拒絕服務(wù)攻擊及防御

1、回絕效力攻擊及防御信息平安系列培訓(xùn)之三樊山.大綱.回絕效力攻擊原理.什么是回絕效力攻擊DoS (Denial of Service)攻擊其中文含義是回絕效力攻擊，這種攻擊行動(dòng)使網(wǎng)站效力器充斥大量要求回復(fù)的信息，耗費(fèi)網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以致于癱瘓而停頓提供正常的網(wǎng)絡(luò)效力。黑客不正當(dāng)?shù)夭捎靡?guī)范協(xié)議或銜接方法，向攻擊的效力發(fā)出大量的訊息，占用及超越受攻擊效力器所能處置的才干，使它當(dāng)(Down)機(jī)或不能正常地為用戶效力。.屬性分類(lèi)法攻擊靜態(tài)屬性Static攻擊控制方式攻擊通訊方式攻擊技術(shù)原理攻擊協(xié)議和攻擊協(xié)議層攻擊動(dòng)態(tài)屬性Dynamic攻擊源地址類(lèi)型攻擊包數(shù)據(jù)生成方式攻擊目的類(lèi)型

2、交互屬性Mutual攻擊的可檢測(cè)程度攻擊影響.攻擊靜態(tài)屬性1攻擊控制方式ControlMode攻擊控制方式直接關(guān)系到攻擊源的隱蔽程度。根據(jù)攻擊者控制攻擊機(jī)的方式可以分為以下三個(gè)等級(jí)：直接控制方式Direct、間接控制方式Indirect和自動(dòng)控制方式Auto。2攻擊通訊方式CommMode在間接控制的攻擊中，控制者和攻擊機(jī)之間可以運(yùn)用多種通訊方式，它們之間運(yùn)用的通訊方式也是影響追蹤難度的重要要素之一。攻擊通訊方式可以分為三種方式，分別是：雙向通訊方式bi、單向通訊方式mono和間接通訊方式indirection。.攻擊靜態(tài)屬性3攻擊原理PrincipleDoS攻擊原理主要分為兩種，分別是：語(yǔ)義

3、攻擊Semantic和暴力攻擊Brute。語(yǔ)義攻擊指的是利用目的系統(tǒng)實(shí)現(xiàn)時(shí)的缺陷和破綻，對(duì)目的主機(jī)進(jìn)展的回絕效力攻擊，這種攻擊往往不需求攻擊者具有很高的攻擊帶寬，有時(shí)只需求發(fā)送1個(gè)數(shù)據(jù)包就可以到達(dá)攻擊目的，對(duì)這種攻擊的防備只需求修補(bǔ)系統(tǒng)中存在的缺陷即可。暴力攻擊指的是不需求目的系統(tǒng)存在破綻或缺陷，而是僅僅靠發(fā)送超越目的系統(tǒng)效力才干的效力懇求數(shù)量來(lái)到達(dá)攻擊的目的，也就是通常所說(shuō)的風(fēng)暴攻擊。.攻擊靜態(tài)屬性4攻擊協(xié)議層ProLayer攻擊所在的TCP/IP協(xié)議層可以分為以下四類(lèi)：數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和運(yùn)用層。數(shù)據(jù)鏈路層的回絕效力攻擊受協(xié)議本身限制，只能發(fā)生在局域網(wǎng)內(nèi)部，這種類(lèi)型的攻擊比較少見(jiàn)。

