NS-5-網(wǎng)絡(luò)攻擊4-拒絕服務(wù)攻擊與防御

1、網(wǎng) 絡(luò) 安 全第5講 網(wǎng)絡(luò)攻擊(IV)拒絕服務(wù)攻擊與防御1Contents拒絕服務(wù)攻擊的概念1典型DoS攻擊2典型DDoS攻擊3DoS攻擊的防御4拒絕服務(wù)攻擊的概念拒絕服務(wù)（ Denial of Service，DoS）:一種破壞性攻擊，通常是利用傳輸協(xié)議中的某個(gè)弱點(diǎn)、系統(tǒng)存在的漏洞、服務(wù)的漏洞對(duì)目標(biāo)系統(tǒng)發(fā)起大規(guī)模的進(jìn)攻，用超出目標(biāo)處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)資源、帶寬資源等，或造成程序緩沖區(qū)溢出錯(cuò)誤，致使其無(wú)法處理合法用戶的正常請(qǐng)求，無(wú)法提供正常服務(wù)，最終致使網(wǎng)絡(luò)服務(wù)癱瘓，甚至系統(tǒng)死機(jī)簡(jiǎn)單的說(shuō)，拒絕服務(wù)攻擊就是讓攻擊目標(biāo)癱瘓的一種“損人不利己”的攻擊手段拒絕服務(wù)攻擊的概念史上最著名的拒絕

2、服務(wù)攻擊之一Morris蠕蟲: 1988年11月，全球眾多連在因特網(wǎng)上的計(jì)算機(jī)在數(shù)小時(shí)內(nèi)無(wú)法正常工作，遭受攻擊的包括個(gè)計(jì)算機(jī)中心和12個(gè)地區(qū)結(jié)點(diǎn)，連接著政府、大學(xué)、研究所和擁有政府合同的25萬(wàn)臺(tái)計(jì)算機(jī)。直接經(jīng)濟(jì)損失達(dá)9600萬(wàn)美元許多知名網(wǎng)站如Yahoo、eBay、CNN、百度、新浪等都曾遭受過(guò)DoS攻擊典型案例：百度遭受大規(guī)模SYN Flooding攻擊(2006年)拒絕服務(wù)攻擊的類型按照攻擊行為可分為兩類：網(wǎng)絡(luò)帶寬攻擊：極大的通信量沖擊網(wǎng)絡(luò)，使所有可用的網(wǎng)絡(luò)資源被消耗殆盡，最終導(dǎo)致合法用戶請(qǐng)求無(wú)法通過(guò)連通性攻擊：大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的系統(tǒng)資源被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處

3、理合法用戶的請(qǐng)求拒絕服務(wù)攻擊的類型從實(shí)施DoS攻擊所用的思路來(lái)看，DoS攻擊可以分為：濫用合理的服務(wù)請(qǐng)求過(guò)度地請(qǐng)求系統(tǒng)的正常服務(wù)，占用過(guò)多服務(wù)資源，致使系統(tǒng)超載。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬、文件系統(tǒng)空間容量、開放的進(jìn)程或者連接數(shù)等 制造高流量無(wú)用數(shù)據(jù)惡意地制造和發(fā)送大量各種隨機(jī)無(wú)用的數(shù)據(jù)包，用這種高流量的無(wú)用數(shù)據(jù)占據(jù)網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁塞 利用傳輸協(xié)議缺陷 構(gòu)造畸形的數(shù)據(jù)包并發(fā)送，導(dǎo)致目標(biāo)主機(jī)無(wú)法處理，出現(xiàn)錯(cuò)誤或崩潰 利用服務(wù)程序的漏洞 針對(duì)主機(jī)上的服務(wù)程序的特定漏洞，發(fā)送一些有針對(duì)性的特殊格式的數(shù)據(jù)，導(dǎo)致服務(wù)處理錯(cuò)誤而拒絕服務(wù) 典型拒絕服務(wù)攻擊技術(shù)Ping of Death淚滴（Teardro

