全國(guó)銀行系統(tǒng)計(jì)算機(jī)安全信息交流會(huì)分布式拒絕服務(wù)攻擊（DDoS）研討

全國(guó)銀行系統(tǒng)計(jì)算機(jī)平安信息交流會(huì)

分布式拒絕效勞攻擊〔DDoS〕研討目錄DDoS震驚世界近期黑客事件回憶剖析DDoS攻擊抵御DoS/DDoSDDoS攻擊展望

分布式拒絕效勞攻擊(DDoS)

震驚世界

二月份，Yahoo!Amazon,eBay,CNN網(wǎng)站接連遭到神秘黑客攻擊。受害公司在３天內(nèi)的損失高達(dá)１０億多美元市場(chǎng)價(jià)值，營(yíng)銷和廣告收入損失１億美元以上。美國(guó)：克林頓召開網(wǎng)絡(luò)平安會(huì)議，F(xiàn)BI傾力捉拿原兇。中國(guó)：媒體廣泛報(bào)道，平安熱潮乍起。中國(guó)反對(duì)互聯(lián)網(wǎng)上的不良行為。DDoS震驚世界近期黑客事件回憶RSA威風(fēng)掃地微軟未能幸免日本政府網(wǎng)站屢遭入侵?黑客帝國(guó)?vs黑客攻擊網(wǎng)絡(luò)平安人員炙手可熱剖析DDoS攻擊什么是DoS攻擊?DenialofService(DoS)拒絕效勞攻擊,攻擊者利用大量的數(shù)據(jù)包“淹沒〞目標(biāo)主機(jī)，耗盡可用資源乃至系統(tǒng)崩潰，而無法對(duì)合法用戶作出響應(yīng)。(電子郵件)DistributedDenialofService(DDoS)分布式拒絕效勞攻擊,攻擊者利用因特網(wǎng)上成百上千的“Zombie〞(僵尸)：被利用主機(jī)，對(duì)攻擊目標(biāo)發(fā)動(dòng)威力巨大的拒絕效勞攻擊。攻擊者的身份很難確認(rèn)。“三次握手〞：(SYNrequest;SYN/ACK;ACK)用戶傳送信息要求效勞器予以確認(rèn),效勞器接收到客戶請(qǐng)求后回復(fù)用戶，用戶被確認(rèn)后，建立連接，登錄效勞器。正常用戶登錄“拒絕效勞〞的攻擊方式為：用戶傳送眾多要求確認(rèn)的信息到效勞器，使效勞器里充滿著這種無用的信息。所有的信息都有需回復(fù)的虛假地址，以至于當(dāng)效勞器試圖回傳時(shí)，卻無法找到用戶。效勞器于是暫時(shí)等候，有時(shí)超過一分鐘，然后再切斷連接。效勞器切斷連接時(shí)，黑客再度傳送新一批需要確認(rèn)的信息，這個(gè)過程周而復(fù)始，最終導(dǎo)致效勞器處于癱瘓狀態(tài)“拒絕效勞〞〔DoS〕的攻擊方式DDoS攻擊的動(dòng)機(jī)Mixter對(duì)DDoS的看法：DDoS不是黑客工具。CapacityManagement〔性能測(cè)試〕Internet本身平安問題： 地址欺騙，SYNflooding,IPstackattackswithbad fragmentation,thestreamvulnerability,本地驗(yàn)證，允 許connection-less和statelessStreamAttack ACK/ACK,SYNflagsetsMixter論DDoS早期的DDoSSYNFlood目標(biāo)主機(jī)被TCP連接請(qǐng)求淹沒。請(qǐng)求連接的IP源地址和TCP端口隨機(jī)任意，迫使目標(biāo)主機(jī)保持等候，耗用資源。通常目標(biāo)主機(jī)〔HTTP和SMTP主機(jī)〕效勞進(jìn)程緩慢，甚至宕機(jī)。路由器“OutofMemory〞。屬于第二級(jí)攻擊。早期的DDoSDDoS的種類

TrinooTFN(tribalfloodnetwork)TFN2K(tribalfloodnetwork2K)Stacheldraht(barbedwire)NEWattacktools-announced2/15/00FapiShaftTrank分布式拒絕效勞攻擊工具--Trinoo

Trinoo守護(hù)程序的二進(jìn)制代碼包最初是在一些Solaris2.x主機(jī)中發(fā)現(xiàn)的，這些主機(jī)是被攻擊者利用RPC效勞平安漏洞“statd〞、“cmsd〞和"ttdbserverd"入侵的。

