網(wǎng)絡(luò)攻防原理與技術(shù) 第3版 教案 第5講 拒絕服務(wù)攻擊

內(nèi)容備注《網(wǎng)絡(luò)攻防原理與技術(shù)》課程教案講課題目：第五講拒絕服務(wù)攻擊目的要求：了解拒絕服務(wù)攻擊的基本概念；掌握掌握劇毒包型拒絕服務(wù)攻擊的攻擊原理；掌握風(fēng)暴型拒絕服務(wù)攻擊的攻擊原理；了解拒絕服務(wù)攻擊的檢測及響應(yīng)技術(shù)。重點難點：劇毒包型拒絕服務(wù)攻擊的攻擊原理；風(fēng)暴型拒絕服務(wù)攻擊的攻擊原理。方法步驟：理論講授。器材保障：電腦、投影儀。主要教學(xué)內(nèi)容:一、拒絕服務(wù)攻擊概述(一)拒絕服務(wù)攻擊的相關(guān)概念拒絕服務(wù)攻擊（DenialofService，DoS）是一種應(yīng)用廣泛、行之有效但難以防范的網(wǎng)絡(luò)攻擊手段，主要依靠消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源（如，處理機、磁盤、內(nèi)存）導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)或使服務(wù)質(zhì)量顯著降低，或通過更改系統(tǒng)配置使系統(tǒng)無法正常工作（如更改路由器的路由表），來達到攻擊的目的。DDoS（DistributedDenialofService）：如果處于不同位置的多個攻擊者同時向一個或多個目標(biāo)發(fā)起拒絕服務(wù)攻擊，或者一個或多個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施拒絕服務(wù)攻擊。廣義上講，DDoS屬于DoS攻擊，且是DoS主流的攻擊模式。狹義上講，DoS指的是單一攻擊者針對單一受害者的攻擊(傳統(tǒng)的DoS)，而DDoS則是多個攻擊者向同一受害者的攻擊。(二)分類(1)按攻擊目標(biāo)分類。按攻擊目標(biāo)分類，拒絕服務(wù)攻擊可分為節(jié)點型DoS和網(wǎng)絡(luò)連接型DoS。節(jié)點型又可分為主機型和應(yīng)用型。主機型DoS主要對主機的CPU、磁盤、操作系統(tǒng)、文件系統(tǒng)等進行DoS攻擊；應(yīng)用型DoS主要對主機中的應(yīng)用軟件進行DoS攻擊，如Email服務(wù)器、Web服務(wù)器、DNS服務(wù)器、數(shù)據(jù)庫服務(wù)器等。(2)按攻擊方式分類。按攻擊方式分類，拒絕服務(wù)攻擊可分為資源破壞型DoS、物理破壞型DoS和服務(wù)終止型DoS。資源破壞型DoS主要是指耗盡網(wǎng)絡(luò)帶寬、主機內(nèi)存、CPU、磁盤等；物理破壞型DoS主要是指摧毀主機或網(wǎng)絡(luò)節(jié)點的DoS攻擊；服務(wù)終止型DoS則是指攻擊導(dǎo)致服務(wù)崩潰或終止。(3)按攻擊是否直接針對受害者分類。按攻擊是否直接針對受害者分類，可分為直接型DoS和間接型DoS。直接型DoS攻擊直接對受害者發(fā)起攻擊；間接型DoS則是通過攻擊對受害者有致命影響的其他目標(biāo)，從而間接導(dǎo)致受害者不能提供服務(wù)。(4)按攻擊機制分類。按攻擊機制分類，拒絕服務(wù)攻擊可分為劇毒包或殺手包型、風(fēng)暴型和重定向型三種。劇毒包型攻擊主要利用協(xié)議本身或其軟件實現(xiàn)中的漏洞，向目標(biāo)發(fā)送一些異常的（畸形的）數(shù)據(jù)包使目標(biāo)系統(tǒng)在處理時出現(xiàn)異常，甚至崩潰。