4、p）IP欺騙DoS攻擊 UDP洪水SYN洪水Land攻擊Smurf攻擊Fraggle攻擊電子郵件炸彈畸形消息攻擊Slashdot effectWinNuke攻擊典型拒絕服務(wù)攻擊技術(shù)Ping of Death（死亡之Ping）：ICMP報(bào)文長(zhǎng)度固定，大小為64KB，早期很多操作系統(tǒng)在接收ICMP報(bào)文時(shí)，只開辟64KB的緩存區(qū)用于存放接收到的數(shù)據(jù)包一旦發(fā)送過(guò)來(lái)的ICMP數(shù)據(jù)包的實(shí)際尺寸超過(guò)64KB，操作系統(tǒng)將收到的數(shù)據(jù)報(bào)文向緩存區(qū)填寫時(shí)，就會(huì)產(chǎn)生緩存溢出，將導(dǎo)致TCP/IP協(xié)議堆棧的崩潰，造成主機(jī)的重啟或死機(jī)“ping l”可指定發(fā)送數(shù)據(jù)包的尺寸，因此使用Ping就可以簡(jiǎn)單地實(shí)現(xiàn)這種攻擊。例如：P

5、ing -l 65540 40典型拒絕服務(wù)攻擊技術(shù)現(xiàn)在的操作系統(tǒng)已修補(bǔ)了這一漏洞：對(duì)可發(fā)送的數(shù)據(jù)包大小進(jìn)行了限制在Windows xp 及以后操作系統(tǒng)中輸入這樣的命令：Ping -l 65535 40 系統(tǒng)返回這樣的信息：Bad value for option -l, valid range is from 0 to 65500. 典型拒絕服務(wù)攻擊技術(shù)淚滴（分片攻擊，Teardrop）：典型利用TCP/IP協(xié)議問題進(jìn)行拒絕服務(wù)攻擊的方式，由于第一個(gè)實(shí)現(xiàn)這種攻擊的程序名稱為Teardrop，所以被稱為“淚滴”兩臺(tái)計(jì)算機(jī)通信時(shí)，如果傳輸?shù)臄?shù)據(jù)量較大，無(wú)法在一個(gè)數(shù)據(jù)報(bào)文中傳輸完成，就會(huì)將數(shù)據(jù)拆分成

6、多個(gè)分片，傳送到目的計(jì)算機(jī)后再到堆棧中進(jìn)行重組，這一過(guò)程稱為“分片”為了能在到達(dá)目標(biāo)主機(jī)后進(jìn)行數(shù)據(jù)重組，TCP首部中包含有信息（分片識(shí)別號(hào)、偏移量、數(shù)據(jù)長(zhǎng)度、標(biāo)志位）說(shuō)明該分段是原數(shù)據(jù)的哪一段，這樣目標(biāo)主機(jī)收到數(shù)據(jù)后，就能根據(jù)首部中的信息將各分片重新組合還原為數(shù)據(jù)典型拒絕服務(wù)攻擊技術(shù)例子：這樣的信息被目的主機(jī)收到后，在堆棧中重組時(shí)，由于畸形分片的存在，會(huì)導(dǎo)致重組出錯(cuò)，這個(gè)錯(cuò)誤并不僅僅是影響到重組的數(shù)據(jù)，由于協(xié)議重組算法，會(huì)導(dǎo)致內(nèi)存錯(cuò)誤，引起協(xié)議棧的崩潰典型拒絕服務(wù)攻擊技術(shù)IP欺騙DoS攻擊：利用RST位實(shí)現(xiàn)：假設(shè)合法用戶(1)已經(jīng)同服務(wù)器建立了連接，攻擊者偽裝自己的IP為1，并向服務(wù)器發(fā)送一個(gè)

