網(wǎng)絡(luò)攻防技術(shù) 第8章 拒絕服務(wù)攻擊

第八章拒絕服務(wù)攻擊2023/6/16網(wǎng)絡(luò)攻防技術(shù)2本章主要內(nèi)容8.1

概述8.2

典型拒絕服務(wù)攻擊8.3

分布式拒絕服務(wù)攻擊8.4

拒絕服務(wù)攻擊防御一、拒絕攻擊服務(wù)案例1988年，Morris蠕蟲(chóng)爆發(fā)，其傳播機(jī)制是此后僵尸網(wǎng)絡(luò)構(gòu)建方法的雛形2023/6/16網(wǎng)絡(luò)攻防技術(shù)3一、拒絕攻擊服務(wù)案例2000年，MafiaBoy使用TFN2K對(duì)Yahoo、Ebay、Amazon實(shí)施了DDOS攻擊2023/6/16網(wǎng)絡(luò)攻防技術(shù)4一、拒絕攻擊服務(wù)案例2010年，Anonymous為支持Wikileak，對(duì)瑞士銀行、Paypal等發(fā)動(dòng)DDOS攻擊2023/6/16網(wǎng)絡(luò)攻防技術(shù)5一、拒絕攻擊服務(wù)案例2016年，網(wǎng)絡(luò)服務(wù)提供商Dyn的域名服務(wù)受到Mirai僵尸網(wǎng)絡(luò)發(fā)動(dòng)的分布式拒絕服務(wù)攻擊，Netflix、Twitter等著名網(wǎng)站受到攻擊影響而無(wú)法訪問(wèn)。此次攻擊的峰值流量達(dá)到1.2Tbps2023/6/16網(wǎng)絡(luò)攻防技術(shù)6二、拒絕服務(wù)攻擊概念指攻擊者通過(guò)攻擊網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)絡(luò)鏈路或網(wǎng)絡(luò)應(yīng)用，致使合法用戶(hù)無(wú)法得到正常服務(wù)響應(yīng)的網(wǎng)絡(luò)攻擊行為廣義而言，拒絕服務(wù)攻擊可以泛指一切導(dǎo)致目標(biāo)服務(wù)不可用的攻擊手段，包括物理環(huán)境、硬件、軟件等各個(gè)層面所實(shí)施的破壞。在網(wǎng)絡(luò)安全相關(guān)研究中，論及拒絕服務(wù)攻擊時(shí)多數(shù)指上述狹義的內(nèi)涵2023/6/16網(wǎng)絡(luò)攻防技術(shù)7三、拒絕服務(wù)攻擊分類(lèi)1、漏洞型拒絕服務(wù)攻擊：指利用軟件實(shí)現(xiàn)中存在的漏洞，致使服務(wù)崩潰或者系統(tǒng)異常。具體如:PingofDeath;TearofDrop…2023/6/16網(wǎng)絡(luò)攻防技術(shù)8三、拒絕服務(wù)攻擊分類(lèi)2、重定向型拒絕服務(wù)攻擊：指利用網(wǎng)絡(luò)協(xié)議的設(shè)計(jì)缺陷，使目標(biāo)傳輸?shù)臄?shù)據(jù)被重定向至錯(cuò)誤的網(wǎng)絡(luò)地址，從而無(wú)法進(jìn)行正常的網(wǎng)絡(luò)通信。具體如:基于ARP欺騙、基于DNS欺騙等2023/6/16網(wǎng)絡(luò)攻防技術(shù)9三、拒絕服務(wù)攻擊分類(lèi)3、資源消耗型拒絕服務(wù)攻擊：指通過(guò)大量的請(qǐng)求占用網(wǎng)絡(luò)帶寬或系統(tǒng)資源，從而導(dǎo)致服務(wù)可用性下降甚至喪失。具體如SYNFLOOD、UDPFLOOD、HTTPFLOOD等2023/6/16網(wǎng)絡(luò)攻防技術(shù)102023/6/16網(wǎng)絡(luò)攻防技術(shù)11本章主要內(nèi)容8.1

