第16講拒絕服務(wù)攻擊課件

第16講拒絕服務(wù)攻擊第16講拒絕服務(wù)攻擊拒絕服務(wù)攻擊的概念2023/8/72拒絕服務(wù)（DenialofService，簡(jiǎn)稱(chēng)DoS），是一種簡(jiǎn)單的破壞性攻擊，通常是利用傳輸協(xié)議中的某個(gè)弱點(diǎn)、系統(tǒng)存在的漏洞、或服務(wù)的漏洞，對(duì)目標(biāo)系統(tǒng)發(fā)起大規(guī)模的進(jìn)攻，用超出目標(biāo)處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)資源、帶寬資源等，或造成程序緩沖區(qū)溢出錯(cuò)誤，致使其無(wú)法處理合法用戶(hù)的正常請(qǐng)求，無(wú)法提供正常服務(wù)，最終致使網(wǎng)絡(luò)服務(wù)癱瘓，甚至系統(tǒng)死機(jī)。簡(jiǎn)單的說(shuō)，拒絕服務(wù)攻擊就是讓攻擊目標(biāo)癱瘓的一種“損人不利己”的攻擊手段。拒絕服務(wù)攻擊的概念2023/8/12拒絕服務(wù)（Denial拒絕服務(wù)攻擊的概念2023/8/73歷史上最著名的拒絕服務(wù)攻擊服務(wù)恐怕要數(shù)Morris蠕蟲(chóng)事件，1988年11月，全球眾多連在因特網(wǎng)上的計(jì)算機(jī)在數(shù)小時(shí)內(nèi)無(wú)法正常工作，這次事件中遭受攻擊的包括５個(gè)計(jì)算機(jī)中心和12個(gè)地區(qū)結(jié)點(diǎn)，連接著政府、大學(xué)、研究所和擁有政府合同的25萬(wàn)臺(tái)計(jì)算機(jī)。這次病毒事件，使計(jì)算機(jī)系統(tǒng)直接經(jīng)濟(jì)損失達(dá)9600萬(wàn)美元。許多知名網(wǎng)站如Yahoo、eBay、CNN、百度、新浪等都曾遭受過(guò)DoS攻擊。拒絕服務(wù)攻擊的概念2023/8/13歷史上最著名的拒絕服務(wù)攻拒絕服務(wù)攻擊的概念2023/8/74拒絕服務(wù)攻擊可能是蓄意的，也可能是偶然的。當(dāng)未被授權(quán)的用戶(hù)過(guò)量使用資源時(shí)，攻擊是蓄意的；當(dāng)合法用戶(hù)無(wú)意地操作而使得資源不可用時(shí)，則是偶然的。應(yīng)該對(duì)兩種拒絕服務(wù)攻擊都采取預(yù)防措施。但是拒絕服務(wù)攻擊問(wèn)題也一直得不到合理的解決，究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的。拒絕服務(wù)攻擊的概念2023/8/14拒絕服務(wù)攻擊可能是蓄意的拒絕服務(wù)攻擊的類(lèi)型2023/8/75最常見(jiàn)的DoS攻擊是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，致使服務(wù)超載，無(wú)法響應(yīng)其他的請(qǐng)求。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬、文件系統(tǒng)空間容量、開(kāi)放的進(jìn)程、向內(nèi)的連接等。這種攻擊會(huì)導(dǎo)致資源的匱乏，無(wú)論計(jì)算機(jī)的處理速度多么快，內(nèi)存容量多么大，互聯(lián)網(wǎng)帶寬多么大都無(wú)法避免這種攻擊帶來(lái)的后果。拒絕服務(wù)攻擊的類(lèi)型2023/8/15最常見(jiàn)的DoS攻擊是利用拒絕服務(wù)攻擊的類(lèi)型從實(shí)施DoS攻擊所用的思路來(lái)看，DoS攻擊可以分為：濫用合理的服務(wù)請(qǐng)求過(guò)度地請(qǐng)求系統(tǒng)的正常服務(wù)，占用過(guò)多服務(wù)資源，致使系統(tǒng)超載。這些服務(wù)資源通常包括網(wǎng)絡(luò)帶寬、文件系統(tǒng)空間容量、開(kāi)放的進(jìn)程或者連接數(shù)等

制造高流量無(wú)用數(shù)據(jù)惡意地制造和發(fā)送大量各種隨機(jī)無(wú)用的數(shù)據(jù)包，用這種高流量的無(wú)用數(shù)據(jù)占據(jù)網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁塞利用傳輸協(xié)議缺陷

構(gòu)造畸形的數(shù)據(jù)包并發(fā)送，導(dǎo)致目標(biāo)主機(jī)無(wú)法處理，出現(xiàn)錯(cuò)誤或崩潰，而拒絕服務(wù)

利用服務(wù)程序的漏洞

針對(duì)主機(jī)上的服務(wù)程序的特定漏洞，發(fā)送一些有針對(duì)性的特殊格式的數(shù)據(jù)，導(dǎo)致服務(wù)處理錯(cuò)誤而拒絕服務(wù)