7、帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收后認(rèn)為1發(fā)送的連接有錯(cuò)誤，就會(huì)清空緩沖區(qū)中的連接用戶1再發(fā)送合法數(shù)據(jù)，服務(wù)器已經(jīng)沒有連接，用戶必須重新建立連接攻擊時(shí)，攻擊者偽造大量的IP地址向目標(biāo)發(fā)送RST數(shù)據(jù)，使服務(wù)器不對(duì)合法用戶服務(wù)，從而實(shí)現(xiàn)對(duì)受害服務(wù)器的拒絕服務(wù)攻擊 典型拒絕服務(wù)攻擊技術(shù)UDP洪水（UDP Flood）：利用主機(jī)自動(dòng)進(jìn)行回復(fù)的服務(wù)（如使用UDP協(xié)議的chargen服務(wù)和echo服務(wù)）進(jìn)行攻擊 提供WWW和Mail等的服務(wù)設(shè)備通常使用Unix服務(wù)器，默認(rèn)打開一些UDP服務(wù)：echo服務(wù)：回顯接收到的每一個(gè)數(shù)據(jù)包c(diǎn)hargen服務(wù)：在收到每一個(gè)數(shù)據(jù)包時(shí)隨機(jī)反饋一些字符，原本用作測(cè)試這使

8、一方的輸出成為另一方的輸入，兩臺(tái)主機(jī)間會(huì)形成大量的UDP數(shù)據(jù)包。當(dāng)多個(gè)系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時(shí)，最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓典型拒絕服務(wù)攻擊技術(shù)SYN洪水（SYN Flood）：最流行的拒絕服務(wù)攻擊方式之一，利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)利用TCP連接的三次握手實(shí)現(xiàn)：假設(shè)客戶端向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN/ACK應(yīng)答報(bào)文后無(wú)法收到客戶端的ACK報(bào)文的，服務(wù)器一般會(huì)重試，并等待一段時(shí)間后丟棄這個(gè)未完成的連接。這段時(shí)間稱為SYN Timeout。一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘數(shù)量級(jí)如果攻擊者大量模擬這種情況

9、(偽造IP地址)，服務(wù)器將為了維護(hù)一個(gè)非常大的半連接而消耗非常多的資源典型拒絕服務(wù)攻擊技術(shù)典型拒絕服務(wù)攻擊技術(shù)SYN洪水攻擊比較難以防御，以下是幾種解決方法：縮短SYN Timeout時(shí)間 設(shè)置SYN Cookie：給每個(gè)請(qǐng)求連接的IP地址分配一個(gè)Cookie，如果短時(shí)間內(nèi)連續(xù)收到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定是攻擊，以后來(lái)自這個(gè)IP地址的包被丟棄負(fù)反饋策略 ：一旦SYN半連接的數(shù)量超過(guò)系統(tǒng)中TCP活動(dòng)半連接最大連接數(shù)的設(shè)置，系統(tǒng)將認(rèn)為受到SYN Flood攻擊，并作出反應(yīng)：減短SYN Timeout時(shí)間、減少SYN-ACK的重試次數(shù)、自動(dòng)對(duì)緩沖區(qū)中的報(bào)文進(jìn)行延時(shí)等措施，力圖將攻擊危害減到最

10、低退讓策略 分布式DNS負(fù)載均衡 防火墻 典型拒絕服務(wù)攻擊技術(shù)退讓策略 ：SYN Flood攻擊的缺陷： 一旦攻擊開始，將不會(huì)再進(jìn)行域名解析假設(shè)服務(wù)器受到SYN Flood攻擊后迅速更換自己的IP地址，那么攻擊者仍在攻擊的將是一個(gè)空的IP地址，而防御方只要將DNS解析更改到新的IP地址就能在很短的時(shí)間內(nèi)恢復(fù)用戶通過(guò)域名進(jìn)行的正常訪問為迷惑攻擊者，甚至可以放置一臺(tái)“犧牲”服務(wù)器讓攻擊者滿足于攻擊的“效果” 分布式DNS負(fù)載均衡 將用戶的請(qǐng)求分配到不同IP的服務(wù)器主機(jī)上防火墻 可以識(shí)別SYN Flood攻擊所采用的攻擊方法，并將攻擊包阻擋在外典型拒絕服務(wù)攻擊技術(shù)Land攻擊:由著名黑客組織root