概述8.2

典型拒絕服務(wù)攻擊8.3

分布式拒絕服務(wù)攻擊8.4

拒絕服務(wù)攻擊防御一、傳統(tǒng)拒絕服務(wù)攻擊傳統(tǒng)拒絕服務(wù)型攻擊多數(shù)是一些較早時(shí)間出現(xiàn)的漏洞利用型拒絕服務(wù)攻擊技術(shù)。雖然這些漏洞利用型攻擊可以通過(guò)更新相關(guān)安全補(bǔ)丁即可防范，但導(dǎo)致攻擊的漏洞有時(shí)會(huì)變換形式再度出現(xiàn)在其它系統(tǒng)或軟件中，使得這些看似“古老”的攻擊技術(shù)會(huì)如同“幽靈”般再次浮現(xiàn)。2023/6/16網(wǎng)絡(luò)攻防技術(shù)12一、傳統(tǒng)拒絕服務(wù)攻擊1、PingofDeath：針對(duì)存在漏洞的Windows95、WinNT、Linux2.0.x等系統(tǒng)，通過(guò)向其發(fā)送超長(zhǎng)的IP數(shù)據(jù)包導(dǎo)致目標(biāo)系統(tǒng)拒絕服務(wù)。2023/6/16網(wǎng)絡(luò)攻防技術(shù)13一、傳統(tǒng)拒絕服務(wù)攻擊2、TearDrop：利用IP包的分片重組在多個(gè)操作系統(tǒng)協(xié)議棧中實(shí)現(xiàn)時(shí)存在的漏洞，主要影響Windows3.1x，Windows95和WindowsNT，以及早于2.0.32和2.1.63版本的Linux操作系統(tǒng)。2023/6/16網(wǎng)絡(luò)攻防技術(shù)14一、傳統(tǒng)拒絕服務(wù)攻擊3、Land攻擊：發(fā)送一個(gè)偽造的TCPSYN報(bào)文，源地址和目的地址設(shè)置均為目標(biāo)IP地址，源端口和目標(biāo)端口設(shè)置為目標(biāo)某個(gè)開(kāi)放的TCP端口，可以導(dǎo)致目標(biāo)主機(jī)死鎖。Windows95、WindowsNT、FreeBSD2.2.5、SunOS4.1.3，甚至多款Cisco路由器在接收到此報(bào)文后，均會(huì)產(chǎn)生拒絕服務(wù)。2023/6/16網(wǎng)絡(luò)攻防技術(shù)15二、洪泛攻擊洪泛攻擊的共同特征是發(fā)送大量的數(shù)據(jù)包，迫使目標(biāo)服務(wù)消耗大量資源來(lái)處理無(wú)用請(qǐng)求。根據(jù)攻擊發(fā)生的協(xié)議層次，洪泛攻擊可以分為網(wǎng)絡(luò)層洪泛、傳輸層洪泛和應(yīng)用層洪泛等，具體的常見(jiàn)洪泛攻擊包括TCP洪泛、UDP洪泛、HTTP洪泛。2023/6/16網(wǎng)絡(luò)攻防技術(shù)16二、洪泛攻擊1、TCP洪泛（TCPFlood）又稱(chēng)為SYN洪泛（SYNFlood），是一種通過(guò)發(fā)送大量偽造的TCP連接請(qǐng)求，致使目標(biāo)服務(wù)TCP連接資源被耗盡的拒絕服務(wù)攻擊。2023/6/16網(wǎng)絡(luò)攻防技術(shù)17二、洪泛攻擊攻擊者向服務(wù)器某個(gè)開(kāi)放端口發(fā)送大量SYN連接請(qǐng)求并忽略服務(wù)器SYN/ACK響應(yīng)，導(dǎo)致服務(wù)器消耗可觀的資源用于維護(hù)大量未完成的TCP半連接，最終使合法的服務(wù)請(qǐng)求者無(wú)法得到正常響應(yīng)。