资源预览内容
第1页 / 共32页
第2页 / 共32页
第3页 / 共32页
第4页 / 共32页
第5页 / 共32页
第6页 / 共32页
第7页 / 共32页
第8页 / 共32页
第9页 / 共32页
第10页 / 共32页
亲,该文档总共32页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
拒绝服务攻击及防范技术DoS概述 案例、定义、特点、分类DoS攻击技术DoS攻击防范.案例政府网站 美国白宫的网站曾经遭受拒绝服务攻击分布式拒绝服务 2000年2月发生的一次对某些高利润站点Yahoo、 eBay等的拒绝服务攻击,持续了近两天, 使这些公司遭受了很大的损失。.信息安全的基本属性保密性完整性防抵赖可用性可用性(availability)可控性DoS是针对可用性发起的攻击.DoS的定义DoS,Denial of Service攻击网络协议实现的缺陷或通过各种手段耗尽被攻击对象的资源,以使得被攻击计算机或网络无法提供正常的服务或者资源,合法用户的请求得不到及时的响应.DoS攻击的特点资源稀缺性软件复杂性(6个/KLOC,6-30)难确认,隐蔽性好(主观角度)难防范,缺乏模型有些DoS可以通过管理的手段防止; 受挫折,无法攻入目标系统,最后一招: DOS.DoS类型发送一些非法数据 包使系统死机或重起,造成系统或网络瘫痪向系统发送大量信息,使系统或网络不能响 应.DoS攻击技术分类(1)利用协议中的漏洞SYN-Flood攻击利用软件实现的缺陷teardrop攻击、land攻击 发送大量无用突发数据攻击耗尽资源ICMP flood攻击、Connection flood 攻击欺骗型攻击IP Spoofing DoS攻击 .DoS攻击技术分类(2)利用TCP/IP协议进行的TCP DoS攻击SYN flood攻击Land攻击Teardrop攻击利用UDP服务进行的UDP DoS攻击UDP Flood DoS攻击利用ICMP协议进行的ICMP DoS攻击Ping of Death攻击Smurf攻击.发展历史 早期的Internet蠕虫病毒 消耗网络资源 分片装配,非法的TCP标志,SYN Flood等 利用系统实现上的缺陷,点对点形式 Ping of Death, IP分片重叠 分布式DoS(DDoS)攻击 smurf攻击.一些典型的DoS攻击 Ping of Death 发送异常的(长度超过IP包的最大值) Teardrop IP包的分片装配 UDP Flood Land 程序发送一个TCP SYN包,源地址与目的地址相同,源端口 与目的端口相同,从而产生DoS攻击 SYN Flood 快速发送多个SYN包 Smurf 给广播地址发送ICMP Echo包,造成网络阻塞 .Ping of Death原理:直接利用ping包,即ICMP Echo包,有些系统在收到大量比最大包还要长的数据包,会挂起或者死 机 受影响的系统:许多操作系统受影响 攻击做法 直接利用ping工具,发送超大的ping数据包 防止措施 打补丁:现在所有的标准TCP/IP实现都已实现对付超大尺寸 的包,并且大多数防火墙能够自动过滤这些攻击,包括:从 windows98之后的windows,NT(service pack 3之后),linux、 Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。 防火墙阻止这样的ping包.TCP/IP允许数据包的最大容量为允许数据包的最大容量为65536C:ping 162.105.30.200Pinging 162.105.30.200 with 32 bytes of data :Reply from 162.105.30.200: bytes=32 time=10ms TTL=255Reply from 162.105.30.200: bytes=32 time10ms TTL=255Reply from 162.105.30.200: bytes=32 time10ms TTL=255Reply from 162.105.30.200: bytes=32 timeping -l 65570 162.105.30.200Bad value for option -l, valid range is from 0 to 65500 .IP碎片 IP碎片攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自 己的攻击。