拒絕服務攻擊

1、拒絕服務攻擊組員：徐姚 徐佳豪 徐書軍 夏偉恩 胡炯炯 姚欣 夏偉成一、 了解Dos攻擊(1) DOS攻擊概述DoS是Denial of Service的簡稱，即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。DoS攻擊是指故意的攻擊網絡協(xié)議實現(xiàn)的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源，目的是讓目標計算機或網絡無法提供正常的服務或資源訪問，使目標系統(tǒng)服務系統(tǒng)停止響應甚至崩潰，而在此攻擊中并不包括侵入目標服務器或目標網絡設備。這些服務資源包括網絡帶寬，文件系統(tǒng)空間容量，開放的進程或者允許的連接

2、。這種攻擊會導致資源的匱乏，無論計算機的處理速度多快、內存容量多大、網絡帶寬的速度多快都無法避免這種攻擊帶來的后果。(2) 概念理解DoS到底是什么？接觸PC機較早的同志會直接想到微軟磁盤操作系統(tǒng)的DOS-DiskOperationSystem？不，此DoS非彼DOS也，DoS即DenialOfService，拒絕服務的縮寫。 作個形象的比喻來理解DoS。街頭的餐館是為大眾提供餐飲服務，如果一群地痞流氓要DoS餐館的話，手段會很多，比如霸占著餐桌不結賬，堵住餐館的大門不讓路，騷擾餐館的服務員或廚子不能干活，甚至更惡劣相應的計算機和網絡系統(tǒng)則是為internet用戶提供互聯(lián)網資源的，如

3、果有黑客要進行DoS攻擊的話，可以想象同樣有好多手段！今天最常見的DoS攻擊有對計算機網絡的帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡，使得所有可用網絡資源都被消耗殆盡，最后導致合法的用戶請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。(3) 表現(xiàn)方式無論是DoS攻擊還是DDoS攻擊，簡單的看，都只是一種破壞網絡服務的黑客方式，雖然具體的實現(xiàn)方式千變萬化，但都有一個共同點，就是其根本目的是使受害主機或網絡無法及時接收并處理外界請求，或無法及時回應外界請求。其具體表現(xiàn)方式有以下幾種： 1，制造

4、大流量無用數(shù)據，造成通往被攻擊主機的網絡擁塞，使被攻擊主機無法正常和外界通信。 2，利用被攻擊主機提供服務或傳輸協(xié)議上處理重復連接的缺陷，反復高頻的發(fā)出攻擊性的重復服務請求，使被攻擊主機無法及時處理其它正常的請求。 3，利用被攻擊主機所提供服務程序或傳輸協(xié)議的本身實現(xiàn)缺陷，反復發(fā)送畸形的攻擊數(shù)據引發(fā)系統(tǒng)錯誤的分配大量系統(tǒng)資源，使主機處于掛起狀態(tài)甚至死機。(4) 攻擊流程要理解dos攻擊，首先要理解TCP連接的三次握手過程(Three-way hand shake)。在TCP/IP協(xié)議中，TCP協(xié)議提供可靠的連接服務，采用三次握手建立一個連接。1 第一次握手:建立連

5、接時，客戶端發(fā)送SYN包(SYN=i)到服務器，并進入SYN SEND狀態(tài)，等待服務器確認;第二次握手:服務器收到SYN包，必須確認客戶的SYN (ACK=i+1 )，同時自己也發(fā)送一個SYN包(SYN=j)即SYN+ACK包，此時服務器進入SYN_RECV狀態(tài);1 第三次握手:客戶端收到服務器的SYN+ACK包，向服務器發(fā)送確認包ACK(ACK=j+1)，此包發(fā)送完畢，客戶端和服務器進入ESTABLISHED狀態(tài)，完成三次握手，客戶端與服務器開始傳送數(shù)據。 上述名詞概念：半連接:收到SYN包而還未收到ACK包時的連接狀態(tài)稱為半連接，即尚未完全完成三次握手的TCP連接。半連接隊列:在

6、三次握手協(xié)議中，服務器維護一個半連接隊列，該隊列為每個客戶端的SYN包(SYN=i )開設一個條目，該條目表明服務器已收到SYN包，并向客戶發(fā)出確認，正在等待客戶的確認包。這些條目所標識的連接在服務器處于SYN_ RECV狀態(tài)，當服務器收到客戶的確認包時，刪除該條目，服務器進入ESTABLISHED狀態(tài)。Backlog參數(shù):表示半連接隊列的最大容納數(shù)目。1 SYN-ACK重傳次數(shù):服務器發(fā)送完SYN-ACK包，如果未收到客戶確認包，服務器進行首次重傳，等待一段時間仍未收到客戶確認包，進行第二次重傳，如果重傳次數(shù)超過系統(tǒng)規(guī)定的最大重傳次數(shù)，系統(tǒng)將該連接信息、從半連接隊列中刪除。注意，每