風(fēng)暴型拒絕服務(wù)攻擊主要通過向目標(biāo)發(fā)送大量的網(wǎng)絡(luò)數(shù)據(jù)包，導(dǎo)致目標(biāo)系統(tǒng)或網(wǎng)絡(luò)的資源耗盡而癱瘓。重定向攻擊是指通過修改網(wǎng)絡(luò)中的一些參數(shù)，如ARP表、DNS緩存，使得從受害者發(fā)出的或發(fā)向受害者的數(shù)據(jù)包被重定向到別的地方。二、劇毒包型拒絕服務(wù)攻擊劇毒包或殺手包（KillerPacket)DoS攻擊：利用協(xié)議本身或其軟件實現(xiàn)中的漏洞，通過一些畸形的數(shù)據(jù)包使受害者系統(tǒng)崩潰，也稱為“漏洞攻擊”或“協(xié)議攻擊”。碎片攻擊（Teardrop）也稱為淚滴攻擊，是利用Windows3.1、Windows95、WindowsNT和低版本的Linux中處理IP分片時的漏洞，向受害者發(fā)送分片偏移地址異常的UDP數(shù)據(jù)包分片，使得目標(biāo)主機在重組分片時出現(xiàn)異常而崩潰或重啟。IP數(shù)據(jù)報分組首部中的標(biāo)志位中的DF標(biāo)志為0時，即指示可以對該分組進行分片傳輸。首部中的片偏移字段（offset）指示某一分片在原分組中的相對位置，且以8個字節(jié)為偏移單位。也就是說，相對于用戶數(shù)據(jù)字段的起點，該片從何處開始。攻擊者精心構(gòu)造數(shù)據(jù)報分片的offset字段，使得系統(tǒng)在計算要拷貝的數(shù)據(jù)片的大小時，得到一個負數(shù)。由于系統(tǒng)采用的是無符號整數(shù)，負數(shù)相當(dāng)于一個很大的整數(shù)，這將導(dǎo)致系統(tǒng)出現(xiàn)異常，如堆棧損壞、IP模塊不可用或系統(tǒng)掛起等。PingofDeath攻擊也稱為也稱為“死亡之Ping”、ICMPBug攻擊，它利用協(xié)議實現(xiàn)時的漏洞(CVE-1999-0128)，向受害者發(fā)送超長的Ping數(shù)據(jù)包（ICMP包），導(dǎo)致受害者系統(tǒng)異常，如死機、重啟、崩潰等。一個ICMP包中的數(shù)據(jù)部分不能超過65515–8=65507字節(jié)。如果攻擊者發(fā)送給受害者主機的ICMP包中的數(shù)據(jù)超過65507字節(jié)，則該數(shù)據(jù)包封裝到IP包后，總長度就超過了IP包長的限制，接收到此數(shù)據(jù)包的主機將出現(xiàn)異常。Land攻擊利用的是主機在處理TCP連接請求上的安全漏洞，其攻擊原理是用一個特別構(gòu)造的TCPSYN包（TCP三次握手中的第一步，用于發(fā)起TCP連接請求），該數(shù)據(jù)包的源地址和目標(biāo)地址都被設(shè)置成受害者主機的IP地址。此舉將導(dǎo)致收到該數(shù)據(jù)包的主機向自己回復(fù)TCPSYN+ACK消息(三次握手中的第二步，連接響應(yīng))，結(jié)果主機又發(fā)回自己一個ACK消息（三次握手中的第三步）并創(chuàng)建一個空連接。被攻擊的主機每接收一個這樣的數(shù)據(jù)包，都將創(chuàng)建一條新連接并保持，直到超時。最終，將導(dǎo)致主機掛起、崩潰或者重啟。例如許多UNIX系統(tǒng)將崩潰，WindowsNT將變得極其緩慢。