分布式拒絕效勞攻擊工具--TribeFloodNetwork

德國(guó)著名黑客Mixter(年僅20歲)編寫的分布式拒絕效勞攻擊工具——“TribeFloodNetwork〔TFN〕〞TFN與另一個(gè)分布式拒絕效勞攻擊工具"Trinoo"相似，都在互聯(lián)網(wǎng)的大量Unix系統(tǒng)中開發(fā)和測(cè)試。分布式拒絕效勞攻擊工具--Stacheldraht

“Stacheldraht〞,德語意為“barbedwire“(帶刺的鐵絲網(wǎng)),結(jié)合了分布式拒絕效勞攻擊工具〞Trinoo〞與“TFN〞早期版本的功能，并增加了加密攻擊者、stacheldraht操縱器和可自動(dòng)升級(jí)的代理程序間網(wǎng)絡(luò)通訊的功能。

分布式拒絕效勞攻擊工具--TFN2KTFN2K是由德國(guó)著名黑客Mixter編寫的同類攻擊工具TFN的后續(xù)版本。DDoS的種類DDoS組成局部所有DDoS攻擊均由三局部組成:1客戶端程序：ClientProgram〔黑客〕2主控端：MasterServer通常安裝在ISP或大學(xué)網(wǎng)絡(luò) -帶寬保證 -網(wǎng)絡(luò)性能3“僵尸〞：Agent(Zombie)Program4在TFN中，Master與Zombie間的通訊只是ICMP_ECHOREPLY數(shù)據(jù)包，沒有TCP/UDP通信明尼蘇達(dá)大學(xué)案1999年8月17日Trinoo網(wǎng)絡(luò)(227hosts,114Internet2)CERT討論稿1999年11月2-4日ISS,Cisco,DavidDittrich平安建議FOR 管理層 系統(tǒng)管理員 ISPs 緊急事件響應(yīng)小組(IRTs)第一次大規(guī)模攻擊MasterMasterMasterBroadcastBroadcastBroadcastBroadcastBroadcastBroadcastTargetHackerMasterMasterZombieZombieZombieZombieZombieZombie27665/TCP27444/UDP31335/UDPTrin00/TFN具體攻擊過程DDoS攻擊過程掃描程序非安全主機(jī)黑客

黑客利用工具掃描Internet，發(fā)現(xiàn)存在漏洞的主機(jī)1Internet(Wu-ftpd;RPCservice)黑客Zombies

黑客在非平安主機(jī)上安裝類似“后門〞的代理程序2DDoSAttackIllustratedInternet黑客

黑客選擇主控主機(jī)，用來向“僵尸〞發(fā)送命令3Zombies主控主機(jī)InternetDDoSAttackIllustratedHacker

通過客戶端程序，黑客發(fā)送命令給主控端，并通過主控主機(jī)啟動(dòng)“僵尸〞程序?qū)δ繕?biāo)系統(tǒng)發(fā)動(dòng)攻擊4ZombiesTargetedSystemMasterServerInternetDDoSAttackIllustrated目標(biāo)系統(tǒng)SystemHacker