7、次重傳等待的時間不一定相同。1 半連接存活時間:是指半連接隊列的條目存活的最長時間，也即服務從收到SYN包到確認這個報文無效的最長時間，該時間值是所有重傳請求包的最長等待時間總和。有時也稱半連接存活時間為Timeout時間、SYN_RECV存活時間。1 上面三個參數(shù)對系統(tǒng)的TCP連接狀況有很大影響。1 二、 攻擊手段拒絕服務攻擊是一種對網絡危害巨大的惡意攻擊。今天，DoS具有代表性的攻擊手段包括PingofDeath、TearDrop、UDPflood、SYNflood、LandAttack、IPSpoofingDoS等。2.1死亡之ping最簡單的基于IP的攻擊

8、可能要數(shù)著名的死亡之ping，這種攻擊主要是由于單個包的長度超過了IP協(xié)議規(guī)范所規(guī)定的包長度。產生這樣的包很容易，事實上，許多操作系統(tǒng)都提供了稱為ping的網絡工具。在為Windows操作系統(tǒng)中開一個DOS窗口，輸入ping -l 65500 目標ip -t （65500 表示數(shù)據長度上限，-t 表示不停地ping目標地址）就可達到該目的。UNIX系統(tǒng)也有類似情況。死亡之ping是如何工作的呢？首先是因為以太網長度有限，IP包片段被分片。當一個IP包的長度超過以太網幀的最大尺寸（以太網頭部和尾部除外）時，包就會被分片，作為多個幀來發(fā)送。接收端的機器提取各個分片，并重組為一個完整的IP包。在正常

9、情況下，IP頭包含整個IP包的長度。當一個IP包被分片以后，頭只包含各個分片的長度。分片并不包含整個IP包的長度信息，因此IP包一旦被分片，重組后的整個IP包的總長度只有在所在分片都接受完畢之后才能確定。在IP協(xié)議規(guī)范中規(guī)定了一個IP包的最大尺寸，而大多數(shù)的包處理程序又假設包的長度超過這個最大尺寸這種情況是不會出現(xiàn)的。因此，包的重組代碼所分配的內存區(qū)域也最大不超過這個最大尺寸。這樣，超大的包一旦出現(xiàn)，包當中的額外數(shù)據就會被寫入其他正常區(qū)域。這很容易導致系統(tǒng)進入非穩(wěn)定狀態(tài)，是一種典型的緩存溢出（Buffer Overflow）攻擊。在防火墻一級對這種攻擊進行檢測是相當難的，因為每個分片包看起來都

10、很正常。由于使用ping工具很容易完成這種攻擊，以至于它也成了這種攻擊的首選武器，這也是這種攻擊名字的由來。當然，還有很多程序都可以做到這一點，因此僅僅阻塞ping的使用并不能完全解決這個漏洞。預防死亡之ping的最好方法是對操作系統(tǒng)打補丁，使內核將不再對超過規(guī)定長度的包進行重組。1 2.2淚滴淚滴攻擊(TearDrop)指的是向目標機器發(fā)送損壞的IP包，諸如重做的包或過大的包載荷。借由這些手段，該攻擊可以通過TCP/IP協(xié)議棧中分片重組代碼中的bug來癱瘓各種不同的操作系統(tǒng)定義： 淚滴攻擊是拒絕服務攻擊的一種。 淚滴是一個特殊構造的應用程序，通過發(fā)送偽造的相互重疊的IP分組數(shù)據包，

11、使其難以被接收主機重新組合。他們通常會導致目標主機內核失措。 淚滴攻擊利用IP分組數(shù)據包重疊造成TCP/ IP分片重組代碼不能恰當處理IP包。 淚滴攻擊不被認為是一個嚴重的DOS攻擊，不會對主機系統(tǒng)造成重大損失。 在大多數(shù)情況下，一次簡單的重新啟動是最好的解決辦法，但重新啟動操作系統(tǒng)可能導致正在運行的應用程序中未保存的數(shù)據丟失。2.3UDP泛洪UDP攻擊,又稱UDP洪水攻擊或UDP淹沒攻擊（英文：UDP Flood Attack）是導致基於主機的服務拒絕攻擊的一種。UDP 是一種無連接的協(xié)議，而且它不需要用任何程序建立連接來傳輸數(shù)據。當攻擊者隨機地向受害系統(tǒng)的端口發(fā)送 UDP 數(shù)據包的時候，就

