網(wǎng)絡安全4-拒絕服務攻擊

1、1網(wǎng)絡安全22第第3章回顧章回顧l網(wǎng)絡掃描l網(wǎng)絡監(jiān)聽l口令破解討論：如何發(fā)現(xiàn)和預防ARP欺騙（ARP Poisoning）攻擊？33第第4章章 拒絕服務攻擊拒絕服務攻擊l本章介紹DoS攻擊的定義、思想和分類，對SYN Flooding攻擊、Smurf攻擊、利用處理程序錯誤的拒絕服務攻擊、電子郵件轟炸攻擊和分布式拒絕服務攻擊(DDoS)方法分別進行了詳細的分析，并對每一種攻擊提供了防范措施。 44第第4章章 拒絕服務攻擊拒絕服務攻擊l4.1 拒絕服務攻擊概述l4.2 拒絕服務攻擊分類l4.3 服務端口攻擊l4.4 電子郵件轟炸l4.5 分布式拒絕服務攻擊DDoS55 拒絕服務攻擊概述拒絕服務攻擊

2、概述lDoS定義l拒絕服務攻擊DoS（Denial of Service）是阻止或拒絕合法使用者存取網(wǎng)絡服務器的一種破壞性攻擊方式主要方式：漏洞攻擊發(fā)送大量看似合法的數(shù)據(jù)物理方式造成結果：停止響應資源耗盡，不能為合法用戶提供服務；第第4 4章章 第第1 1節(jié)節(jié)66 拒絕服務攻擊概述拒絕服務攻擊概述l舉例lJanuary 2001A DDoS attack on Microsoft prevented about 98% of legitimate users from getting to any of Microsofts servers. lIn October 2002There was

3、 an attack on all 13 root Domain Name System (DNS) servers. l August 15, 2003M falls to DoS attackCompanys Web site inaccessible for two hours第第4 4章章 第第1 1節(jié)節(jié)77 拒絕服務攻擊概述拒絕服務攻擊概述l從某種程度上可以說，DoS攻擊永遠不會消失。l軟件漏洞永遠存在l計算機網(wǎng)絡（包轉發(fā)網(wǎng)絡）的設計缺陷l發(fā)送方和接受方沒有專用資源l數(shù)據(jù)包能通過任意路徑從發(fā)送方到達接受方l主干上高帶寬的數(shù)據(jù)可以淹沒低帶寬的邊緣連接l目前還沒有根本的解訣辦法l技術原因

4、l社會原因第第4 4章章 第第1 1節(jié)節(jié)88 拒絕服務攻擊分類拒絕服務攻擊分類l攻擊模式l消耗資源l網(wǎng)絡帶寬、存儲空間、 CPU時間等l破壞或改變配置信息 l物理破壞或者改變網(wǎng)絡部件 l利用服務程序中的處理錯誤使服務失效 l發(fā)起方式l傳統(tǒng)的拒絕服務攻擊 l分布式拒絕服務攻擊（Distributed Denial of Service ）第第4 4章章 第第2 2節(jié)節(jié)99 拒絕服務攻擊分類拒絕服務攻擊分類l攻擊模式：消耗資源l針對網(wǎng)絡連接的拒絕服務攻擊 lping 、flooding、SYN floodinglping、finger廣播包 l廣播風暴（SMURF攻擊） l消耗磁盤空間 lEmai

5、llERROR-LOG lFTP站點的incoming目錄 l制造垃圾文件第第4 4章章 第第2 2節(jié)節(jié)1010 拒絕服務攻擊分類拒絕服務攻擊分類l攻擊模式：消耗資源l消耗CPU資源和內存資源 main()fork()；main()； 第第4 4章章 第第2 2節(jié)節(jié)1111 拒絕服務攻擊分類拒絕服務攻擊分類l攻擊模式：破壞或更改配置信息l修改服務用戶群(deny)（apache服務器）l刪除口令文件第第4 4章章 第第2 2節(jié)節(jié)1212 拒絕服務攻擊分類拒絕服務攻擊分類l攻擊模式：物理破壞或改變網(wǎng)絡部件 l計算機、路由器、網(wǎng)絡配線室、網(wǎng)絡主干段、電源、冷卻設備、其它的網(wǎng)絡關鍵設備 l攻擊模式：

6、利用服務程序中的處理錯誤使服務失效lLAND攻擊第第4 4章章 第第2 2節(jié)節(jié)1313 4.3 服務端口攻擊服務端口攻擊lSYN Flooding lSmurf攻擊 l利用處理程序錯誤的拒絕服務攻擊 第第4 4章章 第第3 3節(jié)節(jié)14144.3 服務端口攻擊服務端口攻擊lSYN FloodingACK=y+1SYN, SEQ=y, ACK=x+1SYN, SEQ=x發(fā)送端S接收端DTCP連接的三次握手第第4 4章章 第第3 3節(jié)節(jié)為連接分配資源15154.3 服務端口攻擊服務端口攻擊lSYN FloodingSYN, SEQ=y, ACK=x+1SYN, SEQ=x發(fā)送端S接收端DSYN Fl

