拒絕服務(wù)攻擊

拒絕服務(wù)攻擊第1頁，共64頁，2023年，2月20日，星期一3.1拒絕服務(wù)攻擊的基本概念

1、定義

拒絕服務(wù)攻擊（DenialofService，DoS

）攻擊是通過向服務(wù)器、主機(jī)發(fā)送大量的服務(wù)請(qǐng)求，用大量的數(shù)據(jù)包“淹沒”目標(biāo)主機(jī)，迫使目標(biāo)主機(jī)疲于處理這些垃圾數(shù)據(jù)，而無法向合法用戶提供正常服務(wù)的一種攻擊。第2頁，共64頁，2023年，2月20日，星期一3.1拒絕服務(wù)攻擊的基本概念

2、特點(diǎn)和危害

拒絕服務(wù)攻擊是非法用戶向目標(biāo)主機(jī)提供的合法服務(wù)請(qǐng)求，因此，它具有：易于實(shí)施難于防范破壞性強(qiáng)等特點(diǎn)

第3頁，共64頁，2023年，2月20日，星期一3.1拒絕服務(wù)攻擊的基本概念

2、特點(diǎn)和危害

2007年4月，“聯(lián)眾”被DDoS連續(xù)攻擊了一個(gè)月，損失難于估量；2008年9月，開心網(wǎng)遭受DDoS攻擊；2009年5月，易名中國(guó)被DDoS攻擊，上萬個(gè)網(wǎng)站無法打開；2009年下半年，中國(guó)電信多個(gè)省份遭受DDoS攻擊，斷網(wǎng)；2009年12月，彩票直通車遭受DDoS連續(xù)攻擊。第4頁，共64頁，2023年，2月20日，星期一3.2攻擊的分類

1、按攻擊的方式分類直接攻擊反射攻擊（中間人攻擊）分布式拒絕服務(wù)攻擊①直接攻擊帶寬資源CPU資源內(nèi)存磁盤、進(jìn)程數(shù)、數(shù)據(jù)庫連接數(shù)、文件句柄等。

第5頁，共64頁，2023年，2月20日，星期一3.2攻擊的分類

①直接攻擊PingofDeathSYNFloodTCP連接耗盡攻擊UDP風(fēng)暴攻擊等。

②反射攻擊

反彈服務(wù)器Web服務(wù)器DNS服務(wù)器路由器網(wǎng)關(guān)第6頁，共64頁，2023年，2月20日，星期一3.2攻擊的分類

③分布式拒絕服務(wù)攻擊（DistributedDenialofService，DDoS）分布式拒絕服務(wù)攻擊瞬間能產(chǎn)生極大流量，造成被攻擊主機(jī)資源耗盡，從而無法提供服務(wù)；攻擊包的源IP具有隨機(jī)偽造性。黑客控制主機(jī)追蹤調(diào)查難度很大。

第7頁，共64頁，2023年，2月20日，星期一3.2攻擊的分類

2、按攻擊技術(shù)分類①向服務(wù)器發(fā)送合法的服務(wù)請(qǐng)求，通過消耗系統(tǒng)資源，使服務(wù)超載，無法響應(yīng)其他請(qǐng)求，進(jìn)而導(dǎo)致服務(wù)器拒絕向合法用戶提供服務(wù)。

帶寬資源CPU資源內(nèi)存磁盤、進(jìn)程數(shù)、數(shù)據(jù)庫連接數(shù)、文件句柄等。

第8頁，共64頁，2023年，2月20日，星期一3.2攻擊的分類

2、按攻擊技術(shù)分類②利用系統(tǒng)漏洞、軟件缺陷或系統(tǒng)管理員的錯(cuò)誤配置，向系統(tǒng)發(fā)送攻擊數(shù)據(jù)包，導(dǎo)致系統(tǒng)的癱瘓或崩潰。攻擊數(shù)據(jù)包癱瘓崩潰第9頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