11、shell發(fā)現(xiàn)，利用TCP三次握手的缺陷進(jìn)行攻擊原理: 向目標(biāo)機(jī)發(fā)送大量的源地址和目標(biāo)地址相同的包，造成目標(biāo)主機(jī)解析Land包時(shí)占用大量的系統(tǒng)資源，從而使網(wǎng)絡(luò)功能完全癱瘓目標(biāo)主機(jī)收到這樣的連接請(qǐng)求會(huì)向自己發(fā)送SYN/ACK數(shù)據(jù)包，導(dǎo)致目標(biāo)主機(jī)向自己發(fā)回ACK數(shù)據(jù)包并創(chuàng)建一個(gè)連接大量這樣的數(shù)據(jù)包將使目標(biāo)主機(jī)建立很多無(wú)效的連接，大量占用系統(tǒng)資源典型拒絕服務(wù)攻擊技術(shù)檢測(cè)方法：判斷網(wǎng)絡(luò)數(shù)據(jù)包的源/目標(biāo)地址是否相同反攻擊方法：適當(dāng)配置防火墻設(shè)備或過(guò)濾路由器的過(guò)濾規(guī)則可以防止這種攻擊，并對(duì)這種攻擊進(jìn)行審計(jì)典型拒絕服務(wù)攻擊技術(shù)Smurf攻擊：攻擊原理：將源地址設(shè)置為被攻擊主機(jī)的地址，而將目的地址設(shè)置為廣播地

12、址，于是大量的ICMP echo回應(yīng)包被發(fā)送給被攻擊主機(jī)，使其因網(wǎng)絡(luò)阻塞而無(wú)法提供服務(wù)不僅影響目標(biāo)主機(jī)，還能影響目標(biāo)主機(jī)的整個(gè)網(wǎng)絡(luò)系統(tǒng)典型拒絕服務(wù)攻擊技術(shù)Fraggle攻擊：原理與Smurf一樣，采用向廣播地址發(fā)送數(shù)據(jù)包，利用廣播的特性將攻擊放大以使目標(biāo)主機(jī)拒絕服務(wù)不同：Fraggle使用的是UDP應(yīng)答消息而非ICMP22典型拒絕服務(wù)攻擊技術(shù)電子郵件炸彈:最古老的匿名攻擊之一傳統(tǒng)的電子郵件炸彈：發(fā)送大量郵件以填滿你的郵箱，正常郵件會(huì)因空間不夠而被服務(wù)器拒收如果用戶郵箱空間不受限，電子郵件炸彈就有可能影響到服務(wù)器的正常工作服務(wù)器會(huì)接收全部郵件并保存，這將不斷吞噬服務(wù)器的硬盤空間以致于最終耗盡硬盤

13、空間，使服務(wù)器無(wú)法再對(duì)外服務(wù)新SMTP協(xié)議規(guī)范新增2個(gè)命令(VRFY,EXPN) ，對(duì)發(fā)件人進(jìn)行身份認(rèn)證，一定程度上降低了匿名郵件的風(fēng)險(xiǎn)典型拒絕服務(wù)攻擊技術(shù)畸形消息攻擊:一種有針對(duì)性的攻擊方式，利用目標(biāo)主機(jī)或者特定服務(wù)存在的安全漏洞進(jìn)行攻擊操作系統(tǒng)上的許多服務(wù)都存在安全漏洞，由于這些服務(wù)在處理信息之前沒有進(jìn)行適當(dāng)正確的錯(cuò)誤校驗(yàn)，所以一旦收到畸形信息就有可能會(huì)崩潰在沒有安裝相應(yīng)補(bǔ)丁的IIS 5以及沒有相應(yīng)的安全措施時(shí)，遞交如下的URL會(huì)導(dǎo)致IIS 5停止服務(wù)： .25kb of .ida 遞交如下的HTTP請(qǐng)求會(huì)導(dǎo)致IIS系統(tǒng)崩潰，需重啟才能恢復(fù)： “GET /.3k. .htr HTTP/1.

