第09講典型黑客攻擊之(一)拒絕服務攻防

上傳人：l*** IP屬地：山西上傳時間：2022-12-23 格式：PPT 頁數(shù)：53 大小：107KB 積分：40 舉報 版權申訴

已閱讀5頁，還剩48頁未讀，繼續(xù)免費閱讀

版權說明：本文檔由用戶提供并上傳，收益歸屬內容提供方，若內容存在侵權，請進行舉報或認領

文檔簡介

第09講典型黑客攻擊之(一)

拒絕服務攻防9.1DoS攻擊的概念9.2DoS攻擊的現(xiàn)象與原理9.3如何組織DDoS攻擊9.4DDoS攻擊實例9.5DDoS的防范1目標、重點、難點目標：理解DoS的概念，了解DoS攻擊的現(xiàn)象,理解如何組織一次DDoS攻擊,了解DoS攻擊的防范方法..重點：DDoS攻擊方法\防范方法難點：DDoS攻擊方法29.1DoS攻擊的概念DoS是DenialofService的簡稱，即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網(wǎng)絡無法提供正常的服務。最常見的DoS攻擊有計算機網(wǎng)絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡，使得所有可用網(wǎng)絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。DoS攻擊3分布式拒絕服務(DDoS:DistributedDenialofService)攻擊是目前黑客經(jīng)常采用而難以防范的攻擊手段。分布式拒絕服務攻擊指借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經(jīng)被安裝在Internet上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。DDoS攻擊4DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。

5DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的，當攻擊目標CPU速度低、內存小或者網(wǎng)絡帶寬小等等各項性能指標不高它的效果是明顯的。隨著計算機與網(wǎng)絡技術的發(fā)展，計算機的處理能力迅速增長，內存大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡，這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個攻擊包，但我的主機與網(wǎng)絡帶寬每秒鐘可以處理10,000個攻擊包，這樣一來攻擊就不會產(chǎn)生什么效果。6這時侯分布式的拒絕服務攻擊手段（DDoS）就應運而生了。你理解了DoS攻擊的話，它的原理就很簡單。如果說計算機與網(wǎng)絡的處理能力加大了10倍，用一臺攻擊機來攻擊不再能起作用的話，攻擊者使用10臺攻擊機同時攻擊呢？用100臺呢？DDoS就是利用更多的傀儡機來發(fā)起進攻，以比從前更大的規(guī)模來進攻受害者。7高速廣泛連接的網(wǎng)絡給大家?guī)砹朔奖?，也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡時代時，黑客占領攻擊用的傀儡機時，總是會優(yōu)先考慮離目標網(wǎng)絡距離近的機器，因為經(jīng)過路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點之間的連接都是以G為級別的，大城市之間更可以達到2.5G的連接，這使得攻擊可以從更遠的地方或者其他城市發(fā)起，攻擊者的傀儡機位置可以在分布在更大的范圍，選擇起來更靈活了。89.2DoS攻擊的現(xiàn)象與原理被DDoS攻擊時的現(xiàn)象:被攻擊主機上有大量等待的TCP連接網(wǎng)絡中充斥著大量的無用的數(shù)據(jù)包，源地址為假制造高流量無用數(shù)據(jù)，造成網(wǎng)絡擁塞，使受害主機無法正常和外界通訊利用受害主機提供的服務或傳輸協(xié)議上的缺陷，反復高速的發(fā)出特定的服務請求，使受害主機無法及時處理所有正常請求嚴重時會造成系統(tǒng)死機910DDoS攻擊原理:如圖一，一個比較完善的DDoS攻擊體系分成四大部分，先來看一下最重要的第2和第3部分：它們分別用做控制和實際發(fā)起攻擊。請注意控制機與攻擊機的區(qū)別，對第4部分的受害者來說，DDoS的實際攻擊包是從第3部分攻擊傀儡機上發(fā)出的，第2部分的控制機只發(fā)布命令而不參與實際的攻擊。對第2和第3部分計算機，黑客有控制權或者是部分的控制權，并把相應的DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運行并等待來自黑客的指令，通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時，這些傀儡機器并沒有什么異常，只是一旦黑客連接到它們進行控制，并發(fā)出指令的時候，攻擊傀儡機就成為害人者去發(fā)起攻擊了。11有的朋友也許會問道："為什么黑客不直接去控制攻擊傀儡機，而要從控制傀儡機上轉一下呢？"。這就是導致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說，肯定不愿意被捉到（我在小時候向別人家的雞窩扔石頭的時候也曉得在第一時間逃掉，呵呵），而攻擊者使用的傀儡機越多，他實際上提供給受害者的分析依據(jù)就越多。在占領一臺機器后，高水平的攻擊者會首先做兩件事：1.考慮如何留好后門（我以后還要回來的哦）！2.如何清理日志。這就是擦掉腳印，不讓自己做的事被別人查覺到。比較不敬業(yè)的黑客會不管三七二十一把日志全都刪掉，但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒了就會知道有人干了壞事了，頂多無法再從日志發(fā)現(xiàn)是誰干的而已。相反，真正的好手會挑有關自己的日志項目刪掉，讓人看不到異常的情況。這樣可以長時間地利用傀儡機。12但是在第3部分攻擊傀儡機上清理日志實在是一項龐大的工程，即使在有很好的日志清理工具的幫助下，黑客也是對這個任務很頭痛的。這就導致了有些攻擊機弄得不是很干凈，通過它上面的線索找到了控制它的上一級計算機，這上級的計算機如果是黑客自己的機器，那么他就會被揪出來了。但如果這是控制用的傀儡機的話，黑客自身還是安全的?？刂瓶軝C的數(shù)目相對很少，一般一臺就可以控制幾十臺攻擊機，清理一臺計算機的日志對黑客來講就輕松多了，這樣從控制機再找到黑客的可能性也大大降低。139.3如何組織DDoS攻擊這里用“組織”這個詞，是因為DDoS并不象入侵一臺主機那樣簡單。一般來說，黑客進行DDoS攻擊時會經(jīng)過這樣的步驟：