4、針對(duì)IP層的攻擊主要是針對(duì)目的系統(tǒng)處置IP包時(shí)所出現(xiàn)的破綻進(jìn)展的，如IP碎片攻擊Anderson01，針對(duì)傳輸層的攻擊在實(shí)踐中出現(xiàn)較多，SYN風(fēng)暴、ACK風(fēng)暴等都是這類(lèi)攻擊，面向運(yùn)用層的攻擊也較多，劇毒包攻擊中很多利用運(yùn)用程序破綻的例如緩沖區(qū)溢出的攻擊都屬于此類(lèi)型。5攻擊協(xié)議ProName攻擊所涉及的最高層的詳細(xì)協(xié)議，如SMTP、ICMP、UDP、HTTP等。攻擊所涉及的協(xié)議層越高，那么受害者對(duì)攻擊包進(jìn)展分析所需耗費(fèi)的計(jì)算資源就越大。.攻擊動(dòng)態(tài)屬性Dynamic1攻擊源地址類(lèi)型SourceIP攻擊者在攻擊包中運(yùn)用的源地址類(lèi)型可以分為三種：真實(shí)地址True偽造合法地址Forge Legal偽造非

5、法地址Forge Illegal2攻擊包數(shù)據(jù)生成方式DataMode攻擊包中包含的數(shù)據(jù)信息方式主要有5種：不需求生成數(shù)據(jù)None統(tǒng)終身成方式Unique隨機(jī)生成方式Random字典方式Dictionary生成函數(shù)方式Function.攻擊動(dòng)態(tài)屬性Dynamic3攻擊目的類(lèi)型Target攻擊目的類(lèi)型可以分為以下6類(lèi)：運(yùn)用程序Application系統(tǒng)System網(wǎng)絡(luò)關(guān)鍵資源Critical網(wǎng)絡(luò)Network網(wǎng)絡(luò)根底設(shè)備Infrastructure因特網(wǎng)Internet.交互屬性Mutual1可檢測(cè)程度Detective根據(jù)能否對(duì)攻擊數(shù)據(jù)包進(jìn)展檢測(cè)和過(guò)濾，受害者對(duì)攻擊數(shù)據(jù)的檢測(cè)才干從低到高分為以下

6、三個(gè)等級(jí)：可過(guò)濾Filterable有特征但無(wú)法過(guò)濾Unfilterable無(wú)法識(shí)別Noncharacterizable2攻擊影響Impact根據(jù)攻擊對(duì)目的呵斥的破壞程度，攻擊影響自低向高可以分為：無(wú)效None效力降低Degrade可自恢復(fù)的效力破壞Self-recoverable可人工恢復(fù)的效力破壞Manu-recoverable不可恢復(fù)的效力破壞Non-recoverable.舞廳分類(lèi)法.舞廳分類(lèi)法主干節(jié)點(diǎn)1-2舞伴類(lèi)節(jié)點(diǎn)3-7風(fēng)暴類(lèi)節(jié)點(diǎn)8-16圈套類(lèi)節(jié)點(diǎn)18-22介入類(lèi)節(jié)點(diǎn)23-37.DDOS攻擊的典型過(guò)程獲取目的信息信息搜集WhoisNslookup網(wǎng)上公開(kāi)信息搜索引擎網(wǎng)絡(luò)刺探Trac

7、erouter網(wǎng)絡(luò)掃描破綻掃描.DDOS攻擊的典型過(guò)程占領(lǐng)傀儡機(jī)實(shí)施攻擊.回絕效力攻擊原理.典型的回絕效力攻擊.劇毒包型DoS攻擊WinNuke攻擊碎片Teardrop攻擊Land攻擊Ping of death攻擊.WinNuke攻擊攻擊特征：WinNuke攻擊又稱(chēng)帶外傳輸攻擊，它的特征是攻擊目的端口，被攻擊的目的端口通常是、113、53，而且URG位設(shè)為“1，即緊急方式。檢測(cè)方法：判別數(shù)據(jù)包目的端口能否為、等，并判別URG位能否為“1。反攻擊方法：適當(dāng)配置防火墻設(shè)備或過(guò)濾路由器就可以防止這種攻擊手段丟棄該數(shù)據(jù)包，并對(duì)這種攻擊進(jìn)展審計(jì)記錄事件發(fā)生的時(shí)間，源主機(jī)和目的主機(jī)的MAC地址和IP地址M