2023/8/76拒絕服務(wù)攻擊的類(lèi)型從實(shí)施DoS攻擊所用的思路來(lái)看，DoS攻擊拒絕服務(wù)攻擊的類(lèi)型2023/8/77按漏洞利用方式分類(lèi)，DoS攻擊可以分為：特定資源消耗類(lèi)主要利用TCP/IP協(xié)議棧、操作系統(tǒng)或應(yīng)用程序設(shè)計(jì)上的缺陷，通過(guò)構(gòu)造并發(fā)送特定類(lèi)型的數(shù)據(jù)包，使目標(biāo)系統(tǒng)的協(xié)議?？臻g飽和、操作系統(tǒng)或應(yīng)用程序資源耗盡或崩潰，從而達(dá)到DoS的目的。暴力攻擊類(lèi)依靠發(fā)送大量的數(shù)據(jù)包占據(jù)目標(biāo)系統(tǒng)有限的網(wǎng)絡(luò)帶寬或應(yīng)用程序處理能力來(lái)達(dá)到攻擊的目的。通常暴力攻擊需要比特定資源消耗攻擊使用更大的數(shù)據(jù)流量才能達(dá)到目的。拒絕服務(wù)攻擊的類(lèi)型2023/8/17按漏洞利用方式分類(lèi)，Do拒絕服務(wù)攻擊的類(lèi)型2023/8/78按攻擊數(shù)據(jù)包發(fā)送速率變化方式，DoS攻擊可分為：固定速率可變速率根據(jù)數(shù)據(jù)包發(fā)送速率變化模式，又可以分為震蕩變化型和持續(xù)增加型。震蕩變化型變速率發(fā)送方式間歇性地發(fā)送數(shù)據(jù)包，使入侵檢測(cè)系統(tǒng)難以發(fā)現(xiàn)持續(xù)的異常。持續(xù)增加型變速率發(fā)送方式可以使攻擊目標(biāo)的性能緩慢下降，并可以誤導(dǎo)基于學(xué)習(xí)的檢測(cè)系統(tǒng)產(chǎn)生錯(cuò)誤的檢測(cè)規(guī)則。拒絕服務(wù)攻擊的類(lèi)型2023/8/18按攻擊數(shù)據(jù)包發(fā)送速率變化拒絕服務(wù)攻擊的類(lèi)型2023/8/79按攻擊可能產(chǎn)生的影響，DoS攻擊可以分為：系統(tǒng)或程序崩潰類(lèi)根據(jù)可恢復(fù)的程度，系統(tǒng)或程序崩潰類(lèi)又可以分為：自我恢復(fù)類(lèi)、人工恢復(fù)類(lèi)、不可恢復(fù)類(lèi)等。自我恢復(fù)類(lèi)是指當(dāng)攻擊停止后系統(tǒng)功能可自動(dòng)恢復(fù)正常。人工恢復(fù)類(lèi)是指系統(tǒng)或服務(wù)程序需要人工重新啟動(dòng)才能恢復(fù)。不可恢復(fù)類(lèi)是指攻擊給目標(biāo)系統(tǒng)的硬件設(shè)備、文件系統(tǒng)等造成了不可修復(fù)性的損壞。服務(wù)降級(jí)類(lèi)系統(tǒng)對(duì)外提供服務(wù)的服務(wù)下降拒絕服務(wù)攻擊的類(lèi)型2023/8/19按攻擊可能產(chǎn)生的影響，D典型案例：百度遭受大規(guī)模SYNFlooding攻擊2023/8/7102006年9月12日下午，百度遭受有史以來(lái)最大規(guī)模的不明身份黑客攻擊，導(dǎo)致百度搜索服務(wù)在全國(guó)各地出現(xiàn)了近30分鐘的故障，黑客所使用的手段是SynFlooding分布式拒絕服務(wù)攻擊。新華網(wǎng)報(bào)道：/newmedia/2006-09/14/content_5089683.htm下頁(yè)是新聞的部分截圖。典型案例：百度遭受大規(guī)模SYNFlooding攻擊20232023/8/7112023/8/111典型的拒絕服務(wù)攻擊PingofDeath淚滴（Teardrop）IP欺騙DoS攻擊UDP洪水SYN洪水Land攻擊Smurf攻擊Fraggle攻擊電子郵件炸彈畸形消息攻擊SlashdoteffectWinNuke攻擊2023/8/712典型的拒絕服務(wù)攻擊PingofDeath2023/8/1PingofDeath2023/8/713Ping是一個(gè)非常著名的程序，這個(gè)程序的目的是為了測(cè)試另一臺(tái)主機(jī)是否可達(dá)?，F(xiàn)在所有的操作系統(tǒng)上幾乎都有這個(gè)程序，它已經(jīng)成為系統(tǒng)的一部分。Ping程序的目的是為了查看網(wǎng)絡(luò)上的主機(jī)是否處于活動(dòng)狀態(tài)。通過(guò)發(fā)送一份ICMP回顯請(qǐng)求報(bào)文給目的主機(jī)，并等待返回ICMP回顯應(yīng)答，根據(jù)回顯應(yīng)答的內(nèi)容判斷目的主機(jī)的狀況。PingofDeath2023/8/113Ping是一個(gè)PingofDeath2023/8/714Ping之所以會(huì)造成傷害是源于早期操作系統(tǒng)在處理ICMP協(xié)議數(shù)據(jù)包存在漏洞。ICMP協(xié)議的報(bào)文長(zhǎng)度是固定的，大小為64KB，早期很多操作系統(tǒng)在接收ICMP數(shù)據(jù)報(bào)文的時(shí)候，只開(kāi)辟64KB的緩存區(qū)用于存放接收到的數(shù)據(jù)包。一旦發(fā)送過(guò)來(lái)的ICMP數(shù)據(jù)包的實(shí)際尺寸超過(guò)64KB(65536B)，操作系統(tǒng)將收到的數(shù)據(jù)報(bào)文向緩存區(qū)填寫(xiě)時(shí)，報(bào)文長(zhǎng)度大于64KB，就會(huì)產(chǎn)生一個(gè)緩存溢出，結(jié)果將導(dǎo)致TCP/IP協(xié)議堆棧的崩潰，造成主機(jī)的重啟動(dòng)或是死機(jī)。PingofDeath2023/8/114Ping之所以PingofDeath2023/8/715Ping程序有一個(gè)“-l”參數(shù)可指定發(fā)送數(shù)據(jù)包的尺寸，因此，使用Ping這個(gè)常用小程序就可以簡(jiǎn)單地實(shí)現(xiàn)這種攻擊。例如通過(guò)這樣一個(gè)命令：

Ping-l6554040如果對(duì)方主機(jī)存在這樣一個(gè)漏洞，就會(huì)形成一次拒絕服務(wù)攻擊。這種攻擊被稱(chēng)為“死亡之Ping”。

