤的通信。4使用CAR〔controlaccessrate〕限制ICMP数据包5配置SYN数据包流量，安装IP过滤工具包Cisco路由器配置的建议攻击者在发动DDoS攻击之前必须解析目标系统的hostname(gethostbyname())。BIND域名效劳器可以记录这些请求。你可以通过发送“WINCH〞或在BIND配置中启动“解析请求日志〞来跟踪这些活动。通过反向域名解析PTR记录分析，发现有主机大量请求自己网络机器的域名解析，就应该疑心有攻击者试图利用你的系统和网络来进行DDoS攻击。发现网络带宽的使用大大超过平日正常水平。通过和正常情况下网络流量，网络源地址的分析，发现有大量数据包来自未知IP地址时，应该通过在主干路由器上设置ACL规那么，来过滤数据包，保证ingress的平安。检测超大ICMP和UDP包。Stateful的UDP对话通常使用小UDP包，PAYLOAD不大于10字节。正常的ICMP信息在64-128字节。如果这些包远远超过这个量级，就应该疑心包含控制数据，通常是DDoS代理的一些内容。一旦发现控制数据，就可以判定一个DDoS代理的地址。监测网络系统TCP包不是正常连接的一局部。最隐蔽的DDoS工具使用随机的协议。应用基于StatefulPacketFiltering的防火墙可以发现这样的数据包。另外，如果连接请求的目标端口高于1024，而系统没有运行于1024以上的应用，那么应该强烈疑心。监测Packetpayload是否仅仅包含纯字符〔BASE64编码技术〕。因为目前的DDoS工具大都应用BASE64编码技术来发送控制信息，通过监控该特征，可以判定攻击。监测网络系统用专业工具如ISSRealSecure，TripWire建立一致性检查镜象系统，定期检测后门程序用漏洞扫描工具定期检查网络漏洞运行基于网络/主机的IDS监测漏洞和入侵利用各种工具，保证能快速，准确的捕获，分析和取证攻击建立紧急事件响应小组和网络平安效劳商建立业务联系长远规划规划攻击响应方案向网络平安专家咨询，确定网络平安状况资深网络平安专业人员设计灵活强大的e-Business构架，使其免于受到DDoS攻击帮助寻找或建立事故响应队伍建立紧急事件响应方案对关键系统进行漏洞评估，判定危险等级使用自动化系统和网络扫描工具安装入侵探测和响应系统最大限度减低攻击影响

滤掉进入的ICMP数据包协同ISP/主机托管商(HostingProvider)工作安装入侵探测和响应系统对关键系统进行平安审计或漏洞评估建立紧急事件响应方案安装适当的升级软件和补丁来降低危险紧急事件响应方案指南如果受到攻击:通知事故响应队伍联系ISP告知Safe-link监控遭受攻击的系统使用基于主机和基于网络的入侵探测系统〔IDS〕启动防火墙的日志收集法律行动资料ISS提供解决方案平安政策/解决方案支持SAFEsuiteDecisions定制网络平安效劳(ManagedSecurityService)ePatrolMSS漏洞评估SystemScanner,InternetScanner,DatabaseScanner入侵探测和响应RealSecure紧急响应效劳(ERS)网络