拒絕服務(wù)攻擊及防御

1、拒絕服務(wù)攻擊及防御信息安全系列培訓(xùn)之三1大綱拒絕服務(wù)攻擊原理典型的拒絕服務(wù)攻擊DoS工具與傀儡網(wǎng)絡(luò)蠕蟲攻擊及其對策拒絕服務(wù)攻擊防御拒絕服務(wù)攻擊檢測2拒絕服務(wù)攻擊原理3什么是拒絕服務(wù)攻擊DoS (Denial of Service)攻擊其中文含義是拒絕服務(wù)攻擊，這種攻擊行動使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。黑客不正當?shù)夭捎脴藴蕝f(xié)議或連接方法，向攻擊的服務(wù)發(fā)出大量的訊息，占用及超越受攻擊服務(wù)器所能處理的能力，使它當(Down)機或不能正常地為用戶服務(wù)。4屬性分類法攻擊靜態(tài)屬性（Static）攻擊控制模式攻擊通信模式

2、攻擊技術(shù)原理攻擊協(xié)議和攻擊協(xié)議層攻擊動態(tài)屬性（Dynamic）攻擊源地址類型攻擊包數(shù)據(jù)生成模式攻擊目標類型交互屬性（Mutual）攻擊的可檢測程度攻擊影響5攻擊靜態(tài)屬性（1）攻擊控制方式（ControlMode）攻擊控制方式直接關(guān)系到攻擊源的隱蔽程度。根據(jù)攻擊者控制攻擊機的方式可以分為以下三個等級：直接控制方式（Direct）、間接控制方式（Indirect）和自動控制方式（Auto）。（2）攻擊通信方式（CommMode）在間接控制的攻擊中，控制者和攻擊機之間可以使用多種通信方式，它們之間使用的通信方式也是影響追蹤難度的重要因素之一。攻擊通信方式可以分為三種方式，分別是：雙向通信方式（bi）

3、、單向通信方式（mono）和間接通信方式（indirection）。6攻擊靜態(tài)屬性3）攻擊原理（Principle）DoS攻擊原理主要分為兩種，分別是：語義攻擊（Semantic）和暴力攻擊（Brute）。語義攻擊指的是利用目標系統(tǒng)實現(xiàn)時的缺陷和漏洞，對目標主機進行的拒絕服務(wù)攻擊，這種攻擊往往不需要攻擊者具有很高的攻擊帶寬，有時只需要發(fā)送1個數(shù)據(jù)包就可以達到攻擊目的，對這種攻擊的防范只需要修補系統(tǒng)中存在的缺陷即可。暴力攻擊指的是不需要目標系統(tǒng)存在漏洞或缺陷，而是僅僅靠發(fā)送超過目標系統(tǒng)服務(wù)能力的服務(wù)請求數(shù)量來達到攻擊的目的，也就是通常所說的風暴攻擊。7攻擊靜態(tài)屬性（4）攻擊協(xié)議層（ProLaye

4、r）攻擊所在的TCP/IP協(xié)議層可以分為以下四類：數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。數(shù)據(jù)鏈路層的拒絕服務(wù)攻擊受協(xié)議本身限制，只能發(fā)生在局域網(wǎng)內(nèi)部，這種類型的攻擊比較少見。針對IP層的攻擊主要是針對目標系統(tǒng)處理IP包時所出現(xiàn)的漏洞進行的，如IP碎片攻擊Anderson01，針對傳輸層的攻擊在實際中出現(xiàn)較多，SYN風暴、ACK風暴等都是這類攻擊，面向應(yīng)用層的攻擊也較多，劇毒包攻擊中很多利用應(yīng)用程序漏洞的（例如緩沖區(qū)溢出的攻擊）都屬于此類型。（5）攻擊協(xié)議（ProName）攻擊所涉及的最高層的具體協(xié)議，如SMTP、ICMP、UDP、HTTP等。攻擊所涉及的協(xié)議層越高，則受害者對攻擊包進行分析所需消

5、耗的計算資源就越大。8攻擊動態(tài)屬性（Dynamic）（1）攻擊源地址類型（SourceIP）攻擊者在攻擊包中使用的源地址類型可以分為三種：真實地址（True）偽造合法地址（Forge Legal）偽造非法地址（Forge Illegal）（2）攻擊包數(shù)據(jù)生成模式（DataMode）攻擊包中包含的數(shù)據(jù)信息模式主要有5種：不需要生成數(shù)據(jù)（None）統(tǒng)一生成模式（Unique）隨機生成模式（Random）字典模式（Dictionary）生成函數(shù)模式（Function）9攻擊動態(tài)屬性（Dynamic）（3）攻擊目標類型（Target）攻擊目標類型可以分為以下6類：應(yīng)用程序（Application）系統(tǒng)