1.搜集了解目標的情況下列情況是黑客非常關心的情報：被攻擊目標主機數(shù)目、地址情況目標主機的配置、性能目標的帶寬14對于DDoS攻擊者來說，攻擊互聯(lián)網(wǎng)上的某個站點，如，有一個重點就是確定到底有多少臺主機在支持這個站點，一個大的網(wǎng)站可能有很多臺主機利用負載均衡技術提供同一個網(wǎng)站的www服務。以yahoo為例，一般會有下列地址都是提供服務的：7

615如果要進行DDoS攻擊的話，應該攻擊哪一個地址呢？使7這臺機器癱掉，但其他的主機還是能向外提供www服務，所以想讓別人訪問不到的話，要所有這些IP地址的機器都癱掉才行。在實際的應用中，一個IP地址往往還代表著數(shù)臺機器：網(wǎng)站維護者使用了四層或七層交換機來做負載均衡，把對一個IP地址的訪問以特定的算法分配到下屬的每個主機上去。這時對于DDoS攻擊者來說情況就更復雜了，他面對的任務可能是讓幾十臺主機的服務都不正常。16所以說事先搜集情報對DDoS攻擊者來說是非常重要的，這關系到使用多少臺傀儡機才能達到效果的問題。簡單地考慮一下，在相同的條件下，攻擊同一站點的2臺主機需要2臺傀儡機的話，攻擊5臺主機可能就需要5臺以上的傀儡機。有人說做攻擊的傀儡機越多越好，不管你有多少臺主機我都用盡量多的傀儡機來攻就是了，反正傀儡機超過了時候效果更好。17但在實際過程中，有很多黑客并不進行情報的搜集而直接進行DDoS的攻擊，這時候攻擊的盲目性就很大了，效果如何也要靠運氣。其實做黑客也象網(wǎng)管員一樣，是不能偷懶的。一件事做得好與壞，態(tài)度最重要，水平還在其次。182.占領傀儡機黑客最感興趣的是有下列情況的主機：鏈路狀態(tài)好的主機性能好的主機安全管理水平差的主機19這一部分實際上是使用了另一大類的攻擊手段：利用形攻擊。這是和DDoS并列的攻擊方式。簡單地說，就是占領和控制被攻擊的主機。取得最高的管理權限，或者至少得到一個有權限完成DDoS攻擊任務的帳號。對于一個DDoS攻擊者來說，準備好一定數(shù)量的傀儡機是一個必要的條件，下面說一下他是如何攻擊并占領它們的。20首先，黑客做的工作一般是掃描，隨機地或者是有針對性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機器，象程序的溢出漏洞、cgi、Unicode、ftp、數(shù)據(jù)庫漏洞…(簡直舉不勝舉啊)，都是黑客希望看到的掃描結果。隨后就是嘗試入侵了，具體的手段就不在這里多說了，感興趣的話網(wǎng)上有很多關于這些內容的文章。21總之黑客現(xiàn)在占領了一臺傀儡機了！然后他做什么呢？除了上面說過留后門擦腳印這些基本工作之外，他會把DDoS攻擊用的程序上載過去，一般是利用ftp。在攻擊機上，會有一個DDoS的發(fā)包程序，黑客就是利用它來向受害目標發(fā)送惡意攻擊包的。223.實際攻擊

