網(wǎng)絡(luò)攻防課程設(shè)計(jì)報(bào)告書

.../目錄1拒接服務(wù)攻擊簡(jiǎn)介22拒接服務(wù)攻擊的原理22.1SYNFlood22.2UDP洪水攻擊42.3Ping洪流攻擊52.4其他方式的攻擊原理63攻擊過程或步驟流程63.1攻擊使用的工具63.2SYNflood攻擊模擬過程74此次攻擊的功能或后果105對(duì)拒絕服務(wù)防范手段與措施105.1增強(qiáng)網(wǎng)絡(luò)的容忍性105.2提高主機(jī)系統(tǒng)的或網(wǎng)絡(luò)安全性115.3入口過濾115.4出口過濾115.5主機(jī)異常的檢測(cè)126個(gè)人觀點(diǎn)127參考文獻(xiàn)12"拒絕服務(wù)攻擊"技術(shù)研究與實(shí)現(xiàn)姓名：江志明班級(jí)：YA學(xué)號(hào)接服務(wù)攻擊簡(jiǎn)介所謂的拒絕服務(wù)攻擊簡(jiǎn)單說即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù),是黑客常用的攻擊手段之一。其實(shí)對(duì)網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分,只要能夠?qū)δ繕?biāo)造成麻煩,使某些服務(wù)被暫停甚至主機(jī)死機(jī),都屬于拒絕服務(wù)攻擊。拒絕服務(wù)攻擊問題也一直得不到合理的解決,究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的,從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。攻擊者進(jìn)行拒絕服務(wù)攻擊,實(shí)際上讓服務(wù)器實(shí)現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿,不接收新的請(qǐng)求；二是使用IP欺騙,迫使服務(wù)器把合法用戶的連接復(fù)位,影響合法用戶的連接。2拒接服務(wù)攻擊的原理2.1SYNFloodSYNFlood是當(dāng)前最流行的DoS<拒絕服務(wù)攻擊>與DDoS<DistributedDenialOfService分布式拒絕服務(wù)攻擊>的方式之一,這是一種利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請(qǐng)求,使被攻擊方資源耗盡<CPU滿負(fù)荷或內(nèi)存不足>的攻擊方式,這種攻擊容易操作并且效果明顯具體過程是通過三次握手協(xié)議實(shí)現(xiàn)的假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線,那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無法收到客戶端的ACK報(bào)文的<第三次握手無法完成>,這種情況下服務(wù)器端一般會(huì)重試<再次發(fā)送SYN+ACK給客戶端>并等待一段時(shí)間后丟棄這個(gè)未完成的連接。這段時(shí)間的長(zhǎng)度我們稱為SYNTimeout,一般來說這個(gè)時(shí)間是分鐘的數(shù)量級(jí)<大約為30秒~2分鐘>；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問題,但如果有一個(gè)惡意的攻擊者大量模擬這種情況<偽造IP地址>,服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源。即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存,何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大,最后的結(jié)果往往是堆棧溢出崩潰——即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大,服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無暇理睬客戶的正常請(qǐng)求<畢竟客戶端的正常請(qǐng)求比率非常之小>,此時(shí)從正?？蛻舻慕嵌瓤磥?服務(wù)器失去響應(yīng),這種情況就稱作：服務(wù)器端受到了SYNFlood攻擊<SYN洪水攻擊>。