6、（System）網(wǎng)絡(luò)關(guān)鍵資源（Critical）網(wǎng)絡(luò)（Network）網(wǎng)絡(luò)基礎(chǔ)設(shè)施（Infrastructure）因特網(wǎng)（Internet）10交互屬性（Mutual）（1）可檢測程度（Detective）根據(jù)能否對攻擊數(shù)據(jù)包進行檢測和過濾，受害者對攻擊數(shù)據(jù)的檢測能力從低到高分為以下三個等級：可過濾（Filterable）有特征但無法過濾（Unfilterable）無法識別（Noncharacterizable）（2）攻擊影響（Impact）根據(jù)攻擊對目標造成的破壞程度，攻擊影響自低向高可以分為：無效（None）服務(wù)降低（Degrade）可自恢復(fù)的服務(wù)破壞（Self-recoverable）可

7、人工恢復(fù)的服務(wù)破壞（Manu-recoverable）不可恢復(fù)的服務(wù)破壞（Non-recoverable）11舞廳分類法12舞廳分類法主干節(jié)點1-2舞伴類節(jié)點3-7風暴類節(jié)點8-16陷阱類節(jié)點18-22介入類節(jié)點23-3713DDOS攻擊的典型過程信息收集占領(lǐng)傀儡機攻擊實施獲取目標信息信息收集WhoisNslookup網(wǎng)上公開信息搜索引擎網(wǎng)絡(luò)刺探Tracerouter網(wǎng)絡(luò)掃描漏洞掃描14DDOS攻擊的典型過程占領(lǐng)傀儡機實施攻擊信息收集占領(lǐng)傀儡機攻擊實施15拒絕服務(wù)攻擊原理16典型的拒絕服務(wù)攻擊17劇毒包型DoS攻擊WinNuke攻擊碎片（Teardrop）攻擊Land攻擊Ping of dea

8、th攻擊18WinNuke攻擊攻擊特征：WinNuke攻擊又稱帶外傳輸攻擊，它的特征是攻擊目標端口，被攻擊的目標端口通常是139、138、137、113、53，而且URG位設(shè)為“1”，即緊急模式。檢測方法：判斷數(shù)據(jù)包目標端口是否為139、138、137等，并判斷URG位是否為“1”。反攻擊方法：適當配置防火墻設(shè)備或過濾路由器就可以防止這種攻擊手段（丟棄該數(shù)據(jù)包），并對這種攻擊進行審計（記錄事件發(fā)生的時間，源主機和目標主機的MAC地址和IP地址MAC）。19碎片(Teardrop)攻擊攻擊特征：Teardrop是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法，其工作原理是向被攻擊者發(fā)送多個分片的IP包（I

9、P分片數(shù)據(jù)包中包括該分片數(shù)據(jù)包屬于哪個數(shù)據(jù)包以及在數(shù)據(jù)包中的位置等信息），某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。檢測方法：對接收到的分片數(shù)據(jù)包進行分析，計算數(shù)據(jù)包的片偏移量（Offset）是否有誤。反攻擊方法：添加系統(tǒng)補丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對這種攻擊進行審計。20Land攻擊攻擊特征：用于Land攻擊的數(shù)據(jù)包中的源地址和目標地址是相同的，因為當操作系統(tǒng)接收到這類數(shù)據(jù)包時，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機等現(xiàn)象。檢測方法：判斷網(wǎng)絡(luò)數(shù)據(jù)包的源地址

10、和目標地址是否相同。反攻擊方法：適當配置防火墻設(shè)備或過濾路由器的過濾規(guī)則就可以防止這種攻擊行為（一般是丟棄該數(shù)據(jù)包），并對這種攻擊進行審計（記錄事件發(fā)生的時間，源主機和目標主機的MAC地址和IP地址）。21Ping of death攻擊攻擊特征：該攻擊數(shù)據(jù)包大于65535個字節(jié)。由于部分操作系統(tǒng)接收到長度大于65535字節(jié)的數(shù)據(jù)包時，就會造成內(nèi)存溢出、系統(tǒng)崩潰、重啟、內(nèi)核失敗等后果，從而達到攻擊的目的。檢測方法：判斷數(shù)據(jù)包的大小是否大于65535個字節(jié)。反攻擊方法：使用新的補丁程序，當收到大于65535個字節(jié)的數(shù)據(jù)包時，丟棄該數(shù)據(jù)包，并進行系統(tǒng)審計。22風暴型DoS攻擊直接風暴型攻擊Ping風