PingofDeath2023/8/115Ping程序有2023/8/7網(wǎng)絡(luò)入侵與防范講義166.2.1PingofDeath現(xiàn)在的操作系統(tǒng)都已對(duì)這一漏洞進(jìn)行了修補(bǔ)。對(duì)可發(fā)送的數(shù)據(jù)包大小進(jìn)行了限制。在Windowsxpsp2操作系統(tǒng)中輸入這樣的命令：

Ping-l6553540

系統(tǒng)返回這樣的信息：

Badvalueforoption-l,validrangeisfrom0to65500.2023/8/1網(wǎng)絡(luò)入侵與防范講義166.2.1Ping2023/8/7網(wǎng)絡(luò)入侵與防范講義176.2.1PingofDeathPingOfDeath攻擊的攻擊特征、檢測(cè)方法和反攻擊方法總結(jié)如下：攻擊特征：該攻擊數(shù)據(jù)包大于65535個(gè)字節(jié)。由于部分操作系統(tǒng)接收到長(zhǎng)度大于65535字節(jié)的數(shù)據(jù)包時(shí)，就會(huì)造成內(nèi)存溢出、系統(tǒng)崩潰、重啟、內(nèi)核失敗等后果，從而達(dá)到攻擊的目的。檢測(cè)方法：判斷數(shù)據(jù)包的大小是否大于65535個(gè)字節(jié)。反攻擊方法：使用新的補(bǔ)丁程序，當(dāng)收到大于65535個(gè)字節(jié)的數(shù)據(jù)包時(shí)，丟棄該數(shù)據(jù)包，并進(jìn)行系統(tǒng)審計(jì)。2023/8/1網(wǎng)絡(luò)入侵與防范講義176.2.1Ping2023/8/7網(wǎng)絡(luò)入侵與防范講義18淚滴（Teardrop）“淚滴”也被稱(chēng)為分片攻擊，它是一種典型的利用TCP/IP協(xié)議的問(wèn)題進(jìn)行拒絕服務(wù)攻擊的方式，由于第一個(gè)實(shí)現(xiàn)這種攻擊的程序名稱(chēng)為T(mén)eardrop，所以這種攻擊也被稱(chēng)為“淚滴”。2023/8/1網(wǎng)絡(luò)入侵與防范講義18淚滴（Teardrop2023/8/7網(wǎng)絡(luò)入侵與防范講義19淚滴（Teardrop）兩臺(tái)計(jì)算機(jī)在進(jìn)行通信時(shí)，如果傳輸?shù)臄?shù)據(jù)量較大，無(wú)法在一個(gè)數(shù)據(jù)報(bào)文中傳輸完成，就會(huì)將數(shù)據(jù)拆分成多個(gè)分片，傳送到目的計(jì)算機(jī)后再到堆棧中進(jìn)行重組，這一過(guò)程稱(chēng)為“分片”。為了能在到達(dá)目標(biāo)主機(jī)后進(jìn)行數(shù)據(jù)重組，IP包的TCP首部中包含有信息（分片識(shí)別號(hào)、偏移量、數(shù)據(jù)長(zhǎng)度、標(biāo)志位）說(shuō)明該分段是原數(shù)據(jù)的哪一段，這樣，目標(biāo)主機(jī)在收到數(shù)據(jù)后，就能根據(jù)首部中的信息將各分片重新組合還原為數(shù)據(jù)。2023/8/1網(wǎng)絡(luò)入侵與防范講義19淚滴（Teardrop2023/8/7網(wǎng)絡(luò)入侵與防范講義20例子2023/8/1網(wǎng)絡(luò)入侵與防范講義20例子2023/8/7網(wǎng)絡(luò)入侵與防范講義21例子(2)如上圖所示，從客戶(hù)機(jī)向服務(wù)器發(fā)送一個(gè)數(shù)據(jù)報(bào)文無(wú)法發(fā)送完成的數(shù)據(jù)，這些數(shù)據(jù)會(huì)被分片發(fā)送。報(bào)文1、2、3是TCP連接的三次握手過(guò)程，接著4、5、6客戶(hù)機(jī)向服務(wù)器發(fā)送三個(gè)報(bào)文，在這三個(gè)數(shù)據(jù)報(bào)文首部信息中，有每個(gè)報(bào)文的分片信息。2023/8/1網(wǎng)絡(luò)入侵與防范講義21例子(2)如上圖所示，2023/8/7網(wǎng)絡(luò)入侵與防范講義22例子(3)這就是報(bào)文重組的信息:PSH1:1025(1024)ack1,win4096PSH1025:2049(1024)ack1,win4096PSH2049:3073(1024)ack1,win4096在這個(gè)報(bào)文中，可以看到在第4、5、6這三個(gè)報(bào)文中，第4個(gè)發(fā)送的數(shù)據(jù)報(bào)文中是原數(shù)據(jù)的第1～1025字節(jié)內(nèi)容，第5個(gè)發(fā)送的報(bào)文包含的是第1025～2048字節(jié)，第6個(gè)數(shù)據(jù)報(bào)文是第2049～3073個(gè)字節(jié)，接著后面是繼續(xù)發(fā)送的分片和服務(wù)器的確認(rèn)。當(dāng)這些分片數(shù)據(jù)被發(fā)送到目標(biāo)主機(jī)后，目標(biāo)主機(jī)就能夠根據(jù)報(bào)文中的信息將分片重組，還原出數(shù)據(jù)。2023/8/1網(wǎng)絡(luò)入侵與防范講義22例子(3)這就是報(bào)文重2023/8/7網(wǎng)絡(luò)入侵與防范講義23例子(4)如果入侵者偽造數(shù)據(jù)報(bào)文，向服務(wù)器發(fā)送含有重疊偏移信息的分段包到目標(biāo)主機(jī)，例如如下所列的分片信息：PSH1:1025(1024)ack1,win4096PSH1000:2049(1024)ack1,win4096PSH2049:3073(1024)ack1,win4096這樣的信息被目的主機(jī)收到后，在堆棧中重組時(shí)，由于畸形分片的存在，會(huì)導(dǎo)致重組出錯(cuò)，這個(gè)錯(cuò)誤并不僅僅是影響到重組的數(shù)據(jù)，由于協(xié)議重組算法，會(huì)導(dǎo)致內(nèi)存錯(cuò)誤，引起協(xié)議棧的崩潰。2023/8/1網(wǎng)絡(luò)入侵與防范講義23例子(4)如果入侵者偽2023/8/7網(wǎng)絡(luò)入侵與防范講義24淚滴（teardrop）淚滴攻擊的攻擊特征、檢測(cè)方法和反攻擊方法總結(jié)如下：攻擊特征：Teardrop工作原理是向被攻擊者發(fā)送多個(gè)分片的IP包，某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時(shí)將會(huì)出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。檢測(cè)方法：對(duì)接收到的分片數(shù)據(jù)包進(jìn)行分析，計(jì)算數(shù)據(jù)包的片偏移量（Offset）是否有誤。反攻擊方法：添加系統(tǒng)補(bǔ)丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對(duì)這種攻擊進(jìn)行審計(jì)。2023/8/1網(wǎng)絡(luò)入侵與防范講義24淚滴（teardrop2023/8/7網(wǎng)絡(luò)入侵與防范講義25IP欺騙DoS攻擊這種攻擊利用RST位來(lái)實(shí)現(xiàn)。假設(shè)現(xiàn)在有一個(gè)合法用戶(hù)(1)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為1，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為1發(fā)送的連接有錯(cuò)誤，就會(huì)清空緩沖區(qū)中建立好的連接。這時(shí)，如果合法用戶(hù)1再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒(méi)有這樣的連接了，該用戶(hù)就必須從新開(kāi)始建立連接。2023/8/1網(wǎng)絡(luò)入侵與防范講義25IP欺騙DoS攻擊這2023/8/7網(wǎng)絡(luò)入侵與防范講義26IP欺騙DoS攻擊攻擊時(shí)，攻擊者會(huì)偽造大量的IP地址，向目標(biāo)發(fā)送RST數(shù)據(jù)，使服務(wù)器不對(duì)合法用戶(hù)服務(wù)，從而實(shí)現(xiàn)了對(duì)受害服務(wù)器的拒絕服務(wù)攻擊。2023/8/1網(wǎng)絡(luò)入侵與防范講義26IP欺騙DoS攻擊攻2023/8/7網(wǎng)絡(luò)入侵與防范講義27UDP洪水UDP洪水（UDPflood）主要是利用主機(jī)能自動(dòng)進(jìn)行回復(fù)的服務(wù)（例如使用UDP協(xié)議的chargen服務(wù)和echo服務(wù)）來(lái)進(jìn)行攻擊。很多提供WWW和Mail等服務(wù)設(shè)備通常是使用Unix的服務(wù)器，它們默認(rèn)打開(kāi)一些被黑客惡意利用的UDP服務(wù)。如echo服務(wù)會(huì)顯示接收到的每一個(gè)數(shù)據(jù)包，而原本作為測(cè)試功能的chargen服務(wù)會(huì)在收到每一個(gè)數(shù)據(jù)包時(shí)隨機(jī)反饋一些字符。2023/8/1網(wǎng)絡(luò)入侵與防范講義27UDP洪水UDP洪水2023/8/7網(wǎng)絡(luò)入侵與防范講義28UDP洪水當(dāng)我們向echo服務(wù)的端口發(fā)送一個(gè)數(shù)據(jù)時(shí)，echo服務(wù)會(huì)將同樣的數(shù)據(jù)返回給發(fā)送方，而chargen服務(wù)則會(huì)隨機(jī)返回字符。當(dāng)兩個(gè)或兩個(gè)以上系統(tǒng)存在這樣的服務(wù)時(shí)，攻擊者利用其中一臺(tái)主機(jī)向另一臺(tái)主機(jī)的echo或者chargen服務(wù)端口發(fā)送數(shù)據(jù)，echo和chargen服務(wù)會(huì)自動(dòng)進(jìn)行回復(fù)，這樣開(kāi)啟echo和chargen服務(wù)的主機(jī)就會(huì)相互回復(fù)數(shù)據(jù)。由于這種做法使一方的輸出成為另一方的輸入，兩臺(tái)主機(jī)間會(huì)形成大量的UDP數(shù)據(jù)包。當(dāng)多個(gè)系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時(shí)，最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。