1）PingofDeathC:\>ping-l65507078065536第10頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

2）SYNFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)?。〢CK（確認(rèn)連接）發(fā)起方應(yīng)答方第11頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

2）SYNFloodSYNTimeout30秒-2分鐘SYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)！）攻擊者受害者偽造地址進(jìn)行SYN請(qǐng)求為何還沒回應(yīng)就是讓你白等不能建立正常的連接第12頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

2）SYNFloodTCPSYN分段SourceIP=IPxTCPSYN/ACK分段IPx不斷發(fā)送大量偽造的TCPSYN分段最多可打開的半開連接數(shù)量超時(shí)等待時(shí)間等待期內(nèi)的重試次數(shù)X半開連接緩沖區(qū)溢出第13頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

2）SYNFlood第14頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

2）SYNFloodSYNFlood攻擊的檢測(cè)監(jiān)視系統(tǒng)的半開連接數(shù)。比如：使用Netstat命令就能看到系統(tǒng)SYN_RCVD的半連接數(shù)。半連接的數(shù)量>500或占總連接數(shù)的10%以上。

第15頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

2）SYNFlood應(yīng)對(duì)策略

①縮短SYNTimeout時(shí)間。②設(shè)置SYNCookie。就是給每一個(gè)請(qǐng)求連接的IP地址分配一個(gè)Cookie，如果短時(shí)間內(nèi)連續(xù)受到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個(gè)IP地址來的包會(huì)被一概丟棄。第16頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

3）TCP連接耗盡攻擊（connectionFlood攻擊）

攻擊者受害者大量tcpconnect這么多？不能建立正常的連接正常tcpconnect正常用戶正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect攻擊表象利用真實(shí)IP地址（代理服務(wù)器、廣告頁面）在服務(wù)器上建立大量連接服務(wù)器上殘余連接(WAIT狀態(tài))過多，效率降低，甚至資源耗盡，無法響應(yīng)蠕蟲傳播過程中會(huì)出現(xiàn)大量源IP地址相同的包，對(duì)于TCP蠕蟲則表現(xiàn)為大范圍掃描行為消耗骨干設(shè)備的資源，如防火墻的連接數(shù)第17頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

3）TCP連接耗盡攻擊第18頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

4）“淚滴”（Teardrop）攻擊第19頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

5）Land攻擊

SYN發(fā)起方應(yīng)答方第20頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

6）UDPFlood——在UDP協(xié)議中，每一個(gè)應(yīng)用程序進(jìn)程在進(jìn)行通信前，都需要向本地操作系統(tǒng)提出端口申請(qǐng)。intbind(SOCKETs,conststructsockaddr*name,intnamelen);SOCKETserSock;serSock=SOCKET(AF_INET,SOCK_DGRAM,0);my_addr.sin_family=AF_INET;my_addr.sin_port=htons(4000);my_addr.sin_addr.s_addr=inet_addr(“99”);

bind(serSock,(structsockaddr*)&my_addr,slen)第21頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

6）UDPFlood16位源端口號(hào)（可選）16位目的端口號(hào)（必須）16位UDP長(zhǎng)度16位UDP校驗(yàn)和（可選）數(shù)據(jù)第22頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

7）HTTPGet攻擊攻擊者受害者(WebServer)正常HTTPGet請(qǐng)求不能建立正常的連接正常HTTPGetFlood正常用戶正常HTTPGetFlood攻擊表象利用代理服務(wù)器向受害者發(fā)起大量HTTPGet請(qǐng)求主要請(qǐng)求動(dòng)態(tài)頁面，涉及到數(shù)據(jù)庫訪問操作數(shù)據(jù)庫負(fù)載以及數(shù)據(jù)庫連接池負(fù)載極高，無法響應(yīng)正常請(qǐng)求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者(DBServer)DB連接池用完啦?。B連接池占用占用占用第23頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