11、暴攻擊SYN風暴攻擊TCP連接耗盡攻擊UDP風暴攻擊對郵件系統(tǒng)的拒絕服務(wù)攻擊HTTP風暴攻擊反射攻擊一般意義的反射攻擊放大式反射攻擊23直接風暴攻擊Ping風暴攻擊單純向受害者發(fā)送大量ICMP回應(yīng)請求消息SYN風暴攻擊TCP連接耗盡攻擊UDP風暴攻擊占用網(wǎng)絡(luò)帶寬對郵件系統(tǒng)的拒絕服務(wù)攻擊郵件炸彈垃圾郵件HTTP風暴攻擊24反射攻擊一般意義的反射攻擊攻擊者利用了反射器會響應(yīng)一個消息的要求而自行產(chǎn)生一個回應(yīng)消息的特征或能力凡是支持“自動消息生成”的協(xié)議,包括TCP、UDP、各種ICMP消息，應(yīng)用協(xié)議等，都可能被用于反射攻擊與其它的分布式拒絕服務(wù)攻擊不同，分布式反射攻擊不依賴于系統(tǒng)漏洞，任何系統(tǒng)都可能

12、成為反射攻擊的“幫兇”SYN-ACK消息或者RST消息是攻擊者常利用的消息類型當使用SYN-ACK進行攻擊時，反射器就像SYN風暴攻擊的受害者。25反射攻擊26放大式放大攻擊Smurf攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請求(ping)數(shù)據(jù)包，來淹沒受害主機，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機都對此ICMP應(yīng)答請求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。27放大式攻擊Fraggle攻擊Fraggle攻擊對Smurf攻擊作了簡單的修改，使用的是UDP應(yīng)答消息而非ICMP。防御：在防火墻上過濾掉UDP應(yīng)答消息。以CISCO的ASA為

13、例class-map fraggle -定義端口號和協(xié)議號match port udp eq echopolicy-map fraggle -策略匹配,設(shè)置最大連接數(shù)為1class fraggleset connection conn-max 1service-policy fraggle interface inside -在接口上應(yīng)用28放大攻擊Fraggle攻擊29DoS工具與傀儡網(wǎng)絡(luò)30DoS工具分析TrinooTFNStacheldrahtShaftTFN2K31傀儡網(wǎng)絡(luò)什么是傀儡網(wǎng)絡(luò)傀儡網(wǎng)絡(luò)的危害傀儡網(wǎng)絡(luò)工作原理傀儡網(wǎng)絡(luò)攻擊實現(xiàn)32什么是傀儡網(wǎng)絡(luò)BotNet，也稱僵尸網(wǎng)絡(luò)，指攻擊者

14、利用互聯(lián)網(wǎng)用戶的計算機建立的可以集中控制的用于其險惡用途的計算機群，包括控制手段等。33傀儡網(wǎng)絡(luò)的危害蠕蟲擴散分布式拒絕服務(wù)攻擊發(fā)送垃圾郵件竊取秘密信息竊取資源作為跳板34傀儡網(wǎng)絡(luò)工作原理IRC協(xié)議應(yīng)用層協(xié)議C/S模式默認端口：TCP 666735傀儡網(wǎng)絡(luò)攻擊實現(xiàn)發(fā)動大規(guī)模分布式拒絕服務(wù)攻擊（DDOS）利用傀儡網(wǎng)絡(luò)進行釣魚（Phishing）攻擊利用傀儡網(wǎng)絡(luò)開設(shè)HTTP代理利用傀儡網(wǎng)絡(luò)發(fā)送垃圾郵件利用傀儡進行漏洞掃描安裝間諜軟件36蠕蟲攻擊及其對策37蠕蟲常見傳播策略選擇性隨機掃描順序掃描基于目標列表的掃描基于路由的掃描基于DNS掃描分治掃描掃描策略評價目標地址空間選擇是否采用多線程搜索易感染

15、主機是否有易感染主機列表傳播途徑的多樣化38蠕蟲的攻擊手段緩沖區(qū)溢出攻擊基于堆棧的緩沖區(qū)溢出基于堆的緩沖區(qū)溢出基于LIB C庫的緩沖區(qū)溢出攻擊格式化字符串攻擊拒絕服務(wù)攻擊弱口令攻擊默認設(shè)置脆弱性攻擊社會工程攻擊39蠕蟲的檢測與防范基于單機的蠕蟲檢測基于網(wǎng)絡(luò)的蠕蟲檢測其他40基于單機的蠕蟲檢測基于特征的檢測技術(shù)基于網(wǎng)絡(luò)負載的特征匹配基于日志分析的特征匹配基于文件內(nèi)容的特征匹配基于黑洞檢測技術(shù)對所有掃描全網(wǎng)的蠕蟲都適用對于采用隊列掃描和基于目標列表的掃描蠕蟲不適用基于流量檢測校驗和技術(shù)沙箱技術(shù)安全操作系統(tǒng)對網(wǎng)絡(luò)蠕蟲的防范41基于網(wǎng)絡(luò)的蠕蟲檢測基于GrIDS的網(wǎng)絡(luò)蠕蟲檢測通過與預(yù)定義的行為模式進行匹