2023/6/16網(wǎng)絡(luò)攻防技術(shù)18二、洪泛攻擊2、UDP洪泛（UDPFlood）是一種通過(guò)發(fā)送大量的UDP報(bào)文，消耗目標(biāo)服務(wù)器帶寬資源的一種拒絕服務(wù)攻擊。2023/6/16網(wǎng)絡(luò)攻防技術(shù)19二、洪泛攻擊UDP洪泛是一類(lèi)拒絕服務(wù)攻擊的統(tǒng)稱(chēng)，最早出現(xiàn)的UDP洪泛攻擊是前文提到的Echo/Chargen攻擊，后文將討論的目前廣泛流行的反射型分布式拒絕服務(wù)攻擊實(shí)際上也多為UDP洪泛攻擊。2023/6/16網(wǎng)絡(luò)攻防技術(shù)20二、洪泛攻擊3、HTTP洪泛（HTTPFlood）利用大量看似合法的HTTPGET或POST請(qǐng)求消耗Web服務(wù)器資源，最終導(dǎo)致其無(wú)法響應(yīng)真正合法的請(qǐng)求。2023/6/16網(wǎng)絡(luò)攻防技術(shù)21二、洪泛攻擊HTTP洪泛并不以流量“取勝”。攻擊者通常會(huì)對(duì)針對(duì)性地對(duì)目標(biāo)Web服務(wù)器進(jìn)行分析，選擇可以更多消耗目標(biāo)服務(wù)器資源的Web請(qǐng)求實(shí)施洪泛。2023/6/16網(wǎng)絡(luò)攻防技術(shù)22三、低速率拒絕服務(wù)攻擊低速率拒絕服務(wù)（LDoS,Low-rateDenial-of-Service）攻擊，是利用網(wǎng)絡(luò)協(xié)議或應(yīng)用服務(wù)協(xié)議中的自適應(yīng)機(jī)制存在的安全問(wèn)題，通過(guò)周期性地發(fā)送高速脈沖攻擊數(shù)據(jù)包，達(dá)到降低被攻擊主機(jī)服務(wù)性能的目的。2023/6/16網(wǎng)絡(luò)攻防技術(shù)23三、低速率拒絕服務(wù)攻擊1、TCP擁塞控制-RTO發(fā)送端為發(fā)送的每個(gè)報(bào)文設(shè)置一個(gè)定時(shí)器，若收到報(bào)文的確認(rèn)之前定時(shí)器超時(shí)將重新發(fā)送該報(bào)文，這里設(shè)置的定時(shí)器就是RTO2023/6/16網(wǎng)絡(luò)攻防技術(shù)24三、低速率拒絕服務(wù)攻擊1、TCP擁塞控制-AIMD發(fā)送端在收到3個(gè)重復(fù)的ACK數(shù)據(jù)包時(shí)就開(kāi)啟重傳，啟動(dòng)AIMD算法調(diào)整擁塞窗口大小。2023/6/16網(wǎng)絡(luò)攻防技術(shù)25三、低速率拒絕服務(wù)攻擊2023/6/16網(wǎng)絡(luò)攻防技術(shù)26在多數(shù)TCP協(xié)議實(shí)現(xiàn)中，擁塞控制綜合使用多種機(jī)制來(lái)調(diào)整源端的發(fā)送速率在鏈路輕度擁塞的情況下，表現(xiàn)為發(fā)送端重復(fù)收到3個(gè)相同的確認(rèn)報(bào)文，主要是采用AIMD策略實(shí)現(xiàn)擁塞控制而當(dāng)網(wǎng)絡(luò)重度擁塞的時(shí)候，表現(xiàn)為在超時(shí)重傳時(shí)間內(nèi)沒(méi)有收到確認(rèn)，此時(shí)使用RTO機(jī)制三、低速率拒絕服務(wù)攻擊2、低速率拒絕服務(wù)攻擊原理