循環(huán)攻擊也稱為振蕩攻擊(OscillateAttack)或乒乓攻擊，其攻擊原理是：當(dāng)兩個都會產(chǎn)生輸出的端口（可以是一個系統(tǒng)／一臺計算機的兩個端口，也可以是不同系統(tǒng)／計算機的兩個端口）之間建立連接以后，第一個端口的輸出成為第二個端口的輸入，導(dǎo)致第二個端口產(chǎn)生輸出；同時，第二個端口的輸出又成為第一個端口的輸入。如此一來，在兩個端口間將會有大量的數(shù)據(jù)包產(chǎn)生，導(dǎo)致拒絕服務(wù)。2020年10月14日，微軟修復(fù)了一個WindowsIPv6協(xié)議棧中的嚴重遠程代碼執(zhí)行漏洞（CVE-2020-16898），遠程攻擊者無需用戶驗證即可通過發(fā)送惡意構(gòu)造的ICMPv6路由廣播包導(dǎo)致目標(biāo)系統(tǒng)代碼執(zhí)行或拒絕服務(wù)（系統(tǒng)崩潰）。風(fēng)暴型拒絕服務(wù)攻擊（一）攻擊原理風(fēng)暴型拒絕服務(wù)攻擊是最主要的拒絕服務(wù)攻擊形式，通常情況下，談到拒絕服務(wù)攻擊時就是指這種類型的攻擊。它主要通過向攻擊目標(biāo)發(fā)送大量的數(shù)據(jù)包（也稱為“數(shù)據(jù)風(fēng)暴”）來達到癱瘓目標(biāo)的目的。風(fēng)暴型拒絕服務(wù)攻擊一般包括3個步驟，1)攻擊者通過掃描工具尋找一個或多個能夠入侵的系統(tǒng)，并獲得系統(tǒng)的控制權(quán)。然后，在被攻陷的系統(tǒng)中安裝DoS的管理者(handler)。這一步常常針對緩存溢出漏洞或系統(tǒng)安全配置漏洞來進行。2)攻擊者利用掃描工具大量掃描并攻擊存在安全漏洞的系統(tǒng)，獲得該系統(tǒng)的控制權(quán)。在被攻陷的系統(tǒng)中安裝并運行DoS的攻擊代理(agent)。3)攻擊者通過handler通知攻擊代理攻擊的目標(biāo)以及攻擊類型等。很多攻擊工具的將攻擊者、攻擊代理和handler之間的通信信道加密以便較好地隱藏DoS攻擊網(wǎng)絡(luò)。在收到攻擊指令后，攻擊代理發(fā)起真正的攻擊。風(fēng)暴型拒絕服務(wù)攻擊之所以能成功，主要原因有以下幾點。1)TCP/IP協(xié)議存在漏洞，可以被攻擊者利用。2)網(wǎng)絡(luò)提供Best-Effort服務(wù)，不區(qū)分數(shù)據(jù)流量是否是攻擊流量。3)因特網(wǎng)沒有認證機制，從而容易遭受IP欺騙。4)因特網(wǎng)中的路由器不具備數(shù)據(jù)追蹤功能，因而無法驗證一個數(shù)據(jù)包是來自于其聲稱的位置。5)網(wǎng)絡(luò)帶寬和系統(tǒng)資源是有限的，這是最根本原因。風(fēng)暴型拒絕服務(wù)攻擊一般又分為兩類：直接風(fēng)暴型和反射型。直接風(fēng)暴型拒絕服務(wù)攻擊的特點是攻擊者直接利用自己控制的主機向攻擊目標(biāo)發(fā)送大量的網(wǎng)絡(luò)數(shù)據(jù)包。反射型拒絕服務(wù)攻擊的特點是攻擊者偽造攻擊數(shù)據(jù)包，其源地址為被攻擊主機的IP地址，目的地址為網(wǎng)絡(luò)上大量網(wǎng)絡(luò)服務(wù)器或某些高速網(wǎng)絡(luò)服務(wù)器的地址，通過這些服務(wù)器（作為反射器）的響應(yīng)實施對目標(biāo)主機的拒絕服務(wù)攻擊。（二）直接風(fēng)暴型拒絕服務(wù)攻擊SYNFlood攻擊，也稱為“SYN洪泛攻擊”、“SYN洪水攻擊”，是當(dāng)前最流行的拒絕服務(wù)攻擊方式之一。