8）DNS查詢攻擊（DNSQueryFlood）——DNS（domainnamesystem）的作用是把用戶輸入的域名轉(zhuǎn)換成網(wǎng)絡(luò)中計(jì)算機(jī)可識(shí)別的IP地址。

域名如：””DNSIP地址如：“40”第24頁，共64頁，2023年，2月20日，星期一3.3常見的拒絕服務(wù)攻擊技術(shù)

8）DNS查詢攻擊（DNSQueryFlood）第25頁，共64頁，2023年，2月20日，星期一3.4分布式拒絕服務(wù)攻擊

(DistributedDenialofService，DDoS)

每秒3,000個(gè)攻擊包

每秒處理10,000個(gè)數(shù)據(jù)包

第26頁，共64頁，2023年，2月20日，星期一3.4分布式拒絕服務(wù)攻擊

(DistributedDenialofService，DDoS)

黑客受攻擊目標(biāo)服務(wù)器PC導(dǎo)致服務(wù)器癱瘓，救命?。、賻捹Y源耗盡型

smurf攻擊第27頁，共64頁，2023年，2月20日，星期一3.4分布式拒絕服務(wù)攻擊

(DistributedDenialofService，DDoS)

②計(jì)算資源耗盡型——利用服務(wù)器的處理缺陷，消耗目標(biāo)主機(jī)的計(jì)算資源，例如CPU、內(nèi)存等。

第28頁，共64頁，2023年，2月20日，星期一3.5拒絕服務(wù)攻擊案例分析1）什么是smurf攻擊？——smurf攻擊是PingtoDeath攻擊的一種改進(jìn)

——smurf攻擊PingWindows95

緩沖區(qū)第29頁，共64頁，2023年，2月20日，星期一3.5拒絕服務(wù)攻擊案例分析1）什么是smurf攻擊？——smurf攻擊受攻擊目標(biāo)服務(wù)器導(dǎo)致服務(wù)器癱瘓，救命?。ingPingPing洪水Ping攻擊

黑客攻擊的基本原則：——用最少的攻擊資源換取被攻擊者最大的消耗。

第30頁，共64頁，2023年，2月20日，星期一3.5拒絕服務(wù)攻擊案例分析1）什么是smurf攻擊？——smurf攻擊是PingtoDeath攻擊的一種改進(jìn)

——smurf攻擊主機(jī)A主機(jī)B

ICMP請(qǐng)求報(bào)文（類型=8，回顯請(qǐng)求）

ICMP應(yīng)答報(bào)文（類型=0，回顯應(yīng)答）

第31頁，共64頁，2023年，2月20日，星期一3.5拒絕服務(wù)攻擊案例分析1）什么是smurf攻擊？——smurf攻擊是PingtoDeath攻擊的一種改進(jìn)

——smurf攻擊主機(jī)A主機(jī)B

偽裝成主機(jī)C發(fā)送ICMP回顯請(qǐng)求報(bào)文錯(cuò)誤地向主機(jī)C發(fā)送ICMP回顯應(yīng)答報(bào)文主機(jī)C第32頁，共64頁，2023年，2月20日，星期一3.5拒絕服務(wù)攻擊案例分析1）什么是smurf攻擊？——smurf攻擊被攻擊主機(jī)攻擊主機(jī)偽裝C廣播一個(gè)ICMP請(qǐng)求CICMP響應(yīng)假定，局域網(wǎng)內(nèi)有N臺(tái)計(jì)算機(jī)，攻擊者發(fā)送了LKB大小的一個(gè)ICMP報(bào)文。C將收到L×NKB字節(jié)的應(yīng)答報(bào)文。當(dāng)N=100萬時(shí)，smurf攻擊產(chǎn)生的應(yīng)答數(shù)據(jù)報(bào)流量可以達(dá)到1GB。