14、0”典型拒絕服務(wù)攻擊技術(shù)Slashdot effect:來(lái)自S，曾十分知名且瀏覽人數(shù)十分龐大的IT、電子、娛樂網(wǎng)站，也是blog網(wǎng)站的開宗始祖之一在S的文章中放入的網(wǎng)站鏈接，有可能一瞬間被點(diǎn)入成千上萬(wàn)次，造成被鏈接的網(wǎng)站承受不住突然增加的連接請(qǐng)求，出現(xiàn)響應(yīng)變慢、崩潰、拒絕服務(wù), 這種現(xiàn)象稱為Slashdot effect瞬間產(chǎn)生大量進(jìn)入某網(wǎng)站的動(dòng)作稱作Slashdotting，使web服務(wù)器或其他類型的服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過(guò)載，一般這些網(wǎng)絡(luò)流量是針對(duì)某一個(gè)頁(yè)面或一個(gè)鏈接而產(chǎn)生的典型拒絕服務(wù)攻擊技術(shù)WinNuke攻擊：又稱“帶外傳輸攻擊”，特征是攻擊目標(biāo)端口，目標(biāo)端口通常是139、138、

15、137、113、53TCP中使用帶外數(shù)據(jù)（Out of Band，OOB）來(lái)傳送一些比較特殊（如比較緊急）的數(shù)據(jù)。在緊急模式下，發(fā)送的TCP數(shù)據(jù)包包含URG標(biāo)志和16位URG指針URG指針指向包內(nèi)數(shù)據(jù)段的某個(gè)字節(jié)數(shù)據(jù)，表示從第一字節(jié)到指針?biāo)缸止?jié)的數(shù)據(jù)是緊急數(shù)據(jù)，不進(jìn)入接收緩沖就直接交給上層進(jìn)程WinNuke攻擊制造這種特殊報(bào)文，但其指針字段與數(shù)據(jù)的實(shí)際位置不符，即存在重合。WINDOWS操作系統(tǒng)在處理這些數(shù)據(jù)時(shí)，就會(huì)崩潰典型拒絕服務(wù)攻擊技術(shù)攻擊者將特殊TCP帶外數(shù)據(jù)報(bào)文發(fā)送給已建立連接的主機(jī)的NetBIOS端口139，導(dǎo)致主機(jī)崩潰后，會(huì)顯示下面的信息： An exception OE has

16、 occurred at 0028:address in VxD MSTCP(01)+ 000041AE. This was called from 0028:address in VxD NDIS(01)+ 00008660.It may be possible to continue normally. Press any key to attempt to continue. Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all applications. Pre

17、ss any key to continue典型拒絕服務(wù)攻擊技術(shù)WinNuke攻擊的特征、檢測(cè)方法和反攻擊方法：特征：目標(biāo)端口通常是139、138、137、113、53，而且URG位設(shè)為“1”檢測(cè)方法：判斷目標(biāo)端口是否為139、138、137等，并判斷URG位是否為“1”反攻擊方法：適當(dāng)配置防火墻設(shè)備或過(guò)濾路由器可以防止這種攻擊手段（丟棄該數(shù)據(jù)包），并對(duì)這種攻擊進(jìn)行審計(jì)（記錄事件發(fā)生的時(shí)間，源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址） 典型分布式拒絕服務(wù)攻擊技術(shù)分布式拒絕服務(wù)DDoS (Distributed DoS)：通過(guò)控制分布在網(wǎng)絡(luò)各處的數(shù)百甚至數(shù)萬(wàn)臺(tái)傀儡主機(jī)（肉雞），發(fā)動(dòng)它們同時(shí)向攻擊目標(biāo)

18、進(jìn)行DoS攻擊1999年8月以來(lái)出現(xiàn)的一種新的網(wǎng)絡(luò)攻擊方法。之后DDoS開始大行其道，成為黑客攻擊的主流手段Yahoo、eBay、CNN等眾多知站點(diǎn)相繼被身份不明的黑客在短短幾天內(nèi)連續(xù)破壞，系統(tǒng)癱瘓達(dá)幾個(gè)小時(shí)甚至幾十個(gè)小時(shí)之久典型分布式拒絕服務(wù)攻擊技術(shù)被DDoS攻擊時(shí)的現(xiàn)象：被攻擊主機(jī)上有大量等待的TCP連接 網(wǎng)絡(luò)中充斥著大量的無(wú)用數(shù)據(jù)包，源地址為假制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通訊利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議的缺陷，反復(fù)高速發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理正常請(qǐng)求 嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī) 當(dāng)對(duì)一個(gè)Web站點(diǎn)執(zhí)行 DDoS 攻擊時(shí)，站點(diǎn)的一個(gè)或多個(gè)Web