它的基本原理是向受害主機（服務(wù)器）發(fā)送大量TCPSYN報文（連接請求），但對服務(wù)器的TCPSYN+ACK應(yīng)答報文（連接響應(yīng)）不作應(yīng)答，即三次握手的第三次握手（對響應(yīng)的響應(yīng)）無法完成。在這種情況下，服務(wù)器端一般會重試（再次發(fā)送SYN+ACK給客戶端)并等待一段時間后丟棄這個未完成的連接（稱為“半連接”，放在半連接表中）。如果一個惡意攻擊者發(fā)出大量這種請求，則服務(wù)器端為了維護一個非常大的半連接列表而消耗非常多的資源。一般系統(tǒng)中，半連接數(shù)的上限為1024，超過此限制則不接受新的連接請求，即使是正常用戶的連接請求。此時從正?？蛻舻慕嵌瓤磥恚?wù)器失去響應(yīng)了。此外，對服務(wù)器的性能也會有大的影響，即使是簡單的保存并遍歷也會消耗非常多的CPU和內(nèi)存資源，何況還要不斷對這個列表中的各個客戶端進行TCPSYN+ACK的重試，這將導(dǎo)致部分系統(tǒng)崩潰。Ping風(fēng)暴攻擊的攻擊原理是：攻擊者利用控制的大量主機向受害者發(fā)送大量的ICMP回應(yīng)請求（ICMPEchoRequest，即Ping）消息，使受害者系統(tǒng)忙于處理這些消息而降低性能，嚴重者可能導(dǎo)致系統(tǒng)無法對其他的消息做出響應(yīng)。這種攻擊簡單而有效。TCP連接耗盡型攻擊是向被攻擊主機發(fā)起連接請求（即發(fā)送TCPSYN數(shù)據(jù)包），與SYNFlood攻擊不同的是，它通常會完成三次握手過程，即建立TCP連接。通過建立眾多的TCP連接耗盡受害者的連接資源，從而無法接受正常用戶的連接請求，因此也稱為“空連接攻擊”。與SYNFlood攻擊相比，這種攻擊還有一點不同，即它不需要不停地向受害者發(fā)起連接請求，只需要連接數(shù)量到達一定程度即可，但是SYNFlood攻擊必須不停地發(fā)，一旦停止受害者即可恢復(fù)。HTTP風(fēng)暴型攻擊的攻擊原理是用HTTP協(xié)議對網(wǎng)頁進行合法請求，不停地從受害者處獲取數(shù)據(jù)，占用連接的同時占用網(wǎng)絡(luò)帶寬。為了盡可能地擴大攻擊效果，這種攻擊一般會不停地從受害者網(wǎng)站上下載大的文件（如大的圖像和視頻文件），從而使得一次請求占用系統(tǒng)更多的資源。而一般的連接耗盡型攻擊只占用連接，并不見得有太多的數(shù)據(jù)傳輸。這種攻擊的缺點是一般要使用真實的IP地址，通常是被攻擊者控制的傀儡主機的IP地址，因此攻擊者一般都控制了由大量僵尸主機構(gòu)成的僵尸網(wǎng)絡(luò)。近幾年來，一種稱為HTTPCC（ChallengeCollapsar，譯為“挑戰(zhàn)黑洞”）的風(fēng)暴型拒絕服務(wù)攻擊（也稱為HTTP代理攻擊）非常流行。HTTPCC攻擊的原理是攻擊者借助控制的大量僵尸主機向受害服務(wù)器發(fā)送大量的合法網(wǎng)頁請求，導(dǎo)致服務(wù)器來不及處理。一般來說，訪問靜態(tài)頁面不需要消耗服務(wù)器多少資源，甚至可以說直接從內(nèi)存中讀出發(fā)給用戶就可以。但是，動態(tài)網(wǎng)頁就不一樣，例如論壇之類的動態(tài)網(wǎng)頁，用戶看一個帖子，系統(tǒng)需要到數(shù)據(jù)庫中判斷其是否有讀帖子的權(quán)限，如果有，就讀出帖子里的內(nèi)容，顯示出來——這里至少訪問了2次數(shù)據(jù)庫。如果數(shù)據(jù)庫有200MB大小，系統(tǒng)很可能就要在這200MB大小的數(shù)據(jù)空間搜索一遍，這需要多少的CPU資源和時間?