2023/8/1網(wǎng)絡(luò)入侵與防范講義28UDP洪水當(dāng)我們向e2023/8/7網(wǎng)絡(luò)入侵與防范講義29UDP洪水實(shí)例（UDP-Flood）IP/hostname和port：輸入目標(biāo)主機(jī)的IP地址和端口號(hào)；Maxduration：設(shè)定最長(zhǎng)的攻擊時(shí)間；Speed：設(shè)置UDP包發(fā)送速度；Data：指定發(fā)送的UDP數(shù)據(jù)包中包含的內(nèi)容。2023/8/1網(wǎng)絡(luò)入侵與防范講義29UDP洪水實(shí)例（UDP2023/8/7網(wǎng)絡(luò)入侵與防范講義30UDP洪水實(shí)例(2)對(duì)局域網(wǎng)網(wǎng)內(nèi)的一臺(tái)計(jì)算機(jī)4發(fā)起UDPFlood攻擊，發(fā)包速率為250PPS。2023/8/1網(wǎng)絡(luò)入侵與防范講義30UDP洪水實(shí)例(2)對(duì)2023/8/7網(wǎng)絡(luò)入侵與防范講義31UDP洪水實(shí)例(3)在被攻擊的計(jì)算機(jī)4上打開(kāi)Sniffer工具，可以捕捉由攻擊者計(jì)算機(jī)發(fā)到本機(jī)的UDP數(shù)據(jù)包，可以看到內(nèi)容為“*****UDPFlood.Serverstresstest*****”的大量UDP數(shù)據(jù)包，如下頁(yè)圖所示。如果加大發(fā)包速率和增加攻擊機(jī)的數(shù)量，則目標(biāo)主機(jī)的處理能力將會(huì)明顯下降。2023/8/1網(wǎng)絡(luò)入侵與防范講義31UDP洪水實(shí)例(3)在2023/8/7網(wǎng)絡(luò)入侵與防范講義32UDP“洪水”實(shí)例2023/8/1網(wǎng)絡(luò)入侵與防范講義32UDP“洪水”實(shí)例2023/8/7網(wǎng)絡(luò)入侵與防范講義33SYN洪水SYNFlood是當(dāng)前最流行的拒絕服務(wù)攻擊方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，使被攻擊方資源耗盡(CPU滿(mǎn)負(fù)荷或內(nèi)存不足)的攻擊方式。SYNFlood是利用TCP連接的三次握手過(guò)程的特性實(shí)現(xiàn)的。2023/8/1網(wǎng)絡(luò)入侵與防范講義33SYN洪水SYNF2023/8/7網(wǎng)絡(luò)入侵與防范講義34SYN洪水在TCP連接的三次握手過(guò)程中，假設(shè)一個(gè)客戶(hù)端向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線(xiàn)，那么服務(wù)器在發(fā)出SYN/ACK應(yīng)答報(bào)文后是無(wú)法收到客戶(hù)端的ACK報(bào)文的，這種情況下服務(wù)器端一般會(huì)重試，并等待一段時(shí)間后丟棄這個(gè)未完成的連接。這段時(shí)間的長(zhǎng)度我們稱(chēng)為SYNTimeout。一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數(shù)量級(jí)。一個(gè)用戶(hù)出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線(xiàn)程等待1分鐘并不是什么很大的問(wèn)題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況(偽造IP地址)，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源。2023/8/1網(wǎng)絡(luò)入侵與防范講義34SYN洪水在TCP連2023/8/7網(wǎng)絡(luò)入侵與防范講義35SYN洪水即使是簡(jiǎn)單的保存并遍歷半連接列表也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰——既使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無(wú)暇理睬客戶(hù)的正常請(qǐng)求，此時(shí)從正?？蛻?hù)的角度看來(lái)，服務(wù)器失去響應(yīng)，這種情況就稱(chēng)作：服務(wù)器端受到了SYNFlood攻擊(SYN洪水攻擊)。2023/8/1網(wǎng)絡(luò)入侵與防范講義35SYN洪水即使是簡(jiǎn)單2023/8/7網(wǎng)絡(luò)入侵與防范講義36SYN“洪水”攻擊示意圖