第33頁，共64頁，2023年，2月20日，星期一3.5拒絕服務(wù)攻擊案例分析2）smurf攻擊程序?qū)崿F(xiàn)——smurf攻擊應(yīng)用程序TCP/IP協(xié)議棧網(wǎng)卡A網(wǎng)卡B4應(yīng)用程序數(shù)據(jù)第34頁，共64頁，2023年，2月20日，星期一3.5拒絕服務(wù)攻擊案例分析2）smurf攻擊程序?qū)崿F(xiàn)——smurf攻擊1）setsockopt函數(shù)解析用于任意類型、任意狀態(tài)套接口的選項(xiàng)設(shè)置。intsetsockopt(SOCKETs,

intlevel,

intoptname,

constcharFAR*optval,

intoptlen

);s——需要改變選項(xiàng)設(shè)置的套接口；第35頁，共64頁，2023年，2月20日，星期一3.5拒絕服務(wù)攻擊案例分析1）setsockopt函數(shù)解析用于任意類型、任意狀態(tài)套接口的選項(xiàng)設(shè)置。intsetsockopt(SOCKETs,

intlevel,

intoptname,

constcharFAR*optval,

intoptlen

);level——指定控制套接字的層次。SOL_SOCKET：通用套接字選項(xiàng)；IPPROTO_IP：IP選項(xiàng)；IPPROTO_TCP：TCP選項(xiàng)。optname——套接字選項(xiàng)的名稱第36頁，共64頁，2023年，2月20日，星期一1）setsockopt函數(shù)解析第37頁，共64頁，2023年，2月20日，星期一1）setsockopt函數(shù)解析第38頁，共64頁，2023年，2月20日，星期一3.5拒絕服務(wù)攻擊案例分析1）setsockopt函數(shù)解析intsetsockopt(SOCKETs,

intlevel,

intoptname,

constcharFAR*optval,

intoptlen

);optval——一個(gè)指針。對(duì)于布爾類型的選項(xiàng)，如果選項(xiàng)設(shè)置為TRUE，optval指向非零整型數(shù)；如果選項(xiàng)設(shè)置為FALSE，optval指向一個(gè)等于零的整型數(shù)。這時(shí)，optlen

=sizeof(int)。對(duì)于其他選項(xiàng)，optval指向那個(gè)存儲(chǔ)整型或結(jié)構(gòu)的內(nèi)存地址，optlen是整型、結(jié)構(gòu)的長(zhǎng)度。第39頁，共64頁，2023年，2月20日，星期一3.5拒絕服務(wù)攻擊案例分析2）Sleep函數(shù)掛起當(dāng)前正在執(zhí)行的線程，等待一段時(shí)間后（單位是千分之一秒），例如：

Sleep(800);3）程序分析①文件頭第40頁，共64頁，2023年，2月20日，星期一3）程序分析

②結(jié)構(gòu)及常量定義

第41頁，共64頁，2023年，2月20日，星期一3）程序分析

②結(jié)構(gòu)及常量定義第42頁，共64頁，2023年，2月20日，星期一3）程序分析

③計(jì)算校驗(yàn)和子函數(shù)

第43頁，共64頁，2023年，2月20日，星期一④主程序命令格式：

FloodPing.exeFakeSourceIpDestinationIp[PacketSize]例如：

FloodPing.exe3556400第44頁，共64頁，2023年，2月20日，星期一④主程序檢查輸入?yún)?shù)FloodPing.exeFakeSourceIpDestinationIp[PacketSize]例如：FloodPing.exe3556400argc=4，argv[1]=FakeSourceIpargv[2]=DestinationIp，argv[3]=PacketSize。

第45頁，共64頁，2023年，2月20日，星期一④主程序?qū)⒚钚休斎氲膮?shù)保存在相應(yīng)的變量中

第46頁，共64頁，2023年，2月20日，星期一④主程序調(diào)用注冊(cè)函數(shù)，創(chuàng)建一個(gè)原始套接口

第47頁，共64頁，2023年，2月20日，星期一④主程序調(diào)用setsockopt函數(shù)，改變套接口選項(xiàng)設(shè)置

第48頁，共64頁，2023年，2月20日，星期一④主程序填寫目標(biāo)地址結(jié)構(gòu)，構(gòu)造IP報(bào)頭、ICMP數(shù)據(jù)包，并放入緩沖區(qū)SendBuf