如果查找一個關(guān)鍵字，那么時間更加可觀，因為前面的搜索可以限定在一個很小的范圍內(nèi)，比如用戶權(quán)限只查用戶表，帖子內(nèi)容只查帖子表，而且查到就可以馬上停止查詢，而搜索會對所有數(shù)據(jù)進行一次判斷，消耗的時間是相當(dāng)多。CC攻擊就充分利用了這個特點，模擬多個用戶不停地進行訪問，特別是訪問那些需要大量數(shù)據(jù)操作的請求，即大量占用CPU時間的頁面，比如asp/php/jsp/cgi。（三）反射型拒絕服務(wù)攻擊反射型拒絕服務(wù)攻擊（DistributedReflectionDenialofService,DRDoS）在實施時并不直接向目標(biāo)服務(wù)器或網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包，而是通過中間節(jié)點（稱為“反射器”）間接向目標(biāo)服務(wù)器或網(wǎng)絡(luò)發(fā)送大量數(shù)據(jù)包，導(dǎo)致目標(biāo)服務(wù)器被破壞或使其及周邊網(wǎng)絡(luò)基礎(chǔ)設(shè)施無法訪問。攻擊者一般用一個假的源地址（被攻擊的目標(biāo)網(wǎng)絡(luò)地址），向互聯(lián)網(wǎng)上開放式服務(wù)器（反射器）發(fā)欺騙請求數(shù)據(jù)包，服務(wù)器收到數(shù)據(jù)包以后，將向這個源地址（被攻擊目標(biāo)）回送一個或多個響應(yīng)包。為提高攻擊效果，攻擊者通常會選擇響應(yīng)包大于欺騙請求包的服務(wù)作為反射器（一般將“響應(yīng)包大小/請求包大小”稱為“放大倍數(shù)”或“放大因素”），如DNS、NTP、Chargen等服務(wù)，從而大大放大對目標(biāo)發(fā)送的流量規(guī)模和帶寬。反射型DDoS攻擊的發(fā)起者無需掌控大量僵尸網(wǎng)絡(luò)，只需通過修改源IP地址，就可以發(fā)起攻擊，因此，具有攻擊者隱蔽、難以追蹤的特性，是目前主流的風(fēng)暴型拒絕服務(wù)攻擊方法。在反射型DDoS整個攻擊過程中，反射節(jié)點也無法識別請求發(fā)起源是否具有惡意動機。（四）僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)(Botnet)是僵尸主人(BotMaster)通過命令與控制（CommandandControl,C&C）信道控制的具有協(xié)同性的惡意計算機群，其中，被控制的計算機稱為僵尸主機(Zombie，俗稱“肉雞”)，僵尸主人用來控制僵尸主機的計算機程序稱為僵尸程序(Bot)。正是這種一對多的控制關(guān)系，使得攻擊者能夠以極低的代價高效控制大量的資源為其服務(wù)，這也是僵尸網(wǎng)絡(luò)攻擊模式近年來受到黑客青睞的根本原因。在執(zhí)行惡意行為時，僵尸網(wǎng)絡(luò)充當(dāng)了攻擊平臺的角色，是一種效能巨大的網(wǎng)絡(luò)戰(zhàn)武器。僵尸網(wǎng)絡(luò)主要應(yīng)用于網(wǎng)絡(luò)偵察和攻擊，即平時隱蔽被控主機的主機信息，戰(zhàn)時發(fā)動大規(guī)模流量攻擊（即風(fēng)暴型拒絕服務(wù)攻擊），是實施大規(guī)模拒絕服務(wù)攻擊的主要方式。IRC類僵尸網(wǎng)絡(luò)基于標(biāo)準IRC協(xié)議在IRC聊天服務(wù)器上構(gòu)建其命令與控制信道，控制者通過命令與控制信道實現(xiàn)對大量受控主機的僵尸程序版本更新、惡意攻擊等行為的控制。