2023/8/1網(wǎng)絡(luò)入侵與防范講義36SYN“洪水”攻擊示意2023/8/7網(wǎng)絡(luò)入侵與防范講義37SYN“洪水”攻擊實(shí)例局域網(wǎng)環(huán)境，有一臺(tái)攻擊機(jī)（PIII667/128/mandrake），被攻擊的是一臺(tái)Solaris8.0的主機(jī)，網(wǎng)絡(luò)設(shè)備是Cisco的百兆交換機(jī)。后面將顯示在Solaris上進(jìn)行snoop抓包的記錄。注：snoop與tcpdump等網(wǎng)絡(luò)監(jiān)聽(tīng)工具一樣，是一個(gè)網(wǎng)絡(luò)抓包與分析工具。2023/8/1網(wǎng)絡(luò)入侵與防范講義37SYN“洪水”攻擊實(shí)例2023/8/7網(wǎng)絡(luò)入侵與防范講義38SYN“洪水”攻擊實(shí)例(2)

攻擊示意圖：2023/8/1網(wǎng)絡(luò)入侵與防范講義38SYN“洪水”攻擊實(shí)例2023/8/7網(wǎng)絡(luò)入侵與防范講義39SYN“洪水”攻擊實(shí)例(3)攻擊機(jī)開(kāi)始發(fā)包，DoS開(kāi)始了…，突然間Solaris主機(jī)上的snoop窗口開(kāi)始飛速地翻屏，顯示出接到數(shù)量巨大的Syn請(qǐng)求。這時(shí)的屏幕就好象是時(shí)速300公里的列車(chē)上的一扇車(chē)窗。SynFlood攻擊時(shí)的snoop輸出結(jié)果如下頁(yè)圖所示。2023/8/1網(wǎng)絡(luò)入侵與防范講義39SYN“洪水”攻擊實(shí)例2023/8/7網(wǎng)絡(luò)入侵與防范講義40SYN“洪水”攻擊實(shí)例(4)2023/8/1網(wǎng)絡(luò)入侵與防范講義40SYN“洪水”攻擊實(shí)例2023/8/7網(wǎng)絡(luò)入侵與防范講義41SYN“洪水”攻擊實(shí)例(4)此時(shí)，目標(biāo)主機(jī)再也收不到剛才那些正常的網(wǎng)絡(luò)包，只有DoS包。大家注意一下，這里所有的SynFlood攻擊包的源地址都是偽造的，給追查工作帶來(lái)很大困難。這時(shí)在被攻擊主機(jī)上積累了多少Syn的半連接呢？用netstat來(lái)看一下：

#netstat-an|grepSYN。 結(jié)果如下頁(yè)圖所示。2023/8/1網(wǎng)絡(luò)入侵與防范講義41SYN“洪水”攻擊實(shí)例2023/8/7網(wǎng)絡(luò)入侵與防范講義422023/8/1網(wǎng)絡(luò)入侵與防范講義422023/8/7網(wǎng)絡(luò)入侵與防范講義43SYN“洪水”攻擊實(shí)例(5)

其中SYN_RCVD表示當(dāng)前未完成的TCPSYN隊(duì)列，統(tǒng)計(jì)一下（wc是文件內(nèi)容統(tǒng)計(jì)命令，-l選項(xiàng)表示統(tǒng)計(jì)行數(shù)）：

#netstat-an|grepSYN|wc-l

5273

#netstat-an|grepSYN|wc-l

5154

#netstat-an|grepSYN|wc-l

5267

…..