主控端向“僵尸〞發(fā)送攻擊信號(hào)，對(duì)目標(biāo)發(fā)動(dòng)攻擊5MasterServerInternetZombiesDDoSAttackIllustrated目標(biāo)黑客目標(biāo)主機(jī)被“淹沒〞，無法提供正常效勞，甚至系統(tǒng)崩潰6主控主機(jī)合法用戶服務(wù)請(qǐng)求被拒絕Internet僵尸DDoSAttackIllustratedDDoS攻擊的系統(tǒng)DDoS可以針對(duì)所有系統(tǒng)進(jìn)行攻擊“僵尸〞程序LinuxSolaris2.xWindowsNT針對(duì)Win32系統(tǒng)的DDoS Troj_Trinoo如何防范DoS/DDoS?DoS/DDoS攻擊通常不會(huì)對(duì)敏感數(shù)據(jù)產(chǎn)生直接威脅。攻擊者主要目的是讓被攻擊系統(tǒng)停止正常效勞，而不是竊取資料。但是，DoS/DDoS經(jīng)常被利用來掩蓋真正的入侵攻擊。另外，網(wǎng)絡(luò)管理人員在對(duì)付拒絕效勞攻擊時(shí)，往往修改系統(tǒng)或網(wǎng)絡(luò)設(shè)備的一些設(shè)置，從而留下其他可能被黑客利用的漏洞，例如停止或重新啟動(dòng)某種效勞，就可能產(chǎn)生問題。修改網(wǎng)絡(luò)配置時(shí)，一定要清楚可能造成的后果。能否抓到黑客，如何處分DoS/DDoS攻擊者?減少危險(xiǎn)總那么1使用ipverifyunicastreverse-path命令 對(duì)所有數(shù)據(jù)包，在CEF(CiscoExpressForwarding)表中沒有源IP地址路由，Dropit!.用于防止SMURF和其他基于IP地址偽裝的攻擊。2使用訪問控制列表〔ACL〕過濾RFC1918列出的地址。 interfacexy ipaccess-group101in access-list101denyip55any access-list101denyip55any access-list101denyip55any access-list101permitipanyany3參照RFC2267，使用ACL過濾進(jìn)，出報(bào)文。(ingress/egressfiltering)ISP邊界路由只接受源地址屬于客戶網(wǎng)絡(luò)的通信；客戶網(wǎng)絡(luò)只接受源地址未被過濾的通信。4使用CAR〔controlaccessrate〕限制ICMP數(shù)據(jù)包5配置SYN數(shù)據(jù)包流量，安裝IP過濾工具包Cisco路由器配置的建議攻擊者在發(fā)動(dòng)DDoS攻擊之前必須解析目標(biāo)系統(tǒng)的hostname(gethostbyname())。BIND域名效勞器可以記錄這些請(qǐng)求。你可以通過發(fā)送“WINCH〞或在BIND配置中啟動(dòng)“解析請(qǐng)求日志〞來跟蹤這些活動(dòng)。通過反向域名解析PTR記錄分析，發(fā)現(xiàn)有主機(jī)大量請(qǐng)求自己網(wǎng)絡(luò)機(jī)器的域名解析，就應(yīng)該疑心有攻擊者試圖利用你的系統(tǒng)和網(wǎng)絡(luò)來進(jìn)行DDoS攻擊。發(fā)現(xiàn)網(wǎng)絡(luò)帶寬的使用大大超過平日正常水平。通過和正常情況下網(wǎng)絡(luò)流量，網(wǎng)絡(luò)源地址的分析，發(fā)現(xiàn)有大量數(shù)據(jù)包來自未知IP地址時(shí)，應(yīng)該通過在主干路由器上設(shè)置ACL規(guī)那么，來過濾數(shù)據(jù)包，保證ingress的平安。檢測(cè)超大ICMP和UDP包。Stateful的UDP對(duì)話通常使用小UDP包，PAYLOAD不大于10字節(jié)。正常的ICMP信息在64-128字節(jié)。如果這些包遠(yuǎn)遠(yuǎn)超過這個(gè)量級(jí)，就應(yīng)該疑心包含控制數(shù)據(jù)，通常是DDoS代理的一些內(nèi)容。一旦發(fā)現(xiàn)控制數(shù)據(jù)，就可以判定一個(gè)DDoS代理的地址。監(jiān)測(cè)網(wǎng)絡(luò)系統(tǒng)監(jiān)測(cè)網(wǎng)絡(luò)系統(tǒng)用專業(yè)工具如ISSRealSecure，TripWire建立一致性檢查鏡象系統(tǒng)，定期檢測(cè)后門程序用漏洞掃描工具定期檢查網(wǎng)絡(luò)漏洞運(yùn)行基于網(wǎng)絡(luò)/主機(jī)的IDS監(jiān)測(cè)漏洞和入侵利用各種工具，保證能快速，準(zhǔn)確的捕獲，分析和取證攻擊建立緊急事件響應(yīng)小組和網(wǎng)絡(luò)平安效勞商建立業(yè)務(wù)聯(lián)系長(zhǎng)遠(yuǎn)規(guī)劃規(guī)劃攻擊響應(yīng)方案向網(wǎng)絡(luò)平安專家咨詢，確定網(wǎng)絡(luò)平安狀況資深網(wǎng)絡(luò)平安專業(yè)人員設(shè)計(jì)靈活強(qiáng)大的e-Business構(gòu)架，使其免于受到DDoS攻擊幫助尋找或建立事故響應(yīng)隊(duì)伍建立緊急事件響應(yīng)方案對(duì)關(guān)鍵系統(tǒng)進(jìn)行漏洞評(píng)估，判定危險(xiǎn)等級(jí)使用自動(dòng)化系統(tǒng)和網(wǎng)絡(luò)掃描工具安裝入侵探測(cè)和響應(yīng)系統(tǒng)最大限度減低攻擊影響

濾掉進(jìn)入的ICMP數(shù)據(jù)包協(xié)同ISP/主機(jī)托管商(HostingProvider)工作安裝入侵探測(cè)和響應(yīng)系統(tǒng)對(duì)關(guān)鍵系統(tǒng)進(jìn)行平安審計(jì)或漏洞評(píng)估建立緊急事件響應(yīng)方案安裝適當(dāng)?shù)纳?jí)軟件和補(bǔ)丁來降低危險(xiǎn)緊急事件響應(yīng)方案指南ISS提供解決方案網(wǎng)絡(luò)平安信息資料ISSConnect2000: ://ISSSecureUniversity: :///educationISSKnowledgeServices: :///knowledgeAdditionalResourcesSecuree-Busines