IRC僵尸網(wǎng)絡(luò)健壯性差，存在單點失效問題，可通過摧毀單個IRC服務(wù)器來切斷僵尸網(wǎng)絡(luò)控制者與bot的聯(lián)系，導(dǎo)致整個僵尸網(wǎng)絡(luò)癱瘓。針對這一問題，bot的僵尸程序使用域名而非固定的IP地址連接IRC服務(wù)器，僵尸網(wǎng)絡(luò)控制者使用動態(tài)域名服務(wù)將僵尸程序連接的域名映射到其控制的多臺IRC服務(wù)器上，一旦正在工作的IRC服務(wù)器失效，僵尸網(wǎng)絡(luò)的受控主機會連接到其他的IRC服務(wù)器，整個僵尸網(wǎng)絡(luò)繼續(xù)運轉(zhuǎn)。此外，將僵尸網(wǎng)絡(luò)的控制權(quán)通過出租出售謀取經(jīng)濟利益是目前僵尸網(wǎng)絡(luò)產(chǎn)業(yè)鏈的重要組成部分。僵尸網(wǎng)絡(luò)主動或者被動改變其IRC服務(wù)器的行為稱為僵尸網(wǎng)絡(luò)的遷移。此外，出于管理便捷的考慮，某些大型僵尸網(wǎng)絡(luò)采用分層管理模式，由多個IRC服務(wù)器控制各自不同的bot群體，而所有的IRC服務(wù)器由僵尸網(wǎng)絡(luò)控制者統(tǒng)一控制。IRC僵尸網(wǎng)絡(luò)中，bot與控制者是實體，IRC服務(wù)器只是中間橋梁。要準確掌握僵尸網(wǎng)絡(luò)，必須掌握僵尸網(wǎng)絡(luò)(控制者)與bot的對應(yīng)關(guān)系。由于僵尸網(wǎng)絡(luò)IRC服務(wù)器與bot連接的復(fù)雜衍變特性以及IRC服務(wù)器與控制者通信檢測的困難，因此檢測僵尸網(wǎng)絡(luò)非常困難。為了克服IRC僵尸網(wǎng)絡(luò)命令與控制機制的不足，使僵尸網(wǎng)絡(luò)更加健壯，就需要更具魯棒性的命令與控制機制。P2P命令與控制機制靠著其出色的分散和對等性質(zhì)成了黑客的首選之一。網(wǎng)絡(luò)中每臺僵尸主機都與該僵尸網(wǎng)絡(luò)中的某一臺或某幾臺僵尸主機存在連接。如果有新的被感染主機要加入僵尸網(wǎng)絡(luò)，它在感染時就會得到該僵尸網(wǎng)絡(luò)中的某臺或某些僵尸主機的IP地址，然后建立連接。建立連接之后，它可以對所要連接的IP地址進行更新。這樣，僵尸網(wǎng)絡(luò)中的每臺僵尸主機都可以同其他任何一臺僵尸主機建立通信鏈路。僵尸主人也就可以通過普通的一臺對等主機向整個僵尸網(wǎng)絡(luò)發(fā)送命令和控制信息，達到自己的目的。拒絕服務(wù)攻擊的應(yīng)用拒絕服務(wù)攻擊除了直接用于癱瘓攻擊目標(biāo)外，還可以作為特權(quán)提升攻擊、獲得非法訪問的一種輔助手段。這時拒絕服務(wù)攻擊服從于其他攻擊的目的。通常，攻擊者不能單純通過拒絕服務(wù)攻擊獲得對某些系統(tǒng)、信息的非法訪問，但可將其作為間接手段使用。SYNFlood攻擊可以用于IP劫持、IP欺騙等。當(dāng)攻擊者想要冒充C跟B通信時，通常要求C不能響應(yīng)B的消息，為此，攻擊者可以先攻擊C（如果它是在線的）使其無法對B的消息進行響應(yīng)。然后攻擊者就可以通過竊聽發(fā)向C的數(shù)據(jù)包，或者猜測發(fā)向C的數(shù)據(jù)包中的序列號等，然后冒充C與第三方通信。一些系統(tǒng)在啟動時會有漏洞，可以通過拒絕服務(wù)攻擊使之重啟，然后在該系統(tǒng)重啟時針對漏洞進行攻擊。