TCP三次握手示意圖DDOS分布式示意圖2.2UDP洪水攻擊攻擊者利用簡(jiǎn)單的TCP/IP服務(wù),如Chargen和Echo來傳送毫無用處的占滿帶寬的數(shù)據(jù)。通過偽造與某一主機(jī)的Chargen服務(wù)之間的一次的UDP連接,回復(fù)地址指向開著Echo服務(wù)的一臺(tái)主機(jī),這樣就生成在兩臺(tái)主機(jī)之間存在很多的無用數(shù)據(jù)流,這些無用數(shù)據(jù)流就會(huì)導(dǎo)致帶寬的服務(wù)攻擊。在實(shí)際情況下,攻擊者會(huì)利用一定數(shù)量級(jí)的傀儡機(jī)器同時(shí)進(jìn)行攻擊,這時(shí)候就有可能發(fā)生受害機(jī)UDP淹沒。被UDP攻擊機(jī)示意圖2.3Ping洪流攻擊這種攻擊方式是早期的方式,又被陳為死芒之PING,是利用系統(tǒng)的自身漏洞實(shí)現(xiàn)的,具體原理是許多操作系統(tǒng)對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB,并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后,要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)。當(dāng)產(chǎn)生畸形的,聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時(shí),就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤,導(dǎo)致TCP/IP堆棧崩潰,致使接受方死機(jī)。2.4其他方式的攻擊原理teardrop攻擊：是利用在TCP/IP堆棧中實(shí)現(xiàn)信任IP碎片中的包的標(biāo)題頭所包含的信息來實(shí)現(xiàn)自己的攻擊Land攻擊：用一個(gè)特別打造的SYN包,它的原地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址。Smurf攻擊：通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求<ping>數(shù)據(jù)包來淹沒受害主機(jī)的方式進(jìn)行3攻擊過程或步驟流程3.1攻擊使用的工具TFNTFN由主控端程序和代理端程序兩部分組成,它主要采取的攻擊方法為：SYN風(fēng)暴、Ping風(fēng)暴、UDP炸彈和SMURF,具有偽造數(shù)據(jù)包的能力TrinooTrinoo的攻擊方法是向被攻擊目標(biāo)主機(jī)的隨機(jī)端口發(fā)出全零的4字節(jié)UDP包,在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中,被攻擊主機(jī)的網(wǎng)絡(luò)性能不斷下降,直到不能提供正常服務(wù),乃至崩潰。它對(duì)IP地址不做假,采用的通訊端口是：NETWOX網(wǎng)絡(luò)工具包NETWOX是一款綜合性的工具包,包含上百種的網(wǎng)絡(luò)工具,采用字符界面形式,功能性能強(qiáng)大3.2SYNflood攻擊模擬過程1 啟動(dòng)兩個(gè)虛擬機(jī)系統(tǒng),一個(gè)為WIN2008〔A機(jī),一個(gè)為XP〔B機(jī)。然后在Win2003虛擬機(jī)〔A機(jī)上運(yùn)行抓包軟件SmartSniff,查看當(dāng)前的網(wǎng)絡(luò)通信情況。兩架計(jì)算機(jī)連通正常2在XP上運(yùn)行smartsniff查看當(dāng)前的網(wǎng)絡(luò)狀態(tài)當(dāng)前網(wǎng)絡(luò)良好3在宿主機(jī)上用NETWOX對(duì)XP虛擬機(jī)進(jìn)行拒絕服務(wù)攻擊,命令如下：netwox76–i"[A機(jī)IP]"–p804此時(shí)查看靶機(jī)XP上的網(wǎng)絡(luò)狀況此時(shí)靶機(jī)XP已近處于假死機(jī)狀態(tài),通過上面的網(wǎng)絡(luò)監(jiān)聽數(shù)據(jù)看,說明此次SYNflood攻擊成功4此次攻擊的功能或后果這次的攻擊主要是通過當(dāng)前流行的SYNflood攻擊,包括TCP和UDP連接,占用靶機(jī)的大量的網(wǎng)絡(luò)資源,致使受害機(jī)CPU和內(nèi)存被大量占用,進(jìn)一步使其死機(jī),甚至癱瘓狀態(tài)。