12、可能發(fā)生了 UDP 淹沒攻擊。UDP 是User Datagram Protocol的簡稱， 中文名是用戶 數(shù)據包協(xié)議，是 OSI 參考模型中一種無連接的 傳輸層協(xié)議，提供面向事務的簡單不可靠信息傳送服務。它是IETF RFC 768是UDP的正式規(guī)范。 當受害系統(tǒng)接收到一個 UDP 數(shù)據包的時候，它會確定目的端口正在等待中的 應用程序。當它發(fā)現(xiàn)該端口中并不存在正在等待的應用程序，它就會產生一個目的地址無法連接的 ICMP數(shù)據包發(fā)送給該偽造的源地址。如果向受害者計算機端口發(fā)送了足夠多的 UDP 數(shù)據包的時候，整個系統(tǒng)就會癱瘓。2.4SYN FL

13、OODTCP SYN泛洪發(fā)生在OSI第四層，這種方式利用TCP協(xié)議的特性，就是三次握手。攻擊者發(fā)送TCP SYN，SYN是TCP三次握手中的第一個數(shù)據包，而當服務器返回ACK后，該攻擊者就不對其進行再確認，那這個TCP連接就處于掛起狀態(tài)，也就是所謂的半連接狀態(tài)，服務器收不到再確認的話，還會重復發(fā)送ACK給攻擊者。這樣更加會浪費服務器的資源。攻擊者就對服務器發(fā)送非常大量的這種TCP連接，由于每一個都沒法完成三次握手，所以在服務器上，這些TCP連接會因為掛起狀態(tài)而消耗CPU和內存，最后服務器可能死機，就無法為正常用戶提供服務了。大家都知道一個TCP連接的啟動需要經歷三次握手的過程。正常情況下客戶端

14、首先向服務端發(fā)送SYN報文，隨后服務端回以SYN+ACK報文到達客戶端，最后客戶端向服務端發(fā)送ACK報文完成三次握手，后續(xù)就是上層業(yè)務數(shù)據交互，直到某一方斷開連接。那么假如在這“握手”的過程中，客戶端程序因為莫名崩潰等原因，收到SYN+ACK報文后不再回以ACK，服務端將如何處置呢？這時服務端會“優(yōu)雅地”再等等，會不會是發(fā)送的包丟失了呢？于是重新發(fā)送一遍SYN+ACK，再收不到來自客戶端的ACK響應的話，就把這次連接丟棄掉。這個過程大約會“優(yōu)雅地”持續(xù)分鐘級，這個持續(xù)時間被稱作SYN timeout時間。如果只有個別這樣的異常情況，目標服務端處理起來自是毫不費力；可如果大量這樣的情況出現(xiàn)，對服

15、務端來說就不堪重負了。這是為什么呢？如果大量的握手請求涌向TCP服務端，而它們只發(fā)出SYN報文而不以ACK響應結束握手，服務端就要為這每一個請求都維持約一分多鐘的連接去等待ACK，也就形成所謂的“半連接”。維護這些半連接是需要消耗很多服務器的網絡連接資源的。如果短時間內這些資源幾乎都被半連接占滿，那么正常的業(yè)務請求在這期間就得不到服務，處于等待狀態(tài)。更進一步的，如果這些半連接的握手請求是惡意程序發(fā)出，并且持續(xù)不斷，那么就會導致服務端較長時間內喪失服務功能這就形成了DoS（Denial of Service拒絕服務）攻擊。這種攻擊方式就稱為SYN泛洪（SYN flood）攻擊。由于正常的TCP三

16、次握手中發(fā)出去多少SYN報文，就會收到多少SYN+ACK報文。攻擊方需要將這些消息丟棄，同時為了隱藏自己，于是需要大量偽造泛洪攻擊的源地址，隨機改成其它地址。為達到SYN泛洪攻擊的效果，這些偽造的源地址最好無法響應SYN+ACK，如這些源地址的主機根本不存在，或者被防火墻等網絡設施攔截，等等。對于SYN泛洪攻擊的防范，優(yōu)化主機系統(tǒng)設置是常用的手段。如降低SYN timeout時間，使得主機盡快釋放半連接的占用；又比如采用SYN cookie設置，如果短時間內連續(xù)收到某個IP的重復SYN請求，則認為受到了該IP的攻擊，丟棄來自該IP的后續(xù)請求報文。此外合理地采用防火墻等外部網絡安全設施也可緩解S