如RARP-boot，如果能令其重啟，就可以將其攻破。只需知道RARP-boot在引導(dǎo)時監(jiān)聽的端口號（通常為69），通過向其發(fā)送偽造的數(shù)據(jù)包幾乎可以完全控制其引導(dǎo)過程。有些網(wǎng)絡(luò)中，當(dāng)防火墻關(guān)閉時允許所有數(shù)據(jù)包都能通過（特別是對于那些提供服務(wù)比保障安全更加重要的場合，如普通的ISP），則可通過對防火墻進行拒絕服務(wù)攻擊使其失去作用達到非法訪問受保護網(wǎng)絡(luò)的目的。在Windows系統(tǒng)中，大多數(shù)配置變動在生效前都需要重新啟動系統(tǒng)。這么一來，如果攻擊者已經(jīng)修改了系統(tǒng)的管理權(quán)限，可能需要采取拒絕服務(wù)攻擊的手段使系統(tǒng)重啟或者迫使系統(tǒng)的真正管理員重啟系統(tǒng)，以便使改動的配置生效。對DNS的拒絕服務(wù)攻擊可以達到地址冒充的目的。攻擊者可以通過把DNS致癱，然后冒充DNS的域名解析，把錯誤的域名-IP地址的映射關(guān)系提供給用戶。攻擊者的最終目的大致有兩種：一是竊取受害者的信息，但客觀上導(dǎo)致用戶不能應(yīng)用相應(yīng)的服務(wù)，也構(gòu)成拒絕服務(wù)攻擊；二是拒絕服務(wù)攻擊，如蓄意使用戶不能訪問需要訪問的網(wǎng)站，不能發(fā)送郵件到特定郵件服務(wù)器等。拒絕服務(wù)攻擊的檢測及響應(yīng)（一）攻擊檢測技術(shù)1.DoS攻擊工具的特征標(biāo)志檢測這種方法主要針對攻擊者利用已知特征的DoS攻擊工具發(fā)起的攻擊。攻擊特征主要包括：1)特定端口。例如，NTPDDoS使用的123端口，SSDP攻擊使用的1900端口。2)標(biāo)志位。例如，Shaft攻擊所用的TCP分組的序列號都是0x28374839。3)特定數(shù)據(jù)內(nèi)容。2.根據(jù)異常流量來檢測大部分不易檢測的DoS、DDoS攻擊工具和方法，都有一個共同的特征：當(dāng)這類攻擊出現(xiàn)時，網(wǎng)絡(luò)中會出現(xiàn)大量的某一類型的數(shù)據(jù)包?？梢愿鶕?jù)這一特征來檢測是否發(fā)生了DoS攻擊。DoS工具產(chǎn)生的網(wǎng)絡(luò)通信信息有兩種：控制信息（在DoS管理者與攻擊代理之間）和攻擊時的網(wǎng)絡(luò)通信（在DoS攻擊代理與目標(biāo)主機之間）。根據(jù)以下異?，F(xiàn)象在入侵檢測系統(tǒng)中建立相應(yīng)規(guī)則，能夠較準確地監(jiān)測出DoS攻擊。1）大量目標(biāo)主機域名解析。根據(jù)分析，攻擊者在進行DDoS攻擊前總要解析目標(biāo)的主機名。BIND域名服務(wù)器能夠記錄這些請求。由于每臺攻擊服務(wù)器在進行攻擊前會發(fā)出PTR反向查詢請求，也就是說在DDoS攻擊前域名服務(wù)器會接收到大量的反向解析目標(biāo)IP主機名的PTR查詢請求。雖然這不是真正的“DDoS”通信，但卻能夠用來確定DDoS攻擊的來源。2）極限通信流量。當(dāng)DDoS攻擊一個站點時，會出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時的極限通信流量的現(xiàn)象?，F(xiàn)在的技術(shù)能夠?qū)Σ煌脑吹刂酚嬎愠鰧?yīng)的極限值。當(dāng)明顯超出此極限值時就表明存在DDoS攻擊的通信。