共有五千多個(gè)Syn的半連接存儲(chǔ)在內(nèi)存中。這時(shí)候被攻擊機(jī)已經(jīng)不能響應(yīng)新的服務(wù)請(qǐng)求了，系統(tǒng)運(yùn)行非常慢，也無(wú)法ping通。而這只是在攻擊發(fā)起后僅僅70秒鐘左右時(shí)的情況。2023/8/1網(wǎng)絡(luò)入侵與防范講義43SYN“洪水”攻擊實(shí)例2023/8/7網(wǎng)絡(luò)入侵與防范講義44SYN“洪水”的防御SYN洪水攻擊比較難以防御，以下是幾種解決方法：縮短SYNTimeout時(shí)間設(shè)置SYNCookie負(fù)反饋策略退讓策略分布式DNS負(fù)載均衡防火墻2023/8/1網(wǎng)絡(luò)入侵與防范講義44SYN“洪水”的防御S2023/8/7網(wǎng)絡(luò)入侵與防范講義45縮短SYNTimeout時(shí)間由于SYNFlood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個(gè)值=SYN攻擊的頻度xSYNTimeout，所以通過(guò)縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文無(wú)效并丟棄該連接的時(shí)間，可以成倍的降低服務(wù)器的負(fù)荷。2023/8/1網(wǎng)絡(luò)入侵與防范講義45縮短SYNTimeo2023/8/7網(wǎng)絡(luò)入侵與防范講義46設(shè)置SYNCookie就是給每一個(gè)請(qǐng)求連接的IP地址分配一個(gè)Cookie，如果短時(shí)間內(nèi)連續(xù)受到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個(gè)IP地址來(lái)的包會(huì)被丟棄。2023/8/1網(wǎng)絡(luò)入侵與防范講義46設(shè)置SYNCooki2023/8/7網(wǎng)絡(luò)入侵與防范講義47負(fù)反饋策略正常情況下，OS對(duì)TCP連接的一些重要參數(shù)有一個(gè)常規(guī)的設(shè)置：SYNTimeout時(shí)間、SYN-ACK的重試次數(shù)、SYN報(bào)文從路由器到系統(tǒng)再到Winsock的延時(shí)等等。這個(gè)常規(guī)設(shè)置針對(duì)系統(tǒng)優(yōu)化，可以給用戶(hù)提供方便快捷的服務(wù)；一旦服務(wù)器受到攻擊，SYNHalflink的數(shù)量超過(guò)系統(tǒng)中TCP活動(dòng)Halflink最大連接數(shù)的設(shè)置，系統(tǒng)將會(huì)認(rèn)為自己受到了SYNFlood攻擊，并將根據(jù)攻擊的判斷情況作出反應(yīng)：減短SYNTimeout時(shí)間、減少SYN-ACK的重試次數(shù)、自動(dòng)對(duì)緩沖區(qū)中的報(bào)文進(jìn)行延時(shí)等等措施，力圖將攻擊危害減到最低。2023/8/1網(wǎng)絡(luò)入侵與防范講義47負(fù)反饋策略正常情況下，2023/8/7網(wǎng)絡(luò)入侵與防范講義48退讓策略退讓策略是基于SYNFlood攻擊代碼的一個(gè)缺陷：SYNFlood一旦攻擊開(kāi)始，將不會(huì)再進(jìn)行域名解析。切入點(diǎn)：假設(shè)一臺(tái)服務(wù)器在受到SYNFlood攻擊后迅速更換自己的IP地址，那么攻擊者仍在不斷攻擊的只是一個(gè)空的IP地址，并沒(méi)有任何主機(jī)，而防御方只要將DNS解析更改到新的IP地址就能在很短的時(shí)間內(nèi)恢復(fù)用戶(hù)通過(guò)域名進(jìn)行的正常訪(fǎng)問(wèn)。為了迷惑攻擊者，我們甚至可以放置一臺(tái)“犧牲”服務(wù)器讓攻擊者滿(mǎn)足于攻擊的“效果”。2023/8/1網(wǎng)絡(luò)入侵與防范講義48退讓策略退讓策略是基于2023/8/7網(wǎng)絡(luò)入侵與防范講義49分布式DNS負(fù)載均衡在眾多的負(fù)載均衡架構(gòu)中，基于DNS解析的負(fù)載均衡本身就擁有對(duì)SYNFlood的免疫力。基于DNS解析的負(fù)載均衡能將用戶(hù)的請(qǐng)求分配到不同IP的服務(wù)器主機(jī)上，攻擊者攻擊的永遠(yuǎn)只是其中一臺(tái)服務(wù)器，一來(lái)這樣增加了攻擊者的成本，二來(lái)過(guò)多的DNS請(qǐng)求可以幫助我們追查攻擊者的真正蹤跡。2023/8/1網(wǎng)絡(luò)入侵與防范講義49分布式DNS負(fù)載均衡在2023/8/7網(wǎng)絡(luò)入侵與防范講義50防火墻在防火墻設(shè)置了正確的規(guī)則后，可以識(shí)別SYNFlood攻擊所采用的攻擊方法，并將攻擊包阻擋在外。2023/8/1網(wǎng)絡(luò)入侵與防范講義50防火墻在防火墻設(shè)置了正2023/8/7網(wǎng)絡(luò)入侵與防范講義51Land攻擊Land是因特網(wǎng)上最常見(jiàn)的拒絕服務(wù)攻擊類(lèi)型，它是由著名黑客組織rootshell發(fā)現(xiàn)的。原理很簡(jiǎn)單，向目標(biāo)機(jī)發(fā)送大量的源地址和目標(biāo)地址相同的包，造成目標(biāo)機(jī)解析Land包時(shí)占用大量的系統(tǒng)資源，從而使網(wǎng)絡(luò)功能完全癱瘓。2023/8/1網(wǎng)絡(luò)入侵與防范講義51Land攻擊Land2023/8/7網(wǎng)絡(luò)入侵與防范講義52Land攻擊Land攻擊也是利用TCP的三次握手過(guò)程的缺陷進(jìn)行攻擊。Land攻擊是向目標(biāo)主機(jī)發(fā)送一個(gè)特殊的SYN包，包中的源地址和目標(biāo)地址都是目標(biāo)主機(jī)的地址。目標(biāo)主機(jī)收到這樣的連接請(qǐng)求時(shí)會(huì)向自己發(fā)送SYN/ACK數(shù)據(jù)包，結(jié)果導(dǎo)致目標(biāo)主機(jī)向自己發(fā)回ACK數(shù)據(jù)包并創(chuàng)建一個(gè)連接。大量的這樣的數(shù)據(jù)包將使目標(biāo)主機(jī)建立很多無(wú)效的連接，系統(tǒng)資源被大量的占用。2023/8/1網(wǎng)絡(luò)入侵與防范講義52Land攻擊Land2023/8/7網(wǎng)絡(luò)入侵與防范講義53Land攻擊Land攻擊示意圖：2023/8/1網(wǎng)絡(luò)入侵與防范講義53Land攻擊Land2023/8/7網(wǎng)絡(luò)入侵與防范講義54Land攻擊Land攻擊可簡(jiǎn)要概括如下：攻擊特征：用于Land攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的。