17、YN泛洪攻擊。2.5 Land（LandAttack）攻擊land 攻擊是一種使用相同的源和目的主機和端口發(fā)送數(shù)據包到某臺機器的攻擊。結果通常使存在漏洞的機器崩潰。在Land攻擊中，一個特別打造的SYN包中的源地址和目標地址都被設置成某一個服務器地址，這時將導致接受服務器向它自己的地址發(fā)送SYN一ACK消息，結果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時掉。對Land攻擊反應不同，許多UNIX系統(tǒng)將崩潰，而 Windows NT 會變的極其緩慢（大約持續(xù)五分鐘）。LAND攻擊圖示2.6 IP欺騙IP地址欺騙是指行動產生的IP數(shù)據包為偽造的源IP地址，以便冒充其他

18、系統(tǒng)或發(fā)件人的身份。這是一種黑客的攻擊形式，黑客使用一臺計算機上網,而借用另外一臺機器的IP地址,從而冒充另外一臺機器與服務器打交道。定義：指行動產生的IP數(shù)據包為偽造的源IP地址，以便冒充其他系統(tǒng)或發(fā)件人的身份。這是一種駭客的攻擊形式，駭客使用一臺計算機上網,而借用另外一臺機器的IP地址,從而冒充另外一臺機器與服務器打交道。防火墻可以識別這種ip欺騙。按照Internet Protocol(IP)網絡互聯(lián)協(xié)議，數(shù)據包頭包含來源地和目的地信息。 而IP地址欺騙，就是通過偽造數(shù)據包包頭，使顯示的信息源不是實際的來源，就像這個數(shù)據包是從另一臺計算機上發(fā)送的。IP地址欺騙攻擊示意圖應用方法在網絡安全

19、領域，隱藏自己的一種手段就是IP欺騙偽造自身的IP地址向目標系統(tǒng)發(fā)送惡意請求，造成目標系統(tǒng)受到攻擊卻無法確認攻擊源，或者取得目標系統(tǒng)的信任以便獲取機密信息。這兩個目的對應著兩種場景：場景一，常用于DDoS攻擊（分布式拒絕攻擊），在向目標系統(tǒng)發(fā)起的惡意攻擊請求中，隨機生成大批假冒源IP，如果目標防御較為薄弱，對收到的惡意請求也無法分析攻擊源的真實性，從而達到攻擊者隱藏自身的目的。這類場景里一種很有意思的特殊情景來自于“反射”式DDoS攻擊，它的特點來自于利用目標系統(tǒng)某種服務的協(xié)議缺陷，發(fā)起針對目標系統(tǒng)輸入、輸出的不對稱性向目標發(fā)起吞吐量相對較小的某種惡意請求，隨后目標系統(tǒng)因其協(xié)議缺陷返回大量的響

20、應，阻塞網絡帶寬、占用主機系統(tǒng)資源。這時如果攻擊者的請求使用真實源地址的話，勢必要被巨大的響應所吞沒，傷及自身。這樣，攻擊者采取IP欺騙措施就勢在必行了。三、 DDos攻擊分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術，主控

21、程序能在幾秒鐘內激活成百上千次代理程序的運行。定義：首先從一個比方來深入理解什么是DDOS。一群惡霸試圖讓對面那家有著競爭關系的商鋪無法正常營業(yè)，他們會采取什么手段呢？（只為舉例，切勿模仿）惡霸們扮作普通客戶一直擁擠在對手的商鋪，賴著不走，真正的購物者卻無法進入；或者總是和營業(yè)員有一搭沒一搭的東扯西扯，讓工作人員不能正常服務客戶；也可以為商鋪的經營者提供虛假信息，商鋪的上上下下忙成一團之后卻發(fā)現(xiàn)都是一場空，最終跑了真正的大客戶，損失慘重。此外惡霸們完成這些壞事有時憑單干難以完成，需要叫上很多人一起。嗯，網絡安全領域中DoS和DDoS攻擊就遵循著這些思路。在信息安全的三要素“保密性”、“完整性”和“可用性”中，DoS（Denial of Service），即拒絕服務攻擊，針對的目標正是“可用性”。該攻擊方式利用目標系統(tǒng)網絡服務功能缺陷或者直接消耗其系統(tǒng)資源，使得該目標系統(tǒng)無法提供正常的服務。DdoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。單一的DoS攻擊一般是采用一對一方式的，當攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項指標不高的性能，它的效果是明顯的。隨著計算機與網絡技術的發(fā)展，計算機的處理能力迅速增長，內存大大增加