8、AC。.碎片(Teardrop)攻擊攻擊特征：Teardrop是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法，其任務(wù)原理是向被攻擊者發(fā)送多個(gè)分片的IP包IP分片數(shù)據(jù)包中包括該分片數(shù)據(jù)包屬于哪個(gè)數(shù)據(jù)包以及在數(shù)據(jù)包中的位置等信息，某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時(shí)將會(huì)出現(xiàn)系統(tǒng)解體、重啟等景象。檢測(cè)方法：對(duì)接納到的分片數(shù)據(jù)包進(jìn)展分析，計(jì)算數(shù)據(jù)包的片偏移量Offset能否有誤。反攻擊方法：添加系統(tǒng)補(bǔ)丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對(duì)這種攻擊進(jìn)展審計(jì)。.Land攻擊攻擊特征：用于Land攻擊的數(shù)據(jù)包中的源地址和目的地址是一樣的，由于當(dāng)操作系統(tǒng)接納到這類(lèi)數(shù)據(jù)包時(shí)，不知道該如何處置堆棧中通訊源地址和目

9、的地址一樣的這種情況，或者循環(huán)發(fā)送和接納該數(shù)據(jù)包，耗費(fèi)大量的系統(tǒng)資源，從而有能夠呵斥系統(tǒng)解體或死機(jī)等景象。檢測(cè)方法：判別網(wǎng)絡(luò)數(shù)據(jù)包的源地址和目的地址能否一樣。反攻擊方法：適當(dāng)配置防火墻設(shè)備或過(guò)濾路由器的過(guò)濾規(guī)那么就可以防止這種攻擊行為普通是丟棄該數(shù)據(jù)包，并對(duì)這種攻擊進(jìn)展審計(jì)記錄事件發(fā)生的時(shí)間，源主機(jī)和目的主機(jī)的MAC地址和IP地址。.Ping of death攻擊攻擊特征：該攻擊數(shù)據(jù)包大于65535個(gè)字節(jié)。由于部分操作系統(tǒng)接納到長(zhǎng)度大于65535字節(jié)的數(shù)據(jù)包時(shí)，就會(huì)呵斥內(nèi)存溢出、系統(tǒng)解體、重啟、內(nèi)核失敗等后果，從而到達(dá)攻擊的目的。檢測(cè)方法：判別數(shù)據(jù)包的大小能否大于65535個(gè)字節(jié)。反攻擊方法：

10、運(yùn)用新的補(bǔ)丁程序，當(dāng)收到大于65535個(gè)字節(jié)的數(shù)據(jù)包時(shí)，丟棄該數(shù)據(jù)包，并進(jìn)展系統(tǒng)審計(jì)。.風(fēng)暴型DoS攻擊直接風(fēng)暴型攻擊Ping風(fēng)暴攻擊SYN風(fēng)暴攻擊TCP銜接耗盡攻擊UDP風(fēng)暴攻擊對(duì)郵件系統(tǒng)的回絕效力攻擊HTTP風(fēng)暴攻擊反射攻擊普通意義的反射攻擊放大式反射攻擊.直接風(fēng)暴攻擊Ping風(fēng)暴攻擊單純向受害者發(fā)送大量ICMP回應(yīng)懇求音訊SYN風(fēng)暴攻擊TCP銜接耗盡攻擊UDP風(fēng)暴攻擊占用網(wǎng)絡(luò)帶寬對(duì)郵件系統(tǒng)的回絕效力攻擊郵件炸彈渣滓郵件HTTP風(fēng)暴攻擊.反射攻擊普通意義的反射攻擊攻擊者利用了反射器會(huì)呼應(yīng)一個(gè)音訊的要求而自行產(chǎn)生一個(gè)回應(yīng)音訊的特征或才干凡是支持“自動(dòng)音訊生成的協(xié)議,包括TCP、UDP、各種I