在是、SYN洪水攻擊中,我們也可以通過這一種混沌狀態(tài),入侵目標(biāo)主機(jī),配合其他攻擊的方式5對(duì)拒絕服務(wù)防范手段與措施首先我們必須知道,拒絕服務(wù)式的攻擊是本身協(xié)議的缺陷,我們目前還不太可能做到對(duì)這種攻擊百分百的防御,但是積極部署防御措施,還是能在很大程度上緩解和抵御這類安全威脅的。另外,加強(qiáng)用戶的安全防范意識(shí),提高網(wǎng)絡(luò)系統(tǒng)的安全性也是很重要的措施,現(xiàn)在根據(jù)目前的防御手段主要有以下幾種5.1增強(qiáng)網(wǎng)絡(luò)的容忍性首先具體設(shè)施有我們修改內(nèi)核參數(shù)即可有效緩解。主要參數(shù)如下：net.ipv4.tcp_syncookies=1net.ipv4.tcp_max_syn_backlog=9000net.ipv4.tcp_synack_retries=2分別為啟用SYNCookie、設(shè)置SYN最大隊(duì)列長(zhǎng)度以及設(shè)置SYN+ACK最大重試次數(shù)。SYNCookie的作用是緩解服務(wù)器資源壓力。啟用之前,服務(wù)器在接到SYN數(shù)據(jù)包后,立即分配存儲(chǔ)空間,并隨機(jī)化一個(gè)數(shù)字作為SYN號(hào)發(fā)送SYN+ACK數(shù)據(jù)包。然后保存連接的狀態(tài)信息等待客戶端確認(rèn)。啟用SYNCookie之后,服務(wù)器不再分配存儲(chǔ)空間,而且通過基于時(shí)間種子的隨機(jī)數(shù)算法設(shè)置一個(gè)SYN號(hào),替代完全隨機(jī)的SYN號(hào)。發(fā)送完SYN+ACK確認(rèn)報(bào)文之后,清空資源不保存任何狀態(tài)信息。直到服務(wù)器接到客戶端的最終ACK包,通過Cookie檢驗(yàn)算法鑒定是否與發(fā)出去的SYN+ACK報(bào)文序列號(hào)匹配,匹配則通過完成握手,失敗則丟棄其次tcp_max_syn_backlog則是使用服務(wù)器的內(nèi)存資源,換取更大的等待隊(duì)列長(zhǎng)度,讓攻擊數(shù)據(jù)包不至于占滿所有連接而導(dǎo)致正常用戶無法完成握手。net.ipv4.tcp_synack_retries是降低服務(wù)器SYN+ACK報(bào)文重試次數(shù),盡快釋放等待資源5.2提高主機(jī)系統(tǒng)的或網(wǎng)絡(luò)安全性第一我們進(jìn)行流量控制,通過一種手段來控制在指定時(shí)間內(nèi)〔帶寬限制,被發(fā)送到網(wǎng)絡(luò)中的數(shù)據(jù)量,或者是最大速率的數(shù)據(jù)流量發(fā)送,避免攻擊機(jī)無限制的占用網(wǎng)絡(luò)資源。其次我們也可以對(duì)服務(wù)器進(jìn)行冗余備份,增大服務(wù)器處理能力,關(guān)閉不必要的服務(wù)端口,實(shí)行嚴(yán)格的補(bǔ)丁管理,避免服務(wù)器的漏洞曝光,最后我們也可以自我對(duì)服務(wù)器進(jìn)行壓力測(cè)試,查看服務(wù)器的最大處理能力,最后形成在遭遇攻擊,系統(tǒng)崩潰的緊急處理機(jī)制5.3入口過濾第一我們對(duì)端口和協(xié)議過濾,對(duì)一些惡意地址加入黑名單,進(jìn)行過濾,合理的編寫,排列防火墻規(guī)則和路由器的訪問控制列表,合理過濾數(shù)據(jù)流,其次正確配置邊界路由,禁止轉(zhuǎn)發(fā)指向廣播地址的數(shù)據(jù)包,對(duì)于ICMP數(shù)據(jù)包,只允許必須的類型和代碼進(jìn)出網(wǎng)絡(luò),如果網(wǎng)絡(luò)不需要使用IRC,P2P服以及即使消息,則阻止向外發(fā)出這類連接5.4出口過濾用戶網(wǎng)絡(luò)或者其他ISP網(wǎng)絡(luò)的比邊界路由器被配置成在其轉(zhuǎn)發(fā)出的數(shù)據(jù)包時(shí),阻塞源IP地址是非法的數(shù)據(jù)包,以免其外出到外網(wǎng)5.5主機(jī)異常的檢測(cè)對(duì)于以下幾種異常現(xiàn)象我們需要即使的查明原因,實(shí)行可行的決解方案,第一受害網(wǎng)絡(luò)通信流量超出工作極限,出現(xiàn)特大型ICMP和UDP數(shù)據(jù)包,數(shù)