19、服務(wù)會(huì)接到非常多的請(qǐng)求，最終使它無(wú)法再正常使用在DDoS攻擊期間，不知情的用戶發(fā)出正常的頁(yè)面請(qǐng)求，請(qǐng)求會(huì)完全失敗，或者頁(yè)面下載速度極其緩慢，看起來(lái)就是站點(diǎn)無(wú)法使用典型分布式拒絕服務(wù)攻擊技術(shù)DDoS的工具：TFN2KTrinooStacheldrahtTrinityShaftMStreamTrinoo的工作過(guò)程典型分布式拒絕服務(wù)攻擊技術(shù)TFN2K:TFN(Tribe Flood Network)：德國(guó)著名黑客Mixter編寫的DDoS攻擊工具由服務(wù)端程序和守護(hù)程序組成，能實(shí)施ICMP flood、SYN flood、UDP flood和Smurf等多種拒絕服務(wù)攻擊TFN2K在Solaris、Li

20、nux、Windows NT/2000上都能運(yùn)行服務(wù)端控制守護(hù)進(jìn)程發(fā)動(dòng)攻擊時(shí)，可以定制通信使用的協(xié)議，可以使用TCP、UDP、ICMP三種協(xié)議中的任何一種服務(wù)端向守護(hù)進(jìn)程發(fā)送的控制指令，守護(hù)進(jìn)程不進(jìn)行回復(fù)。所以TFN2K的隱蔽性更強(qiáng)，檢測(cè)更加困難，服務(wù)端可以將命令的數(shù)據(jù)報(bào)文的源地址進(jìn)行偽造典型分布式拒絕服務(wù)攻擊技術(shù)TFN2K所有命令都經(jīng)過(guò)了CAST-256算法（RFC2612）加密。加密關(guān)鍵字在程序編譯時(shí)定義，并作為TFN2K客戶端程序的口令；且所有加密數(shù)據(jù)在發(fā)送前都被編碼（ Base64 ）成可打印的ASCII字符。TFN2K守護(hù)程序接收并解密數(shù)據(jù)守護(hù)進(jìn)程還能通過(guò)修改進(jìn)程名來(lái)欺騙管理員，掩飾

21、自己的真正身份總之，TFN2K采用的單向通信、隨機(jī)使用通信協(xié)議、通信數(shù)據(jù)加密等多種技術(shù)以保護(hù)自身，使得實(shí)時(shí)檢測(cè)TFN2K更加困難典型分布式拒絕服務(wù)攻擊技術(shù)Stacheldraht：能發(fā)動(dòng)ICMP Flood、SYN Flood、UDP Flood和Smurf等多種攻擊主要特色：使用rcp (remote copy，遠(yuǎn)程復(fù)制)技術(shù)對(duì)代理程序進(jìn)行更新基于客戶機(jī)/服務(wù)器模式，其中Master程序與潛在的成千個(gè)代理程序進(jìn)行通訊攻擊者與master程序之間的通訊是加密（Blowfish）的典型分布式拒絕服務(wù)攻擊技術(shù)代理系統(tǒng)主控系統(tǒng)受攻擊網(wǎng)站Step 1：攻擊者侵入Internet系統(tǒng)，將DDoS主控系統(tǒng)

22、軟件安插在這些系統(tǒng)中Step 2：主控系統(tǒng)嘗試感染Internet部分，將受感染的系統(tǒng)作為代理系統(tǒng)Step 3：攻擊者將指令發(fā)送給主控系統(tǒng)，主控系統(tǒng)操縱代理系統(tǒng)，對(duì)目標(biāo)IP地址進(jìn)行泛洪攻擊合法用戶攻擊者拒絕服務(wù)攻擊的防御防御的困難之處不容易定位攻擊者的位置Internet上絕大多數(shù)網(wǎng)絡(luò)都不限制源地址，即偽造源地址非常容易很難溯源找到攻擊控制端的位置各種反射式攻擊，無(wú)法定位源攻擊者完全阻止是不可能的，但是適當(dāng)?shù)姆婪豆ぷ骺梢詼p少被攻擊的機(jī)會(huì)拒絕服務(wù)攻擊的防御DoS的防御方法：有效完善的設(shè)計(jì)帶寬限制：限制基于協(xié)議的帶寬。例如，端口25只能使用25的帶寬，端口80只能使用50的帶寬及時(shí)給系統(tǒng)安裝補(bǔ)丁運(yùn)