IP分段含有指示该分段所包含的是 原包的哪一段的信息,某些TCP/IP(包括 service pack 4以前的NT)在收到含有重叠偏 移的伪造分段时将崩溃 常见的IP碎片程序有jolt2、teardrop、newtear、syndrop、boink等。 防御措施:主要是服务器应用最新的服务包, 或者在设置防火墙时对分段进行重组,而不是 转发它们。.Teardrop原理:利用IP包的分片装配过程中,由于分片重叠, 计算过程出现长度为负值,在执行memcpy的时候导 致系统崩溃 受影响的系统:Linux/Windows NT/95,97年发现 攻击特征 攻击非常简单,发送一些IP分片异常的数据包 防止措施 加入条件判断,对这种异常的包特殊处理 打补丁.UDP flood原理:各种各样的假冒攻击利用简单的TCP/IP 服务,如chargen和Echo来传送毫无用处的占 满 带宽的 数据。通过伪造与某一主机的 chargen 服务之间的一次的UDP连接,回复地 址指向开着Echo服务的一台主机,这样就生成 在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽耗尽的服务攻击。对策:关掉不必要的TCP/IP服务,或者对防火 墙进行配置阻断来自Internet的对这些服务的 UDP请求都可以防范UDP flood攻击。.SYN Flood 原理:利用TCP连接三次握手过程,打开大量的半开 TCP连接,使得目标机器不能进一步接受TCP连接。 每个机器都需要为这种半开连接分配一定的资源,并 且,这种半开连接的数量是有限制的,达到最大数量 时,机器就不再接受进来的连接请求。 受影响的系统:大多数操作系统 攻击细节 连接请求是正常的,但是,源IP地址往往是伪造的,并且是 一台不可达的机器的IP地址,否则,被伪造地址的机器会重 置这些半开连接 一般,半开连接超时之后,会自动被清除,所以,攻击者的 系统发出SYN包的速度要比目标机器清除半开连接的速度要 快 任何连接到Internet上并提供基于TCP的网络服务,都有可能 成为攻击的目标 这样的攻击很难跟踪,因为源地址往往不可信,而且不在线.SYN Flood 攻击特征 目标主机的网络上出现大量的SYN包,而没有相应 的应答包 SYN包的源地址可能是伪造的,甚至无规律可循 防止措施 针对网络 防火墙或者路由器可以在给定时间内只允许有限数量的半 开连接 入侵检测,可以发现这样的DoS攻击行为 打补丁 Linux和Solaris使用了一种被称为SYN cookie的技术来解 决SYN Flood攻击:在半开连接队列之外另设置了一套机 制,使得合法连接得以正常继续.Smurf 原理:向广播地址发送伪造地址的ICMP Echo数据包。 攻击者向一个广播地址发送ICMP Echo请求,并且用 受害者的IP地址作为源地址,于是,广播地址网络上 的每台机器响应这些Echo请求,同时向受害者主机发 送ICMP Echo-Reply应答。于是,受害者主机会被这 些大量的应答包淹没 受影响的系统:大多数操作系统和路由器 变种:fraggle,使用UDP包,或称为udpsmurf 比如,7号端口(echo),如果目标机器的端口开着,则送回应 答,否则,产生ICM端口不可达消息 技术细节 两个主要的特点:使用伪造的数据包,使用广播地址。 不仅被伪造地址的机器受害,目标网络本身也是受害者,它 们要发送大量的应答数据包.Smurf.Smurf 攻击特征 涉及到三方:攻击者,中间目标网络,受害者 以较小的网络带宽资源,通过放大作用,吃掉较大 带宽的受害者系统 Smurf放大器 Smurf放大器网络:不仅允许ICMP Echo请求发给网络的 广播地址,并且允许ICMP Echo-Reply发送回去 这样的公司越多,对Internet的危害就越大 实施Smurf攻击 需要长期的准备,首先找到足够多的中间网络 集中向这些中间网络发出ICMP Echo包.Smurf攻击的防止措施 针对最终受害者 没有直接的方法可以阻止自己接收ICMP Echo Reply消息 在路由器上阻止这样的应答消息,但结果是路由器本身遭受了DoS攻击 与中间目标网络联系 针对中间网络 关闭外来的IP广播消息,但是,如果攻击者从内部 机器发起攻击,仍然不能阻止smurf攻击 配置操作系统,对于广播地址的ICMP包不响应 在每个路由节点上都记录log,以备查 流量大的路由节点上能够记录所有的流量吗.Land 原理: 这是一种比较老的攻击,目前大部分操作系统都能避免。