11、CMP音訊，運(yùn)用協(xié)議等，都能夠被用于反射攻擊與其它的分布式回絕效力攻擊不同，分布式反射攻擊不依賴于系統(tǒng)破綻，任何系統(tǒng)都能夠成為反射攻擊的“幫兇SYN-ACK音訊或者RST音訊是攻擊者常利用的音訊類(lèi)型當(dāng)運(yùn)用SYN-ACK進(jìn)展攻擊時(shí)，反射器就像SYN風(fēng)暴攻擊的受害者。.反射攻擊.放大式放大攻擊Smurf攻擊經(jīng)過(guò)運(yùn)用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)對(duì)懇求(ping)數(shù)據(jù)包，來(lái)淹沒(méi)受害主機(jī)，最終導(dǎo)致該網(wǎng)絡(luò)的一切主機(jī)都對(duì)此ICMP應(yīng)對(duì)懇求做出回答，導(dǎo)致網(wǎng)絡(luò)阻塞。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方解體。.放大式攻擊Fraggle攻擊Fraggle攻擊對(duì)Smurf攻

12、擊作了簡(jiǎn)單的修正，運(yùn)用的是UDP應(yīng)對(duì)音訊而非ICMP。防御：在防火墻上過(guò)濾掉UDP應(yīng)對(duì)音訊。以CISCO的ASA為例class-map fraggle -定義端口號(hào)和協(xié)議號(hào)match port udp eq echopolicy-map fraggle -戰(zhàn)略匹配,設(shè)置最大銜接數(shù)為1class fraggleset connection conn-max 1service-policy fraggle interface inside -在接口上運(yùn)用.放大攻擊Fraggle攻擊.DoS工具與傀儡網(wǎng)絡(luò).DoS工具分析TrinooTFNStacheldrahtShaftTFN2K.傀儡網(wǎng)絡(luò)什么是傀

13、儡網(wǎng)絡(luò)傀儡網(wǎng)絡(luò)的危害傀儡網(wǎng)絡(luò)任務(wù)原理傀儡網(wǎng)絡(luò)攻擊實(shí)現(xiàn).什么是傀儡網(wǎng)絡(luò)BotNet，也稱(chēng)僵尸網(wǎng)絡(luò)，指攻擊者利用互聯(lián)網(wǎng)用戶的計(jì)算機(jī)建立的可以集中控制的用于其險(xiǎn)惡用途的計(jì)算機(jī)群，包括控制手段等。.傀儡網(wǎng)絡(luò)的危害蠕蟲(chóng)分散分布式回絕效力攻擊發(fā)送渣滓郵件竊取信息竊取資源作為跳板.傀儡網(wǎng)絡(luò)任務(wù)原理IRC協(xié)議運(yùn)用層協(xié)議C/S方式默許端口：TCP 6667.傀儡網(wǎng)絡(luò)攻擊實(shí)現(xiàn)發(fā)動(dòng)大規(guī)模分布式回絕效力攻擊DDOS利用傀儡網(wǎng)絡(luò)進(jìn)展釣魚(yú)Phishing攻擊利用傀儡網(wǎng)絡(luò)開(kāi)設(shè)HTTP代理利用傀儡網(wǎng)絡(luò)發(fā)送渣滓郵件利用傀儡進(jìn)展破綻掃描安裝間諜軟件.蠕蟲(chóng)攻擊及其對(duì)策.蠕蟲(chóng)常見(jiàn)傳播戰(zhàn)略選擇性隨機(jī)掃描順序掃描基于目的列表的掃描基于路

