1,天津大学网络教育学院,2,大纲,一、概述 二、攻击原理分析DoS，DDoS， DRDoS 三、各种攻击方法的介绍 四、拒绝服务攻击的检测、防范及对策 五、结束语,3,一、概述,美伊之战惨烈异常，然而战争的暴风 雨早已在网络上铺天盖地，据美联邦调查局（FBI）的一份评估报告披露最近频繁发生的针对美国政府部门和军用计算机网络攻击可能是亲伊拉克黑客所为，而且多是使用一种叫做拒绝服务的攻击手段，那么下面我们就来研究这种近来网上极为流行的黑客攻击方法。,4,典型的网络环境,群件服务器 Exchange Lotus Notes,文件服务器 W2K Server Windows NT NetWare Linux,Internet网关 SMTP FTP HTTP,客户端计算机 Windows 9x NT Wks. W2K Pro.,Internet,5,黑客入侵途径,Firewall,Client,Internet Gateway,File Server,Mail Server,6,通过资源共享入侵,HACKER,7,Internet网关入侵,Internet闸门 SMTP FTP HTTP,8,文件服务器感染途径,文件服务器 W2K Server NT Server NetWare UNIX,9,新闻,最近一段时间，国内几大安全网站遭到强烈的分布式拒绝服务攻击（DDoS），服务器连接几十小时无法正常工作，造成巨大的损失。而且这种攻击方法在国外也被广泛使用，下面是几则新闻很能说明问题： 1， “2000年7，8，9，日三天，美国最著名的几大网站Yahoo!,eBay,Buy,CNN,相继遭到网络黑客狂风暴雨式的攻击，导致网站瘫痪服务中断。这次黑客攻击就采用了这种拒绝服务的变种分布式拒绝服务攻击技术。” 2，“2002年1月11日凌晨两点，被一种更先进的恶意洪水数据包攻击。这种新型攻击形式我们称之为分布式反射服务攻击。” 3，“2002年美国当地时间10月21日，全世界13台路由DNS服务器（Route Server）同时受到了DDoS（分布式拒绝服务）攻击。值得庆幸的是并没有酿成严重事故。但此事再次表明，在因特网上目前仍旧存在很多充当DDoS攻击帮凶的机器。每台机器的预防策略的不完善就有可能威胁到因特网赖以存在的基础。”,10,攻击目的,拒绝服务攻击可谓害人不利己，它采取向受害者发送海量的超常数据包的形式，造成受害主机所在网段的拥塞，受害主机被数据包淹没，使得网络中断甚至主机崩溃。 拒绝服务攻击的目的就是让被攻击目标无法正常工作，既是剥夺了合法用户享有网络用户的权利。比如： （1）用数据流淹没一个网络，从而阻止合法用户网络传输。 （2）破坏两个主机之间的连接，从而破坏用户网络服务。 （3）阻止用户得到网络服务。 （4）阻止某些服务提供给某些阻止和个人。 从攻击的角度看来，目标可以很复杂因为和完全攻破一个系统相比，造成系统拒绝服务要更加容易些，因此，很多黑客新手都会以这种方法来攻击网站从而获得一种刺激和快感。但这种纯粹为了造成对方网络瘫痪而进行的拒绝服务是真正黑客高手所不屑一顾的。虽然真真的黑客很少单纯为了攻击而去攻击，但这并不是说他们就不使用拒绝服务攻击高手们所使用的拒绝服务通常是为了完成其他的攻击所必须做的，例如：,11,攻击目的,（1）在目标机上放了木马，需要让目标机重启。 （2）为了完成IP欺骗攻击，而被冒充的主机却瘫痪了。 （3）在正式攻击前，需要使目标的日志记录系统无法正常工作。 而在被攻击一方看来，当遭到攻击时，系统会出现一些异常现象，例如系统出显蓝屏、CPU占用率达到100%等。,12,二、攻击原理分析DoS、DDoS、DRDoS,众所周知，现在网络互连是基于TCP/IP协议的，在TCP/IP协议在制定时并没有考虑安全因素，因此存在很多安全漏洞。