LDoS攻擊利用TCP擁塞控制機(jī)制，故意制造網(wǎng)絡(luò)擁塞狀況，使擁塞控制一直處于調(diào)整狀態(tài)，發(fā)送端的發(fā)送速率會(huì)迅速變小，導(dǎo)致被攻擊主機(jī)的服務(wù)性能顯著降低2023/6/16網(wǎng)絡(luò)攻防技術(shù)272023/6/16網(wǎng)絡(luò)攻防技術(shù)28本章主要內(nèi)容8.1

概述8.2

典型拒絕服務(wù)攻擊8.3

分布式拒絕服務(wù)攻擊8.4

拒絕服務(wù)攻擊防御分布式拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊指采用協(xié)作的方式，利用網(wǎng)絡(luò)中位置分布的大量主機(jī)向目標(biāo)發(fā)起的拒絕服務(wù)攻擊。按照協(xié)同方式的不同分為：僵尸網(wǎng)絡(luò)的分布式拒絕服務(wù)攻擊反射型分布式拒絕服務(wù)攻擊2023/6/16網(wǎng)絡(luò)攻防技術(shù)29一、基于僵尸網(wǎng)絡(luò)的DDoS1、僵尸網(wǎng)絡(luò)基本概念僵尸網(wǎng)絡(luò)：是攻擊者出于惡意目的，傳播僵尸程序控制大量主機(jī)，并通過(guò)一對(duì)多的命令與控制信道所組成的網(wǎng)絡(luò)。僵尸主機(jī)：又稱(chēng)為傀儡機(jī)，指被攻擊者控制，接受并執(zhí)行攻擊者指令的計(jì)算機(jī)，往往被控制者用來(lái)發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，也就是安裝了僵尸程序的計(jì)算機(jī)。2023/6/16網(wǎng)絡(luò)攻防技術(shù)30一、基于僵尸網(wǎng)絡(luò)的DDoS1、僵尸網(wǎng)絡(luò)基本概念僵尸程序：又稱(chēng)為傀儡程序，由英文單詞Robot派生而來(lái)，通常指秘密運(yùn)行在被他人控制的計(jì)算機(jī)中，可以接收預(yù)定義命令和執(zhí)行預(yù)定義功能的程序。命令控制機(jī)制：指攻擊者用來(lái)操縱僵尸網(wǎng)絡(luò)的命令語(yǔ)言及控制協(xié)議。命令控制機(jī)制是僵尸網(wǎng)絡(luò)區(qū)別于其它惡意代碼形態(tài)最為本質(zhì)的屬性。2023/6/16網(wǎng)絡(luò)攻防技術(shù)31一、基于僵尸網(wǎng)絡(luò)的DDoS2、集中式命令控制機(jī)制僵尸節(jié)點(diǎn)通過(guò)連接到一個(gè)或多個(gè)控制服務(wù)器來(lái)獲取控制信息或命令?；贗RC協(xié)議的僵尸網(wǎng)絡(luò)和基于HTTP協(xié)議的僵尸網(wǎng)絡(luò)都屬于集中式命令控制機(jī)制的僵尸網(wǎng)絡(luò)。2023/6/16網(wǎng)絡(luò)攻防技術(shù)32一、基于僵尸網(wǎng)絡(luò)的DDoS3、分布式命令控制機(jī)制在使用分布式命令控制機(jī)制時(shí)，攻擊者通常會(huì)任意地連接到某個(gè)僵尸節(jié)點(diǎn)，在該節(jié)點(diǎn)上發(fā)布命令控制信息，命令會(huì)采用Push或Pull的方式在整個(gè)僵尸網(wǎng)絡(luò)中傳遞。2023/6/16網(wǎng)絡(luò)攻防技術(shù)33一、基于僵尸網(wǎng)絡(luò)的DDoS4、利用僵尸網(wǎng)絡(luò)發(fā)動(dòng)拒絕服務(wù)攻擊2023/6/16網(wǎng)絡(luò)攻防技術(shù)34一、基于僵尸網(wǎng)絡(luò)的DDoS4、利用僵尸網(wǎng)絡(luò)發(fā)動(dòng)拒絕服務(wù)攻擊攻擊者借助僵尸網(wǎng)絡(luò)發(fā)動(dòng)DDoS攻擊通常需要經(jīng)過(guò)以下幾個(gè)階段：構(gòu)建僵尸網(wǎng)絡(luò)收集目標(biāo)信息實(shí)施DDoS攻擊2023/6/16網(wǎng)絡(luò)攻防技術(shù)35二、反射型DDoS反射型分布式拒絕服務(wù)攻擊是從基于僵尸網(wǎng)絡(luò)的分布式拒絕服務(wù)攻擊衍生而來(lái)。在RDDoS攻擊中，攻擊者利用反射器將大量的響應(yīng)包匯集到受害者主機(jī)，導(dǎo)致拒絕服務(wù)。2023/6/16網(wǎng)絡(luò)攻防技術(shù)36二、反射型DDoS1、DNS反射攻擊通過(guò)向DNS服務(wù)器發(fā)送偽造源地址的查詢(xún)請(qǐng)求將應(yīng)答流量導(dǎo)向攻擊目標(biāo)，亦稱(chēng)為DNS放大攻擊。利用LDAP服務(wù)器可將攻擊流量平均放大46倍，最高可放大55倍。2023/6/16網(wǎng)絡(luò)攻防技術(shù)37二、反射型DDoS2、LDAP放大攻擊通過(guò)向LDAP（LightweightDirectoryAccessProtocol，輕量目錄訪問(wèn)協(xié)議）服務(wù)器發(fā)送偽造源地址的查詢(xún)請(qǐng)求來(lái)將應(yīng)答流量導(dǎo)向攻擊目標(biāo)。利用LDAP服務(wù)器可將攻擊流量平均放大46倍，最高可放大55倍。2023/6/16網(wǎng)絡(luò)攻防技術(shù)38二、反射型DDoS2、NTP放大攻擊通過(guò)向NTP（NetworkTimeProtocol，網(wǎng)絡(luò)時(shí)間協(xié)議）服務(wù)器發(fā)送偽造源地址的查詢(xún)請(qǐng)求將應(yīng)答流量導(dǎo)向攻擊目標(biāo)。2023/6/16網(wǎng)絡(luò)攻防技術(shù)392023/6/16網(wǎng)絡(luò)攻防技術(shù)40本章主要內(nèi)容8.1