經(jīng)過前2個階段的精心準備之后，黑客就開始瞄準目標準備發(fā)射了。前面的準備做得好的話，實際攻擊過程反而是比較簡單的。就象圖示里的那樣，黑客登錄到做為控制臺的傀儡機，向所有的攻擊機發(fā)出命令："預備~，瞄準~，開火!"。這時候埋伏在攻擊機中的DDoS攻擊程序就會響應控制臺的命令，一起向受害主機以高速度發(fā)送大量的數(shù)據(jù)包，導致它死機或是無法響應正常的請求。黑客一般會以遠遠超出受害方處理能力的速度進行攻擊，他們不會"憐香惜玉"。23老到的攻擊者一邊攻擊，還會用各種手段來監(jiān)視攻擊的效果，在需要的時候進行一些調整。簡單些就是開個窗口不斷地ping目標主機，在能接到回應的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊。249.4DDoS攻擊實例著名的DoS攻擊有:1.死亡之PING2.淚滴3.UDP洪水4.SYN洪水5.LAND攻擊6.IP欺騙DoS攻擊7.塞滿服務器的硬盤25DDoS攻擊實例-SYNFlood攻擊SYN-Flood是目前最流行的DDoS攻擊手段，早先的DoS的手段在向分布式這一階段發(fā)展的時候也經(jīng)歷了浪里淘沙的過程。SYN-Flood的攻擊效果最好，應該是眾黑客不約而同選擇它的原因吧。那么我們一起來看看SYN-Flood的詳細情況。26SynFlood原理-三次握手

SynFlood利用了TCP/IP協(xié)議的固有漏洞。面向連接的TCP三次握手是SynFlood存在的基礎。TCP連接的三次握手:

27如圖二，在第一步中，客戶端向服務端提出連接請求。這時TCPSYN標志置位?？蛻舳烁嬖V服務端序列號區(qū)域合法，需要檢查?？蛻舳嗽赥CP報頭的序列號區(qū)中插入自己的ISN。服務端收到該TCP分段后，在第二步以自己的ISN回應(SYN標志置位)，同時確認收到客戶端的第一個TCP分段(ACK標志置位)。在第三步中，客戶端確認收到服務端的ISN(ACK標志置位)。到此為止建立完整的TCP連接，開始全雙工模式的數(shù)據(jù)傳輸過程。

SynFlood攻擊者不會完成三次握手

29假設一個用戶向服務器發(fā)送了SYN報文后突然死機或掉線，那么服務器在發(fā)出SYN+ACK應答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成），這種情況下服務器端一般會重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYNTimeout，一般來說這個時間是分鐘的數(shù)量級（大約為30秒-2分鐘）；一個用戶出現(xiàn)異常導致服務器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源----數(shù)以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。。30實際上如果服務器的TCP/IP棧不夠強大，最后的結果往往是堆棧溢出崩潰---即使服務器端的系統(tǒng)足夠強大，服務器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之小），此時從正?？蛻舻慕嵌瓤磥?，服務器失去響應，這種情況我們稱做：服務器端受到了SYNFlood攻擊（SYN洪水攻擊）。31在實驗室中模擬的一次SynFlood攻擊的實際過程:這一個局域網(wǎng)環(huán)境，只有一臺攻擊機（PIII667/128/mandrake），被攻擊的是一臺Solaris8.0(spark)的主機，網(wǎng)絡設備是Cisco的百兆交換機。這是在攻擊并未進行之前，在Solaris上進行snoop的記錄，snoop與tcpdump等網(wǎng)絡監(jiān)聽工具一樣，也是一個很好的網(wǎng)絡抓包與分析的工具?？梢钥吹焦糁?，目標主機上接到的基本上都是一些普通的網(wǎng)絡包。32…

…