这些漏洞包括如下一些： 源IP地址可以任意改变、无限制的SYN连接、采用错误的数据包（包头偏址或其他坏包）对IP栈的攻击、流地址及故意丢失认证信息的数据、缺乏对信息源的有效认证，通常只依靠数据包的IP地址，而IP地址有可以伪造，当数据包在INTERNET上传输时，中间的路由器通常只关注数据包的目的地址，而数据包的源地址通常被忽略，这是导致服务拒绝攻击的一个关键因素。,13,综述,通常,DoS攻击的目标是你网络的TCP/IP内层结构。这些攻击分为三种:第一种是利用给定的TCP/IP协议栈软件的弱点;第二种是利用TCP/IP协议的漏洞;第三种是不断尝试的野蛮攻击. 然而攻击的最多种类是利用TCP/IP协议上的漏洞造成拒绝服务，例如曾经一度流行甚至于让网管闻之色变的Land攻击，就是利用了IP协议中源地址容易被欺骗的弱点发动的攻击，使用欺骗性的SYN（使用伪装的IP地址向计算机主机发送网络请求）数据包,它带有一个伪装的IP地址,使得它看起来像是来自你自己的网络。现在,SYN攻击就像是来自于你防火墙的内部,这使得问题更加严重。所以它并不是针对某一特殊系统，而是对凡是运行于TCP/IP协议上的所有系统均可造成拒绝服务攻击，这也是这种攻击如此普遍的原因之一。常见的 Outlook，e-mail,蠕虫病毒,Melissa及其同类可以被看作是DoS攻击的代理者,因为它们驱使Outlook 程序的客户端向服务器不停的发出充满了蠕虫病毒的信件直到服务器在重压之下瘫痪.。,14,1.DoS,所谓拒绝服务的攻击是指利用系统与程序本身的设计缺陷占用系统资源，从而造成系统的运行迟缓或瘫痪，它的英文名是：Denial of Service,可不要认为是十年前我们用的那种操作系统Dos，Disk Operation System。 从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单但又很 有效的进攻方式。 图1DoS攻击的原理 从图1中我们可以 看出DoS攻击的基本过程：首先攻击者向 服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。,15,DoS,通常,DoS攻击的目标是你网络的TCP/IP内层结构。这些攻击分为三种:第一种是利用给定的TCP/IP协议栈软件的弱点;第二种是利用TCP/IP协议的漏洞;第三种是不断尝试的野蛮攻击. 然而攻击的最多种类是利用TCP/IP协议上的漏洞造成拒绝服务，例如曾经一度流行甚至于让网管闻之色变的Land攻击，就是利用了IP协议中源地址容易被欺骗的弱点发动的攻击，使用欺骗性的SYN（使用伪装的IP地址向计算机主机发送网络请求）数据包,它带有一个伪装的IP地址,使得它看起来像是来自你自己的网络。现在,SYN攻击就像是来自于你防火墙的内部,这使得问题更加严重。所以它并不是针对某一特殊系统，而是对凡是运行于TCP/IP协议上的所有系统均可造成拒绝服务攻击，这也是这种攻击如此普遍的原因之一。常见的 Outlook，e-mail,蠕虫病毒,Melissa及其同类可以被看作是DoS攻击的代理者,因为它们驱使Outlook 程序的客户端向服务器不停的发出充满了蠕虫病毒的信件直到服务器在重压之下瘫痪.。,16,2.DDoS,DDoS（分布式拒绝服务），它的英文全称为Distributed Denial of Service，它是一种基于DoS的特殊形式的拒绝服务攻击,或者说是一种它的变种和增强版，具体就是一种分布、协作的大规模攻击方式，这种攻击主要瞄准比较大的站点，像商业公司，搜索引擎和政府部门的站点。从图1我们可以看出DoS攻击只要一台单机和一个modem就可实现。 而要理解DDoS的原理，首先应该搞清楚分布式的意思。“分布”是指把较大的计算量或工作量有多个处理器或多个接点共同协作完成。