操作系統(tǒng)接收到這類(lèi)數(shù)據(jù)包時(shí)，不知道該如何處理堆棧中的這種情況，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。檢測(cè)方法：判斷網(wǎng)絡(luò)數(shù)據(jù)包的源/目標(biāo)地址是否相同。反攻擊方法：適當(dāng)配置防火墻設(shè)備或過(guò)濾路由器的過(guò)濾規(guī)則可以防止這種攻擊行為，并對(duì)這種攻擊進(jìn)行審計(jì)。2023/8/1網(wǎng)絡(luò)入侵與防范講義54Land攻擊Land2023/8/7網(wǎng)絡(luò)入侵與防范講義55Smurf攻擊Smurf攻擊是利用IP欺騙和ICMP回應(yīng)包引起目標(biāo)主機(jī)網(wǎng)絡(luò)阻塞，實(shí)現(xiàn)DoS攻擊。Smurf攻擊原理：在構(gòu)造數(shù)據(jù)包時(shí)將源地址設(shè)置為被攻擊主機(jī)的地址，而將目的地址設(shè)置為廣播地址，于是，大量的ICMPecho回應(yīng)包被發(fā)送給被攻擊主機(jī)，使其因網(wǎng)絡(luò)阻塞而無(wú)法提供服務(wù)。比PingofDeath洪水的流量高出1或2個(gè)數(shù)量級(jí)。2023/8/1網(wǎng)絡(luò)入侵與防范講義55Smurf攻擊Smu2023/8/7網(wǎng)絡(luò)入侵與防范講義56Smurf攻擊Smurf攻擊示意圖：2023/8/1網(wǎng)絡(luò)入侵與防范講義56Smurf攻擊Smu2023/8/7網(wǎng)絡(luò)入侵與防范講義57Smurf攻擊如上例所示，入侵者的主機(jī)發(fā)送了一個(gè)數(shù)據(jù)包，而目標(biāo)主機(jī)就收到了三個(gè)回復(fù)數(shù)據(jù)包。如果目標(biāo)網(wǎng)絡(luò)是一個(gè)很大的以太網(wǎng)，有200臺(tái)主機(jī)，那么在這種情況下，入侵者每發(fā)送一個(gè)ICMP數(shù)據(jù)包，目標(biāo)主機(jī)就會(huì)收到200個(gè)數(shù)據(jù)包，因此目標(biāo)主機(jī)很快就會(huì)被大量的回復(fù)信息吞沒(méi)，無(wú)法處理其他的任何網(wǎng)絡(luò)傳輸。這種攻擊不僅影響目標(biāo)主機(jī)，還能影響目標(biāo)主機(jī)的整個(gè)網(wǎng)絡(luò)系統(tǒng)。2023/8/1網(wǎng)絡(luò)入侵與防范講義57Smurf攻擊如上例2023/8/7網(wǎng)絡(luò)入侵與防范講義58Smurf攻擊例子B類(lèi)網(wǎng)絡(luò)攻擊者冒充服務(wù)器向一個(gè)B類(lèi)網(wǎng)絡(luò)的廣播地址發(fā)送ICMPecho包整個(gè)B類(lèi)網(wǎng)絡(luò)的所有系統(tǒng)都向此服務(wù)器回應(yīng)一個(gè)icmpreply包2023/8/1網(wǎng)絡(luò)入侵與防范講義58Smurf攻擊例子B類(lèi)2023/8/7網(wǎng)絡(luò)入侵與防范講義59Fraggle攻擊Fraggle攻擊原理與Smurf一樣，也是采用向廣播地址發(fā)送數(shù)據(jù)包，利用廣播地址的特性將攻擊放大以使目標(biāo)主機(jī)拒絕服務(wù)。不同的是，F(xiàn)raggle使用的是UDP應(yīng)答消息而非ICMP。2023/8/1網(wǎng)絡(luò)入侵與防范講義59Fraggle攻擊F2023/8/7網(wǎng)絡(luò)入侵與防范講義60電子郵件炸彈電子郵件炸彈是最古老的匿名攻擊之一，由于這種攻擊方式簡(jiǎn)單易用，互聯(lián)網(wǎng)上也很容易找到這些發(fā)送匿名郵件的工具，并且入侵者只需要知道對(duì)方的電子郵件地址就可以進(jìn)行攻擊了。傳統(tǒng)的電子郵件炸彈只是簡(jiǎn)單的往你的郵箱里發(fā)送大量的郵件，入侵者的目的是要用垃圾郵件填滿(mǎn)你的郵箱后，正常的郵件就會(huì)因空間不夠而被服務(wù)器拒收。2023/8/1網(wǎng)絡(luò)入侵與防范講義60電子郵件炸彈電子郵件2023/8/7網(wǎng)絡(luò)入侵與防范講義61電子郵件炸彈如果用戶(hù)的郵箱使用空間不受限制，那么電子郵件炸彈攻擊就有可能影響到服務(wù)器的正常工作了。最有可能的情況是入侵者不斷發(fā)送大量的電子郵件，由于用戶(hù)的郵箱空間不受限制，服務(wù)器會(huì)接收全部的郵件并保存在硬盤(pán)上。大量到來(lái)的郵件將不斷吞噬服務(wù)器上的硬盤(pán)空間，最終將耗盡服務(wù)器上的所有硬盤(pán)空間，使得服務(wù)器無(wú)法再對(duì)外服務(wù)。還有一種可能是通過(guò)設(shè)置一臺(tái)機(jī)器不斷地大量向同一地址發(fā)送電子郵件，入侵者能夠耗盡接收者網(wǎng)絡(luò)的帶寬。2023/8/1網(wǎng)絡(luò)入侵與防范講義61電子郵件炸彈如果用戶(hù)2023/8/7網(wǎng)絡(luò)入侵與防范講義62電子郵件炸彈電子郵件是通過(guò)SMTP協(xié)議進(jìn)行發(fā)送的，最初的SMTP協(xié)議服務(wù)是不需要進(jìn)行身份認(rèn)證的，在發(fā)送電子郵件的過(guò)程中不對(duì)用戶(hù)進(jìn)行身份認(rèn)證。SMTP不會(huì)進(jìn)行認(rèn)證，郵件的發(fā)送人可以偽造任何郵件地址，甚至可以不寫(xiě)發(fā)件人的信息。這就是能發(fā)送匿名郵件的原因。針對(duì)SMTP的問(wèn)題，新的SMTP協(xié)議規(guī)范新增了2個(gè)命令，對(duì)發(fā)送郵件的發(fā)件人進(jìn)行身份認(rèn)證，在一定程度上降低了匿名電子郵件的風(fēng)險(xiǎn)。2023/8/1網(wǎng)絡(luò)入侵與防范講義62電子郵件炸彈電子郵件2023/8/7網(wǎng)絡(luò)入侵與防范講義63畸形消息攻擊畸形消息攻擊是一種有針對(duì)性的攻擊方式，它利用目標(biāo)主機(jī)或者特定服務(wù)存在的安全漏洞進(jìn)行攻擊。目前無(wú)論是Windows、Unix、Linux等各類(lèi)操作系統(tǒng)上的許多服務(wù)都存在安全漏洞，由于這些服務(wù)在處理信息之前沒(méi)有進(jìn)行適當(dāng)正確的錯(cuò)誤校驗(yàn)，所以一旦收到畸形的信息就有可能會(huì)崩潰。2023/8/1網(wǎng)絡(luò)入侵與防范講義63畸形消息攻擊畸形消息2023/8/7網(wǎng)絡(luò)入侵與防范講義64畸形消息攻擊例如，在IIS5沒(méi)有安裝相應(yīng)的修補(bǔ)包以及沒(méi)有相應(yīng)的安全措施時(shí)，向IIS5服務(wù)器遞交如下的URL會(huì)導(dǎo)致IIS5停止服務(wù)：http://testIP/...[25kbof‘.’]...ida