16、配，檢測網(wǎng)絡(luò)蠕蟲是否存在?；赑LD硬件的檢測和防御采用特征匹配技術(shù)，存在誤報，無法檢測未知網(wǎng)絡(luò)蠕蟲，只能進行事后處理基于蜜罐的檢測和防御基于控制中心的檢測、防御和阻斷42其他加強個人安全意識提高軟件產(chǎn)品的安全性安全編碼非可執(zhí)行的緩沖區(qū)數(shù)組邊界檢查加強對返回地址的保護及時打補丁或者升級43拒絕服務(wù)攻擊防御44終端防御最終受害處攻擊為主機時-受害者主機和受害者所在網(wǎng)絡(luò)攻擊為帶寬時-目標網(wǎng)絡(luò)防御策略增強容忍性提高主機系統(tǒng)或網(wǎng)絡(luò)安全性入口過濾45增強容忍性隨機釋放當Syn Flood時，隨機釋放一些未完成的半打開連接SYN CookiesSYN Cookie功能一般是在發(fā)現(xiàn)、懷疑有攻擊存在或者當前連

17、接請求較多的時候才啟用SYN Cache通過全局表建立連接表提高了攻擊者進行Syn風暴攻擊成功的難度，但受到系統(tǒng)整體資源的限制TCP代理服務(wù)器46提高主機系統(tǒng)或網(wǎng)絡(luò)安全性流量控制冗余備份關(guān)閉不需要的服務(wù)和端口實行嚴格的補丁管理經(jīng)常進行端口掃描主機安全加固攻擊測試（Pen-test）病毒防護47入口過濾端口與協(xié)議過濾地址過濾合理編寫、排列防火墻規(guī)則和路由器的訪問控制列表，合理過濾數(shù)據(jù)流正確配置邊界路由，禁止轉(zhuǎn)發(fā)指向廣播地址的數(shù)據(jù)包對于ICMP數(shù)據(jù)包，只允許必需的類型和代碼進出網(wǎng)絡(luò)如果網(wǎng)絡(luò)中不需要使用IRC、P2P服務(wù)以及即時消息，則阻止向外發(fā)出這類連接48源端防御發(fā)出攻擊性數(shù)據(jù)包的源端源端防御優(yōu)

18、點避免擁塞較小的副作用更易追蹤可以使用更為復(fù)雜的檢測算法防御策略出口過濾D-WARDCOSSACK49出口過濾（Egress Filtering）用戶網(wǎng)絡(luò)或者其ISP網(wǎng)絡(luò)的比邊界路由被配置成在其轉(zhuǎn)發(fā)外出的數(shù)據(jù)包時，阻塞（過濾）源IP地址明顯是非法的數(shù)據(jù)包，以免其外出到外網(wǎng)。50出口過濾不足不能防止攻擊者偽造地址為同一網(wǎng)段內(nèi)的其他IP地址可能會妨礙一些特殊應(yīng)用，如動態(tài)IP服務(wù)好處防止成為“中間人”攻擊者容易被識別，降低攻擊者對其多次利用的可能性減輕蠕蟲對自身網(wǎng)絡(luò)的危害降低被作為僵尸網(wǎng)絡(luò)的可能通過出口過濾審計日志，識別真正的攻擊者提高自身的安全性，作一個好鄰居51D-WARD源端DDOS防御系統(tǒng) ，檢測和限制向外發(fā)出的拒絕服務(wù)攻擊，同時對合法用戶的影響要盡量小。部署在源路由器檢查從兩個方向通過路由器的通信并進行融合分析，檢測異?，F(xiàn)象。52中端防御在攻擊性數(shù)據(jù)包的發(fā)送途中采取的防范措施該方法只能限制IP偽造的空間,而不能杜絕IP偽造,無法阻止沒有偽造的DDOS攻擊.攻擊檢測源端防火墻門限異常檢測雙向數(shù)據(jù)動態(tài)分析偽造包檢測連接語義分析攻擊響應(yīng)限流53COSSACK分布式DDOS檢測與響應(yīng)機制，部署于因特網(wǎng)的邊界網(wǎng)絡(luò)中信息獲取方式SNMP統(tǒng)計Cisc