14、由的掃描基于DNS掃描分治掃描掃描戰(zhàn)略評(píng)價(jià)目的地址空間選擇能否采用多線程搜索易感染主機(jī)能否有易感染主機(jī)列表傳播途徑的多樣化.蠕蟲(chóng)的攻擊手段緩沖區(qū)溢出攻擊基于堆棧的緩沖區(qū)溢出基于堆的緩沖區(qū)溢出基于LIB C庫(kù)的緩沖區(qū)溢出攻擊格式化字符串攻擊回絕效力攻擊弱口令攻擊默許設(shè)置脆弱性攻擊社會(huì)工程攻擊.蠕蟲(chóng)的檢測(cè)與防備基于單機(jī)的蠕蟲(chóng)檢測(cè)基于網(wǎng)絡(luò)的蠕蟲(chóng)檢測(cè)其他.基于單機(jī)的蠕蟲(chóng)檢測(cè)基于特征的檢測(cè)技術(shù)基于網(wǎng)絡(luò)負(fù)載的特征匹配基于日志分析的特征匹配基于文件內(nèi)容的特征匹配基于黑洞檢測(cè)技術(shù)對(duì)一切掃描全網(wǎng)的蠕蟲(chóng)都適用對(duì)于采用隊(duì)列掃描和基于目的列表的掃描蠕蟲(chóng)不適用基于流量檢測(cè)校驗(yàn)和技術(shù)沙箱技術(shù)平安操作系統(tǒng)對(duì)網(wǎng)絡(luò)蠕蟲(chóng)的防備.

15、基于網(wǎng)絡(luò)的蠕蟲(chóng)檢測(cè)基于GrIDS的網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)經(jīng)過(guò)與預(yù)定義的行為方式進(jìn)展匹配，檢測(cè)網(wǎng)絡(luò)蠕蟲(chóng)能否存在?；赑LD硬件的檢測(cè)和防御采用特征匹配技術(shù)，存在誤報(bào)，無(wú)法檢測(cè)未知網(wǎng)絡(luò)蠕蟲(chóng)，只能進(jìn)展事后處置基于蜜罐的檢測(cè)和防御基于控制中心的檢測(cè)、防御和阻斷.其他加強(qiáng)個(gè)人平安認(rèn)識(shí)提高軟件產(chǎn)品的平安性平安編碼非可執(zhí)行的緩沖區(qū)數(shù)組邊境檢查加強(qiáng)對(duì)前往地址的維護(hù)及時(shí)打補(bǔ)丁或者晉級(jí).回絕效力攻擊防御.終端防御最終受害處攻擊為主機(jī)時(shí)-受害者主機(jī)和受害者所在網(wǎng)絡(luò)攻擊為帶寬時(shí)-目的網(wǎng)絡(luò)防御戰(zhàn)略加強(qiáng)容忍性提高主機(jī)系統(tǒng)或網(wǎng)絡(luò)平安性入口過(guò)濾.加強(qiáng)容忍性隨機(jī)釋放當(dāng)Syn Flood時(shí)，隨機(jī)釋放一些未完成的半翻開(kāi)銜接SYN Cooki

16、esSYN Cookie功能普通是在發(fā)現(xiàn)、疑心有攻擊存在或者當(dāng)前銜接懇求較多的時(shí)候才啟用SYN Cache經(jīng)過(guò)全局表建立銜接表提高了攻擊者進(jìn)展Syn風(fēng)暴攻擊勝利的難度，但遭到系統(tǒng)整體資源的限制TCP代理效力器.提高主機(jī)系統(tǒng)或網(wǎng)絡(luò)平安性流量控制冗余備份封鎖不需求的效力和端口實(shí)行嚴(yán)厲的補(bǔ)丁管理經(jīng)常進(jìn)展端口掃描主機(jī)平安加固攻擊測(cè)試Pen-test病毒防護(hù).入口過(guò)濾端口與協(xié)議過(guò)濾地址過(guò)濾合理編寫(xiě)、陳列防火墻規(guī)那么和路由器的訪問(wèn)控制列表，合理過(guò)濾數(shù)據(jù)流正確配置邊境路由，制止轉(zhuǎn)發(fā)指向廣播地址的數(shù)據(jù)包對(duì)于ICMP數(shù)據(jù)包，只允許必需的類(lèi)型和代碼進(jìn)出網(wǎng)絡(luò)假設(shè)網(wǎng)絡(luò)中不需求運(yùn)用IRC、P2P效力以及即時(shí)音訊，那么阻

