拒絕服務(wù)攻擊及防御技術(shù)

第6章拒絕服務(wù)攻擊與防御技術(shù)張玉清國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心62023/12/3網(wǎng)絡(luò)入侵與防范講義2本章內(nèi)容安排6.1拒絕服務(wù)攻擊概述6.2典型拒絕服務(wù)攻擊技術(shù)6.3分布式拒絕服務(wù)攻擊6.4拒絕服務(wù)攻擊的防御6.5分布式拒絕服務(wù)攻擊的防御6.6小結(jié)2023/12/3網(wǎng)絡(luò)入侵與防范講義36.1拒絕服務(wù)攻擊概述6.1.1拒絕服務(wù)攻擊的概念6.1.2拒絕服務(wù)攻擊的類型2023/12/3網(wǎng)絡(luò)入侵與防范講義46.1.1拒絕服務(wù)攻擊的概念拒絕服務(wù)（DenialofService，簡稱DoS），是一種簡單的破壞性攻擊，通常是利用傳輸協(xié)議中的某個(gè)弱點(diǎn)、系統(tǒng)存在的漏洞、或服務(wù)的漏洞，對目標(biāo)系統(tǒng)發(fā)起大規(guī)模的進(jìn)攻，用超出目標(biāo)處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)資源、帶寬資源等，或造成程序緩沖區(qū)溢出錯(cuò)誤，致使其無法處理合法用戶的正常請求，無法提供正常服務(wù)，最終致使網(wǎng)絡(luò)服務(wù)癱瘓，甚至系統(tǒng)死機(jī)。簡單的說，拒絕服務(wù)攻擊就是讓攻擊目標(biāo)癱瘓的一種“損人不利己”的攻擊手段。2023/12/3網(wǎng)絡(luò)入侵與防范講義56.1.1拒絕服務(wù)攻擊的概念歷史上最著名的拒絕服務(wù)攻擊服務(wù)恐怕要數(shù)Morris蠕蟲事件，1988年11月，全球眾多連在因特網(wǎng)上的計(jì)算機(jī)在數(shù)小時(shí)內(nèi)無法正常工作，這次事件中遭受攻擊的包括５個(gè)計(jì)算機(jī)中心和12個(gè)地區(qū)結(jié)點(diǎn)，連接著政府、大學(xué)、研究所和擁有政府合同的25萬臺(tái)計(jì)算機(jī)。這次病毒事件，使計(jì)算機(jī)系統(tǒng)直接經(jīng)濟(jì)損失達(dá)9600萬美元。許多知名網(wǎng)站如Yahoo、eBay、CNN、百度、新浪等都曾遭受過DoS攻擊。

2023/12/3網(wǎng)絡(luò)入侵與防范講義66.1.1拒絕服務(wù)攻擊的概念拒絕服務(wù)攻擊可能是蓄意的，也可能是偶然的。當(dāng)未被授權(quán)的用戶過量使用資源時(shí)，攻擊是蓄意的；當(dāng)合法用戶無意地操作而使得資源不可用時(shí)，則是偶然的。應(yīng)該對兩種拒絕服務(wù)攻擊都采取預(yù)防措施。但是拒絕服務(wù)攻擊問題也一直得不到合理的解決，究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的。2023/12/3網(wǎng)絡(luò)入侵與防范講義76.1.2拒絕服務(wù)攻擊的類型最常見的DoS攻擊是利用合理的服務(wù)請求來占用過多的服務(wù)資源，致使服務(wù)超載，無法響應(yīng)其他的請求。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬、文件系統(tǒng)空間容量、開放的進(jìn)程、向內(nèi)的連接等。這種攻擊會(huì)導(dǎo)致資源的匱乏，無論計(jì)算機(jī)的處理速度多么快，內(nèi)存容量多么大，互聯(lián)網(wǎng)帶寬多么大都無法避免這種攻擊帶來的后果。2023/12/3網(wǎng)絡(luò)入侵與防范講義86.1.2拒絕服務(wù)攻擊的類型從實(shí)施DoS攻擊所用的思路來看，DoS攻擊可以分為：濫用合理的服務(wù)請求過度地請求系統(tǒng)的正常服務(wù)，占用過多服務(wù)資源，致使系統(tǒng)超載。這些服務(wù)資源通常包括網(wǎng)絡(luò)帶寬、文件系統(tǒng)空間容量、開放的進(jìn)程或者連接數(shù)等