23、行盡可能少的服務(wù)只允許必要的通信封鎖敵意IP地址分布式拒絕服務(wù)攻擊的防御分布式拒絕服務(wù)攻擊的監(jiān)測(cè)：監(jiān)測(cè)DDoS時(shí)常犯的錯(cuò)誤是只搜索那些DDoS工具的缺省特征字符串、缺省端口、缺省口令等還應(yīng)著重觀察分析DDoS網(wǎng)絡(luò)通訊的普遍特征：異常的網(wǎng)絡(luò)交通流量常見的異?，F(xiàn)象：大量的DNS PTR查詢請(qǐng)求超出網(wǎng)絡(luò)正常工作時(shí)的極限通訊流量特大型的ICMP和UDP數(shù)據(jù)包不屬于正常連接通訊的TCP和UDP數(shù)據(jù)包數(shù)據(jù)段內(nèi)容只包含文字和數(shù)字字符（例如，沒有空格、標(biāo)點(diǎn)和控制字符）分布式拒絕服務(wù)攻擊的防御異?，F(xiàn)象1：大量的DNS PTR查詢請(qǐng)求進(jìn)行DDoS攻擊前總要解析目標(biāo)的主機(jī)名，BIND域名服務(wù)器能夠記錄這些請(qǐng)求。由于

24、每臺(tái)攻擊服務(wù)器在進(jìn)行一個(gè)攻擊前會(huì)發(fā)出PTR反向查詢請(qǐng)求，即域名服務(wù)器會(huì)接收到大量的反向解析目標(biāo)IP主機(jī)名的PTR查詢請(qǐng)求異?，F(xiàn)象2：超出網(wǎng)絡(luò)正常工作時(shí)的極限通訊流量當(dāng)DDoS攻擊一個(gè)站點(diǎn)時(shí)，會(huì)出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時(shí)的極限通訊流量的現(xiàn)象?，F(xiàn)在的技術(shù)能夠分別對(duì)不同的源地址計(jì)算出對(duì)應(yīng)的極限值。當(dāng)明顯超出此極限值時(shí)就表明存在DDoS攻擊可以在主干路由器端建立ACL訪問控制規(guī)則以監(jiān)測(cè)和過(guò)濾這些通訊分布式拒絕服務(wù)攻擊的防御異常現(xiàn)象3：特大型的ICMP和UDP數(shù)據(jù)包正常的UDP會(huì)話一般都使用小的UDP包，通常有效數(shù)據(jù)內(nèi)容不超過(guò)10字節(jié)。正常的ICMP消息也不會(huì)超過(guò)64到128字節(jié)明顯大得多的數(shù)據(jù)包很有可能就是控制信息通訊用的，主要含有加密后的目標(biāo)地址和一些命令選項(xiàng)。一旦捕獲到（沒有經(jīng)過(guò)偽造的）控制信息通訊，DDoS服務(wù)器的位置就無(wú)所遁形了，因?yàn)榭刂菩畔⑼ㄓ崝?shù)據(jù)包的目標(biāo)地址是沒有偽造的分布式拒絕服務(wù)攻擊的防御異?，F(xiàn)象4：不屬于正常連接通訊的TCP/UDP數(shù)據(jù)包隱蔽的DDoS工具隨機(jī)使用多種通訊協(xié)議通過(guò)無(wú)連接通道發(fā)送數(shù)據(jù)。優(yōu)秀的防火墻和路由規(guī)則能夠發(fā)現(xiàn)這些數(shù)據(jù)包。另外，連接到高于1024而且不屬于常用網(wǎng)絡(luò)服務(wù)的目標(biāo)端口的數(shù)據(jù)包也非常值得懷疑異?，F(xiàn)象5：數(shù)據(jù)段內(nèi)容只包含文字和數(shù)字字符數(shù)據(jù)經(jīng)過(guò)BASE64編碼后只含有base64字符集字符的特征。TFN