17、止向外發(fā)出這類(lèi)銜接.源端防御發(fā)出攻擊性數(shù)據(jù)包的源端源端防御優(yōu)點(diǎn)防止擁塞較小的副作用更易追蹤可以運(yùn)用更為復(fù)雜的檢測(cè)算法防御戰(zhàn)略出口過(guò)濾D-WARDCOSSACK.出口過(guò)濾Egress Filtering用戶網(wǎng)絡(luò)或者其ISP網(wǎng)絡(luò)的比邊境路由被配置成在其轉(zhuǎn)發(fā)外出的數(shù)據(jù)包時(shí)，阻塞過(guò)濾源IP地址明顯是非法的數(shù)據(jù)包，以免其外出到外網(wǎng)。.出口過(guò)濾缺乏不能防止攻擊者偽造地址為同一網(wǎng)段內(nèi)的其他IP地址能夠會(huì)妨礙一些特殊運(yùn)用，如動(dòng)態(tài)IP效力益處防止成為“中間人攻擊者容易被識(shí)別，降低攻擊者對(duì)其多次利用的能夠性減輕蠕蟲(chóng)對(duì)本身網(wǎng)絡(luò)的危害降低被作為僵尸網(wǎng)絡(luò)的能夠經(jīng)過(guò)出口過(guò)濾審計(jì)日志，辨仔細(xì)正的攻擊者提高本身的平安性，作一

18、個(gè)好鄰居.D-WARD源端DDOS防御系統(tǒng) ，檢測(cè)和限制向外發(fā)出的回絕效力攻擊，同時(shí)對(duì)合法用戶的影響要盡量小。部署在源路由器檢查從兩個(gè)方向經(jīng)過(guò)路由器的通訊并進(jìn)展交融分析，檢測(cè)異常景象。.中端防御在攻擊性數(shù)據(jù)包的發(fā)送途中采取的防備措施該方法只能限制IP偽造的空間,而不能杜絕IP偽造,無(wú)法阻止沒(méi)有偽造的DDOS攻擊.攻擊檢測(cè)源端防火墻門(mén)限異常檢測(cè)雙向數(shù)據(jù)動(dòng)態(tài)分析偽造包檢測(cè)銜接語(yǔ)義分析攻擊呼應(yīng)限流.COSSACK分布式DDOS檢測(cè)與呼應(yīng)機(jī)制，部署于因特網(wǎng)的邊境網(wǎng)絡(luò)中信息獲取方式SNMP統(tǒng)計(jì)Cisco NetFlow入侵檢測(cè)系統(tǒng)，如：Snort每個(gè)看門(mén)狗功能本地檢測(cè)協(xié)同檢測(cè).COSSACK攻擊呼應(yīng)指令I(lǐng)DS整理攻擊數(shù)據(jù)的源地址信息和攻擊特征信息向其他的能夠是攻擊發(fā)出端網(wǎng)絡(luò)的看門(mén)狗廣播攻擊通告，并根據(jù)攻擊特征的不同向那些能夠參與協(xié)同的看門(mén)狗和廣播。能夠的攻擊源網(wǎng)絡(luò)的看門(mén)狗均參與到協(xié)同廣播組群在接納到攻擊信息后，每個(gè)源端網(wǎng)絡(luò)的看門(mén)狗將對(duì)其特定的外出數(shù)據(jù)流進(jìn)展深化的檢查，確定其范圍內(nèi)能否存在傀儡機(jī)檢測(cè)到傀儡機(jī)的源網(wǎng)絡(luò)需求采取措施防止攻擊的繼續(xù).回絕效力攻擊檢測(cè).主機(jī)異常景象檢測(cè)異常景象1：受害網(wǎng)絡(luò)通訊流量超出任務(wù)極限主干路由器建立訪問(wèn)控制規(guī)那么監(jiān)測(cè)和過(guò)濾異常通訊異常景象2：特大型的ICMP和UDP數(shù)據(jù)包數(shù)據(jù)包捕獲異常景象3