在Land攻击中,构造一个特别的SYN包,它的原地址和目标地址都被设置成某一个服务器地址, 此举将导致接受服务器向它自己的地址发送SYN-ACK 消息,结果这个地址又发回ACK消息并创建一个空连 接,每一个这样的连接都将保留直到超时掉,对Land 攻击反应同许多UNIX实现将崩溃,NT变得极其 缓慢(大约持续五分钟)。 对策:打最新的补丁,或者在防火墙进行配置,将那 些在外部接口上入站的含有内部源地址滤掉(包括 10 域、127域、192.168域、172.16到172.31域)都比较有 效的防范Land攻击。.电子邮件炸弹 原理: 电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断大量地向同一地址发送 电子邮件,攻击者能够耗尽接受者网络的带宽。 对策:对付这种攻击最简单的方法就是对邮件 地址进行配置,自动删除来自同一主机的过量 或重复的消息。.DDOS 分布式拒绝服务,Distributed Denial of Service attack 传统的拒绝服务是一台机器向受害者发 起攻击,DDOS不是仅仅一台机器而是多 台主机合作,同时向一个目标发起攻击。.DDOS 攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携 机。攻击者操纵整个攻击过程,它向主控端发送攻击 命令。 主控端:主控端是攻击者非法侵入并控制的一些主机, 这些主机还分别控制大量的客户主机。主控端主机的 上面安装了特定的程序,因此它们可以接受攻击者发 来的特殊指令,并且可以把这些命令发送到代理主机 上。 代理端:代理端同样也是攻击者侵入并控制的一批主 机,它们上面运行攻击器程序,接受和运行主控端发 来的命令。代理端主机是攻击的执行者,真正向受害 者主机发送攻击。.DDOS的攻击过程的攻击过程(1)攻击者寻找在Internet上有漏洞的主机,进入系统后在其上面安装后门程序,攻击者入侵 的主机越多,他的攻击队伍就越壮大。(2)攻击者在入侵主机上安装攻击程序,其中一 部分主机充当攻击的主控端,一部分主机充当 攻击的代理端。(3)最后各部分主机各司其职,在攻击者的调遣 下对攻击对象发起攻击。由于攻击者在幕后操 纵,所以在攻击时不会受到监控系统的跟踪, 身份不容易被发现。.常用工具 a TFN(Tribe Flood Network)和TFN2KbTrinooC. Stacheldraht.TFN(Tribe Flood Network)和TFN2K TFN是由著名黑客Mixter编写的,是第 一个公开的UnixDDoS工具。由主控端程 序和客户端程序两部分组成,它主要采 取的攻击方法为:SYN Flood、Ping of death、UDP Flood和SMURF,还允许将 一个root shell 和TCP端口绑定。TFN2K 是由TFN发展而来的,在TFN所具有的 特性上,TFN2K又新增一些特性,它的 主控端和客户端的网络通讯使用基于64 位编码的弱加密方式,可以在不同的攻 击方式之间随机切换。.Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包,在处理这些超 出其处理能力的垃圾数据包的过程中,被攻击 主机的网络性能不断下降,直到不能提供正常 服务,乃至崩溃。它对IP地址不做假 . Stacheldraht也是从TFN派生出来的,因 此它具有TFN的特性。此外它增加了主控端与代理端的加密通讯能力,它对命 令源作假,可以防范一些路由器的 RFC2267过滤。Stacheldrah中有一个内 嵌的客户升级模块,可以自动下载并安 装最新的客户代理程序。.DDoS攻击的防御策略 及早发现系统存在的攻击漏洞,及时安装系统 补丁程序。对一些重要的信息(例如系统配置 信息)建立和完善备份机制。对一些特权帐号(例如管理员帐号)的密码设置要谨慎。 网络管理方面,要经常检查系统的物理环境, 禁止那些不必要的网络服务。 建立边界安全界限,确保输出的包受到正确限 制。经常检测系统配置信息,并注意查看每天 的安全日志。 利用网络安全设备(例如:防火墙)来加固网 络的安全性,配置好它们的安全规则,过滤掉 所有的可能的伪造数据包。.
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号