第49頁，共64頁，2023年，2月20日，星期一④主程序填寫目標(biāo)地址結(jié)構(gòu)，構(gòu)造IP報(bào)頭、ICMP數(shù)據(jù)包，并放入緩沖區(qū)SendBuf

發(fā)送緩沖區(qū)ICMP報(bào)頭ICMP數(shù)據(jù)區(qū)：E第50頁，共64頁，2023年，2月20日，星期一④主程序計(jì)算數(shù)據(jù)包校驗(yàn)和，填寫數(shù)據(jù)包總長(zhǎng)度，使用無限循環(huán)，重復(fù)發(fā)送數(shù)據(jù)包第51頁，共64頁，2023年，2月20日，星期一——smurf攻擊小結(jié)①程序只能運(yùn)行在Windows2000下，WinXP不支持偽造IP地址發(fā)送數(shù)據(jù)包。②部分微軟的系統(tǒng)可能不會(huì)回應(yīng)發(fā)到廣播地址的ICMP回顯請(qǐng)求數(shù)據(jù)包。③在Windows2000下測(cè)試這個(gè)程序，用Sniffer可以觀察到偽造的IP數(shù)據(jù)包發(fā)送情況。④了解如何使用原始套接口，如何構(gòu)造和發(fā)送自己的IP數(shù)據(jù)包。

第52頁，共64頁，2023年，2月20日，星期一3.6拒絕服務(wù)攻擊工具拒絕服務(wù)的特點(diǎn)：攻擊往往與具體的平臺(tái)、系統(tǒng)無關(guān)實(shí)現(xiàn)原理、技術(shù)簡(jiǎn)單，很難防范攻擊可以實(shí)現(xiàn)工具化。常見的攻擊工具：TrinooTFN/TFN2KStacheldrahtJolt2Trinity第53頁，共64頁，2023年，2月20日，星期一3.6拒絕服務(wù)攻擊工具——Trinoo工具的結(jié)構(gòu)基于UDPFlood攻擊工具主控程序（master）攻擊程序AgentUDP（27444）

master第54頁，共64頁，2023年，2月20日，星期一3.7拒絕服務(wù)攻擊的檢測(cè)和防御

1）拒絕服務(wù)攻擊的檢測(cè)①基于sniffer的流量檢測(cè)

對(duì)稱的TCP流報(bào)文的相關(guān)度流量統(tǒng)計(jì)特征IP歷史數(shù)據(jù)

第55頁，共64頁，2023年，2月20日，星期一3.7拒絕服務(wù)攻擊的檢測(cè)和防御

1）拒絕服務(wù)攻擊的檢測(cè)②連接特征檢測(cè)

——任何黑客的攻擊都可以視為：一系列動(dòng)作的組合，在網(wǎng)絡(luò)上表現(xiàn)為一系列數(shù)據(jù)包的攻擊組合。

報(bào)文的內(nèi)容特征到達(dá)的流量特征使用的端口拒絕服務(wù)攻擊特征庫第56頁，共64頁，2023年，2月20日，星期一3.7拒絕服務(wù)攻擊的檢測(cè)和防御

1）拒絕服務(wù)攻擊的檢測(cè)③偽造數(shù)據(jù)包的檢測(cè)——發(fā)動(dòng)拒絕服務(wù)攻擊的時(shí)候，黑客為了隱藏自己、擺脫跟蹤、達(dá)到以小博大的效果，經(jīng)常會(huì)偽造數(shù)據(jù)包。

TTL檢測(cè)AB第57頁，共64頁，2023年，2月20日，星期一3.7拒絕服務(wù)攻擊的檢測(cè)和