7、ooding第第4 4章章 第第3 3節(jié)節(jié)為連接分配資源1616 服務端口攻擊服務端口攻擊lSYN Flooding10 - 55 NBT Datagram Service Type=17 Source=ROOTDC20 47 - 55 NBT Datagram Service Type=17 Source=TSC0 ? - (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes 00 - (broadcast) ARP C W

8、ho is 02, 02 ? 78 - TCP D=124 S=1352 Syn Seq=674711609 Len=0 Win=65535 78 - TCP D=125 S=1352 Syn Seq=674711609 Len=0 Win=65535 78 - TCP D=126 S=1352 Syn Seq=674711609 Len=0 Win=65535 78 - TCP D=128 S=1352 Syn Seq=674711609 Len=0 Win=65535 127

9、.0.0.178 - TCP D=130 S=1352 Syn Seq=674711609 Len=0 Win=65535 78 - TCP D=131 S=1352 Syn Seq=674711609 Len=0 Win=65535 78 - TCP D=133 S=1352 Syn Seq=674711609 Len=0 Win=65535 78 - TCP D=135 S=1352 Syn Seq=674711609 Len=0 Win=65535 第第4 4章章 第第3 3節(jié)節(jié)網(wǎng)絡正常數(shù)據(jù)網(wǎng)絡中發(fā)生攻擊1717 服務端口攻擊服務端口

10、攻擊lSYN Flooding l同步包風暴拒絕服務攻擊具有以下特點 l針對TCP/IP協(xié)議的薄弱環(huán)節(jié)進行攻擊l發(fā)動攻擊時，只要很少的數(shù)據(jù)流量就可以產生顯著的效果l攻擊來源無法定位（IP欺騙）l在服務端無法區(qū)分TCP連接請求是否合法第第4 4章章 第第3 3節(jié)節(jié)1818 服務端口攻擊服務端口攻擊lSYN Flooding l同步包風暴攻擊的本質是利用TCP/IP協(xié)議集的設計弱點和缺陷l只有對現(xiàn)有的TCP/IP協(xié)議集進行重大改變才能修正這些缺陷l目前還沒有一個完整的解決方案，但是可以采取一些措施盡量降低這種攻擊發(fā)生的可能性 第第4 4章章 第第3 3節(jié)節(jié)1919 服務端口攻擊服務端口攻擊lSYN

11、 Flooding l應對 l優(yōu)化系統(tǒng)配置 l優(yōu)化路由器配置 l使用防火墻 l主動監(jiān)視 l完善基礎設施 第第4 4章章 第第3 3節(jié)節(jié)2020 服務端口攻擊服務端口攻擊lSmurf攻擊 l這種攻擊方法結合使用了IP欺騙和ICMP回復方法使大量網(wǎng)絡數(shù)據(jù)充斥目標系統(tǒng)，引起目標系統(tǒng)拒絕為正常請求進行服務 第第4 4章章 第第3 3節(jié)節(jié)2121 服務端口攻擊服務端口攻擊lSmurf攻擊目 標主機黑 客主機路 由器網(wǎng)絡主機n1 . 黑 客 向網(wǎng) 絡 廣 播地址發(fā)ICMP包2.路由器不過濾廣播包5.目標主機 受 到 大量ICMP包攻擊4.網(wǎng)絡上各個主機都向目的主機回應ICMP包網(wǎng)絡主機1網(wǎng)絡主機2 3.網(wǎng)

12、絡上各個主機都收到ICMP廣播包（圖中實線部分表示攻擊者發(fā)出的ICMP包，虛線部分表示對目的攻擊的ICMP包）第第4 4章章 第第3 3節(jié)節(jié)2222 服務端口攻擊服務端口攻擊lSmurf攻擊l應對l實際發(fā)起攻擊的網(wǎng)絡 過濾掉源地址為其他網(wǎng)絡的數(shù)據(jù)包l被攻擊者利用的中間網(wǎng)絡配置路由器禁止IP廣播包 l被攻擊的目標 與ISP協(xié)商，由ISP暫時阻止這些流量第第4 4章章 第第3 3節(jié)節(jié)2323 服務端口攻擊服務端口攻擊l錯誤處理lPing of Death lTeardrop lWinnuke lLand l第第4 4章章 第第3 3節(jié)節(jié)2424 服務端口攻擊服務端口攻擊l錯誤處理lPing of