而向IIS5遞交如下的HTTP請(qǐng)求會(huì)導(dǎo)致IIS系統(tǒng)的崩潰，需要重啟動(dòng)才能恢復(fù)：

“GET/......[3k].......htrHTTP/1.0”這兩者都是向服務(wù)器提交正常情況下不會(huì)出現(xiàn)的請(qǐng)求，導(dǎo)致服務(wù)器處理錯(cuò)誤而崩潰，是典型的畸形消息攻擊。2023/8/1網(wǎng)絡(luò)入侵與防范講義64畸形消息攻擊例如，在2023/8/7網(wǎng)絡(luò)入侵與防范講義65SlashdoteffectSlashdoteffect來(lái)自S這個(gè)網(wǎng)站，這曾是十分知名而且瀏覽人數(shù)十分龐大的IT、電子、娛樂(lè)網(wǎng)站，也是blog網(wǎng)站的開(kāi)宗始祖之一。由于S的知名度和瀏覽人數(shù)的影響，在S上的文章中放入的網(wǎng)站鏈接，有可能一瞬間被點(diǎn)入上千次，甚至上萬(wàn)次，造成這個(gè)被鏈接的網(wǎng)站承受不住突然增加的連接請(qǐng)求，出現(xiàn)響應(yīng)變慢、崩潰、拒絕服務(wù)。這種現(xiàn)象就稱(chēng)為Slashdoteffect，這種瞬間產(chǎn)生的大量進(jìn)入某網(wǎng)站的動(dòng)作，也稱(chēng)作Slashdotting。2023/8/1網(wǎng)絡(luò)入侵與防范講義65Slashdote2023/8/7網(wǎng)絡(luò)入侵與防范講義66Slashdoteffect這種攻擊手法使web服務(wù)器或其他類(lèi)型的服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過(guò)載，一般這些網(wǎng)絡(luò)流量是針對(duì)某一個(gè)頁(yè)面或一個(gè)鏈接而產(chǎn)生的。當(dāng)然這種現(xiàn)象也會(huì)在訪(fǎng)問(wèn)量較大的網(wǎng)站上正常的發(fā)生，但一定要把這些正?，F(xiàn)象和攻擊區(qū)分開(kāi)來(lái)。如果您的服務(wù)器突然變得擁