概述8.2

典型拒絕服務(wù)攻擊8.3

分布式拒絕服務(wù)攻擊8.4

拒絕服務(wù)攻擊防御拒絕服務(wù)攻擊防御從部署位置的角度可以分為源端防御、目標(biāo)端防御、中間網(wǎng)絡(luò)防御和混合防御2023/6/16網(wǎng)絡(luò)攻防技術(shù)41拒絕服務(wù)攻擊防御從技術(shù)的角度，拒絕服務(wù)攻擊的防御可以分為預(yù)防、檢測(cè)、響應(yīng)與容忍：預(yù)防著眼于在攻擊發(fā)生前消除拒絕服務(wù)攻擊的可能性檢測(cè)是檢測(cè)拒絕服務(wù)攻擊的發(fā)生，區(qū)分攻擊流量和正常流量，為后續(xù)的響應(yīng)提供依據(jù)響應(yīng)關(guān)注于在拒絕服務(wù)攻擊發(fā)生后降低乃至消除攻擊的危害與影響容忍致力于在拒絕服務(wù)攻擊發(fā)生后保持服務(wù)的可用性2023/6/16網(wǎng)絡(luò)攻防技術(shù)42一、預(yù)防拒絕服務(wù)攻擊的預(yù)防是在攻擊發(fā)生前阻止攻擊，具體措施包括：抑制僵尸網(wǎng)絡(luò)規(guī)模過(guò)濾偽造源地址報(bào)文減少可用反射/放大器2023/6/16網(wǎng)絡(luò)攻防技術(shù)43二、檢測(cè)拒絕服務(wù)攻擊檢測(cè)是在攻擊過(guò)程發(fā)現(xiàn)攻擊，并區(qū)分攻擊流量與正常流量，具體方法包括：特征檢測(cè)：通過(guò)分析得到攻擊行為區(qū)別于其它正常用戶(hù)訪問(wèn)行為的唯一特征，并據(jù)此建立已知攻擊的特征庫(kù)異常檢測(cè)：攻擊會(huì)導(dǎo)致當(dāng)前的網(wǎng)絡(luò)狀態(tài)與正常網(wǎng)絡(luò)狀態(tài)模型產(chǎn)生顯著的不同。異常檢測(cè)通過(guò)對(duì)比兩者檢測(cè)出攻擊的發(fā)生2023/6/16網(wǎng)絡(luò)攻防技術(shù)44三、響應(yīng)拒絕服務(wù)攻擊響應(yīng)是指在拒絕服務(wù)攻擊發(fā)生后降低乃至消除攻擊的危害與影響，目前的主要方法稱(chēng)為：“流量清洗”：對(duì)攻擊流量進(jìn)行過(guò)濾，設(shè)法將惡意的網(wǎng)絡(luò)流量剔除掉，只將合法的網(wǎng)絡(luò)流量交付服務(wù)器2023/6/16網(wǎng)絡(luò)攻防技術(shù)45四、容忍拒絕服務(wù)攻擊容忍是指通過(guò)提高處理請(qǐng)求的能力來(lái)消除攻擊的影響：CDN（內(nèi)容分發(fā)網(wǎng)絡(luò)）AnyCast（任播）2023/6/16網(wǎng)絡(luò)攻防技術(shù)46四、容忍1、CDN在互聯(lián)網(wǎng)范圍內(nèi)廣泛設(shè)置多