13、Death l操作系統(tǒng)無法處理65536字節(jié)的ICMP包（Windows95）l現(xiàn)在的操作系統(tǒng)都能處理這個錯誤。C:ping -l 65507 -n 1 07Bad value for option -l, valid range is from 0 to 65500.第第4 4章章 第第3 3節(jié)節(jié)2525 服務端口攻擊服務端口攻擊l錯誤處理lTeardropTeardrop攻擊攻擊舉個例子來說明這個漏洞：第一個碎片：mf=1 offset=0 payload=20第二個碎片：mf=0 offset=10 payload=9memcpy拷貝第二個碎片時: memcpy(p

14、tr + fp-offset), fp-ptr, fp-len)其中拷貝長度為：fp-len=19-20=-1； 那么將拷貝過多的數(shù)據(jù)導致崩潰。第第4 4章章 第第3 3節(jié)節(jié)分片標志偏移值負載長度目的源長度2626 服務端口攻擊服務端口攻擊l錯誤處理lWinnukeWinnuke攻擊攻擊 lWindows : NetBIOS : 139lOOBl藍屏（操作系統(tǒng)核心故障）send (sock,&c,1,MSG_OOB);第第4 4章章 第第3 3節(jié)節(jié)2727 服務端口攻擊服務端口攻擊l錯誤處理lLandLand攻擊攻擊 l攻擊者將一個包的源地址和目的地址都設置為目標主機的地址，然后將該包

15、通過IP欺騙的方式發(fā)送給被攻擊主機，這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能 l對Land攻擊反應不同，許多UNIX實現(xiàn)將崩潰，而Windows會變的極其緩慢（大約持續(xù)五分鐘） l 第第4 4章章 第第3 3節(jié)節(jié)2828 電子郵件轟炸電子郵件轟炸l在很短時間內收到大量無用的電子郵件 lSMTP端口 (25)telnet smtpTrying Connected to .Escape character is .220 ESMTPhello 250 mail from: 250 Okrcpt to: 250 Okdat

16、a354 End data with .垃圾郵件內容250 Ok: queued as 96FE61C57EA7Bquit第第4 4章章 第第4 4節(jié)節(jié)2929 電子郵件轟炸電子郵件轟炸l郵件列表炸彈lKaBoom!l這種攻擊有兩個特點l真正的匿名，發(fā)送郵件的是郵件列表l難以避免這種攻擊，除非被攻擊者更換電子郵件地址，或者向郵件列表申請退出 l病毒發(fā)送電子郵件炸彈第第4 4章章 第第4 4節(jié)節(jié)3030 電子郵件轟炸電子郵件轟炸l應對l配置路由器和防火墻，識別郵件炸彈的源頭，不使其通過 l提高系統(tǒng)記賬能力，對事件進行追蹤第第4 4章章 第第4 4節(jié)節(jié)3131 分布式拒絕服務攻擊分布式拒絕服務攻擊

17、DDoSl分布式拒絕服務DDoS（Distributed Denial of Service）攻擊是對傳統(tǒng)DoS攻擊的發(fā)展l攻擊者首先侵入并控制一些計算機，然后控制這些計算機同時向一個特定的目標發(fā)起拒絕服務攻擊 第第4 4章章 第第5 5節(jié)節(jié)3232 分布式拒絕服務攻擊分布式拒絕服務攻擊DDoSlDDoS的三級控制結構第第4 4章章 第第5 5節(jié)節(jié)3333 分布式拒絕服務攻擊分布式拒絕服務攻擊DDoSl傳統(tǒng)的拒絕服務攻擊的缺點 l受網(wǎng)絡資源的限制 l隱蔽性差lDDoS克服了這兩個致命弱點 l突破了傳統(tǒng)攻擊方式從本地攻擊的局限性和不安全性 l其隱蔽性和分布性很難被識別和防御 第第4 4章章 第第

18、5 5節(jié)節(jié)3434 分布式拒絕服務攻擊分布式拒絕服務攻擊DDoSl被DDoS攻擊時可能的現(xiàn)象l被攻擊主機上有大量等待的TCP連接 l端口隨意l大量源地址為假的無用的數(shù)據(jù)包l高流量的無用數(shù)據(jù)造成網(wǎng)絡擁塞 l利用缺陷，反復發(fā)出服務請求，使受害主機無法及時處理正常請求 l嚴重時會造成死機第第4 4章章 第第5 5節(jié)節(jié)3535分布式拒絕服務攻擊分布式拒絕服務攻擊DDoS舉例舉例lDDoS工具lTrinoolUDPlTFN（Tribe Flooding Network）lStacheldrahtlTFN2K（Tribe Flooding Network 2000）l多點攻擊、加密傳輸、完整性檢查、隨機選擇底層協(xié)議和攻擊手段、IP地址欺騙、啞代理、隱藏身份等特點lTrinity v3 第第4 4章章 第第5 5節(jié)節(jié)3636分布式拒絕服務攻擊分布式拒絕服務攻擊DDoSl技術挑戰(zhàn)l需要Internet范圍的分布式響應l缺少攻擊的詳細信息l缺少防御系統(tǒng)的性能l大范圍測試的