3）特大型的ICMP和UDP數(shù)據(jù)包。正常的UDP會話一般都使用小的UDP包。那些明顯大得多的數(shù)據(jù)包很有可能就是DDoS攻擊控制信息，主要含有加密后的目標(biāo)地址和一些命令選項。一旦捕獲到（沒有經(jīng)過偽造的）控制信息，DDoS服務(wù)器的位置就暴露出來了，因為控制信息數(shù)據(jù)包的目標(biāo)地址是沒有偽造的。4）不屬于正常連接通信的TCP和UDP數(shù)據(jù)包。DDoS攻擊常常使用大量非正常的TCP三次握手包進行攻擊，大量偽造源地址的UDP數(shù)據(jù)包等。5）數(shù)據(jù)段內(nèi)容只包含文字和數(shù)字字符（例如，沒有空格、標(biāo)點和控制字符）的數(shù)據(jù)包。這往往是數(shù)據(jù)經(jīng)過BASE64編碼后的特征。（二）響應(yīng)技術(shù)從原理上講，主要有四種應(yīng)對DoS攻擊的方法：第一種是通過丟棄惡意分組的方法保護受攻擊的網(wǎng)絡(luò)或系統(tǒng)；第二種是在源端控制DoS攻擊；第三種是追溯(traceback)發(fā)起攻擊的源端，然后阻止它發(fā)起新的攻擊；第四種是路由器動態(tài)檢測流量并進行控制。1.分組過濾為了避免被攻擊，可以對特定的流量進行過濾，例如，用防火墻過濾掉所有來自某些主機的報文。還有一種“輸入診斷”方案，由受害者提供攻擊特征，沿途的互聯(lián)網(wǎng)服務(wù)提供商（InternetServiceProvider，ISP）配合將攻擊分組過濾掉，但是這種方案需要各個ISP的網(wǎng)絡(luò)管理員人工配合，工作強度高、時間耗費大，因此較難實施。2.源端控制通常參與DoS攻擊的分組使用的源IP地址都是假冒的，因此如果能夠防止IP地址假冒就能夠防止此類DoS攻擊。通過某種形式的源端過濾可以減少或消除假冒IP地址的現(xiàn)象，防范DoS攻擊?，F(xiàn)在越來越多的路由器支持源端過濾。但是，源端過濾并不能徹底消除IP地址假冒。例如，一個ISP的客戶計算機仍然能夠假冒成該ISP網(wǎng)絡(luò)內(nèi)成百上千臺計算機中的一臺。3.追溯追溯發(fā)起攻擊的源端的方法不少，這些方法假定存在源地址假冒，它試圖在攻擊的源處抑制攻擊，并判定惡意的攻擊源。它在IP地址假冒的情況下也可以工作，是采取必要的法律手段防止未來攻擊的關(guān)鍵一步。4.路由器動態(tài)檢測和控制這種方法的基本原理是在路由器上動態(tài)檢測和控制DoS攻擊引起的擁塞，其主要依據(jù)是DoS攻擊分組雖然可能來源于多個流，但這些流肯定有某種共同特征，比如有共同的目的地址或源地址（或地址前綴）或者都是TCPSYN類型的報文。這些流肯定在某些路由器的某些輸出鏈路上聚集起來并造成大量的分組丟失。這些有共同特征的流可以稱為流聚集(aggregate)。如果一個路由器辨識出了這些高帶寬的流聚集，它就可以通知上游路由器限制其發(fā)送速率。流量清洗主要針對互聯(lián)網(wǎng)數(shù)據(jù)中心（InternetDataCenter,IDC）或云服務(wù)的中大型客戶，尤其是對互聯(lián)網(wǎng)有高度依賴的商業(yè)客戶和那些不能承擔(dān)由于DDoS攻擊所造成巨額營業(yè)損失的客戶，如金融機構(gòu)、游戲服務(wù)提供商、電子商務(wù)和內(nèi)容提供商。其基本原理是對進入IDC或云的數(shù)據(jù)流量進行實時監(jiān)控，及時發(fā)現(xiàn)包括DDoS攻擊在內(nèi)的異常流量。在不影響正常業(yè)