所以不难理解DDoS攻击就是攻击者利用一批受控制的机器（主控端和代理端）向同一台机器（受害者）发起攻击，每个攻击端也是一台已被入侵并运行特定程序的系统主机，攻击端的程序由主控端的攻击程序来控制。当攻击者向主控端发出攻击命令后，在由攻击端向被攻击目标送出发出拒绝服务攻击的数据包，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。,17,客户端感染途径,客户端计算机 Windows 9x NT Wks.,18,Internet,DDoS攻击原理图,HACKER,Create,感染, 潜伏, 扩散,攻击 破坏,拒绝服务,利用系统后门感染,DDOS,DDOS,DDOS,DDOS,DDOS,DDOS,DDOS,Activate 100, 300 or 600 threads to attack random IP address servers,19,DDoS,从图2可以看出，DDoS攻击分为3层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。 为了提高分布式拒绝服务攻击的成功率,攻击者一般需要先控制大量的主机来作为主控端和攻击端。这些主机一般需要是UNIX主机。但让，这些攻击工具也能够移植到其他平台上运行，但是要麻烦一些了。这些工具入侵主机和安装程序的过程都是自动化的。这个过程可分为以下几个步骤： （1）入侵并控制大量主机从而获取控制权。 （2）在这些被入侵的主机中安装DDoS攻击程序。 （3）利用这些被控制的主机对攻击目标发起DDo S攻击。 它的精髓在于用许多台计算机同时向目标网站发送大量信息；一个黑客只有1台计算机，即使他夜以继日的黑别人的网站，一年也只能控制1000台计算机，要命令这些计算机同时向目标网站进攻，不可能手动完成。因此如果要实施DDOS，首先要做一个软件出来，这个软件必须能够像病毒一样能够传染，在网上扩散；还必须能够像病毒一样潜伏，不让别人发现；更重要的是它必须能接收你发布的指令，在某一时刻向某个网站发动,20,DDoS,攻击。所以对于DDOS来说，战争早在几个月之前就已经静悄悄地打响，默默地蔓延。等到攻击的一刻，就是它落幕的一刻了。 由于整个过程是自动化的，攻击者能在5秒中之内入侵一台主机并安装攻击工具。可想而知，在短短的一小时内就可以入侵数千台主机。而且由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。,21,文件服务器感染途径,文件服务器 W2K Server NT Server NetWare UNIX,22,服务器感染途径,群件服务器 Exchange Lotus Notes,23,3.DRDoS,DRDoS是Distributed Reflection Denial of Service Attack 的缩写直意为分布式反射拒绝服务它是在2002年1月11日第一次现身更确切地说是第一次被我们所重视。我们通常以前遭受UDP和ICMP洪水攻击，这些攻击其实都可以由被攻击者入侵的主机、zombie工具及windows系统简单的实现，但这次（上文新闻中提到的受害公司）受的攻击有所不同。由攻击的数据包显示这次是被SYN/ACK数据攻击，而通常只是SYN包。但这些洪水般的数据包几乎都是合法的SYN/ACK连接回应包。换句话说，就是一个恶意的入侵者在其他的Internet角落里利用带有连接请求的 SYN数据包对网络路由器进行洪水攻击，这些数据包带有虚假的IP地址而这些地址就是。这样一来路由器就认为这些SYN是从发送出来的，所以他们便对他们发送SYN/ACK数据包作为3次握手过程的第二次握手。,24,DRDoS,恶意的数据包其实就是那些被利用的主机反射到受害者主机 上。这些被反射 的数据包返 回到受害者主机 上后就形成了 洪水攻击。攻击