制造高流量無用數(shù)據(jù)惡意地制造和發(fā)送大量各種隨機(jī)無用的數(shù)據(jù)包，用這種高流量的無用數(shù)據(jù)占據(jù)網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁塞利用傳輸協(xié)議缺陷

構(gòu)造畸形的數(shù)據(jù)包并發(fā)送，導(dǎo)致目標(biāo)主機(jī)無法處理，出現(xiàn)錯(cuò)誤或崩潰，而拒絕服務(wù)

利用服務(wù)程序的漏洞

針對主機(jī)上的服務(wù)程序的特定漏洞，發(fā)送一些有針對性的特殊格式的數(shù)據(jù)，導(dǎo)致服務(wù)處理錯(cuò)誤而拒絕服務(wù)

2023/12/3網(wǎng)絡(luò)入侵與防范講義96.1.2拒絕服務(wù)攻擊的類型按漏洞利用方式分類，DoS攻擊可以分為：特定資源消耗類主要利用TCP/IP協(xié)議棧、操作系統(tǒng)或應(yīng)用程序設(shè)計(jì)上的缺陷，通過構(gòu)造并發(fā)送特定類型的數(shù)據(jù)包，使目標(biāo)系統(tǒng)的協(xié)議?？臻g飽和、操作系統(tǒng)或應(yīng)用程序資源耗盡或崩潰，從而達(dá)到DoS的目的。暴力攻擊類依靠發(fā)送大量的數(shù)據(jù)包占據(jù)目標(biāo)系統(tǒng)有限的網(wǎng)絡(luò)帶寬或應(yīng)用程序處理能力來達(dá)到攻擊的目的。通常暴力攻擊需要比特定資源消耗攻擊使用更大的數(shù)據(jù)流量才能達(dá)到目的。2023/12/3網(wǎng)絡(luò)入侵與防范講義106.1.2拒絕服務(wù)攻擊的類型按攻擊數(shù)據(jù)包發(fā)送速率變化方式，DoS攻擊可分為：固定速率可變速率根據(jù)數(shù)據(jù)包發(fā)送速率變化模式，又可以分為震蕩變化型和持續(xù)增加型。震蕩變化型變速率發(fā)送方式間歇性地發(fā)送數(shù)據(jù)包，使入侵檢測系統(tǒng)難以發(fā)現(xiàn)持續(xù)的異常。持續(xù)增加型變速率發(fā)送方式可以使攻擊目標(biāo)的性能緩慢下降，并可以誤導(dǎo)基于學(xué)習(xí)的檢測系統(tǒng)產(chǎn)生錯(cuò)誤的檢測規(guī)則。2023/12/3網(wǎng)絡(luò)入侵與防范講義116.1.2拒絕服務(wù)攻擊的類型按攻擊可能產(chǎn)生的影響，DoS攻擊可以分為：系統(tǒng)或程序崩潰類根據(jù)可恢復(fù)的程度，系統(tǒng)或程序崩潰類又可以分為：自我恢復(fù)類、人工恢復(fù)類、不可恢復(fù)類等。自我恢復(fù)類是指當(dāng)攻擊停止后系統(tǒng)功能可自動(dòng)恢復(fù)正常。人工恢復(fù)類是指系統(tǒng)或服務(wù)程序需要人工重新啟動(dòng)才能恢復(fù)。不可恢復(fù)類是指攻擊給目標(biāo)系統(tǒng)的硬件設(shè)備、文件系統(tǒng)等造成了不可修復(fù)性的損壞。服務(wù)降級(jí)類系統(tǒng)對外提供服務(wù)的服務(wù)下降2023/12/3網(wǎng)絡(luò)入侵與防范講義12典型案例：百度遭受大規(guī)模SYNFlooding攻擊2006年9月12日下午，百度遭受有史以來最大規(guī)模的不明身份黑客攻擊，導(dǎo)致百度搜索服務(wù)在全國各地出現(xiàn)了近30分鐘的故障，黑客所使用的手段是SynFlooding分布式拒絕服務(wù)攻擊。新華網(wǎng)報(bào)道：/newmedia/2006-09/14/content_5089683.htm下頁是新聞的部分截圖。2023/12/3網(wǎng)絡(luò)入侵與防范講義132023/12/3網(wǎng)絡(luò)入侵與防范講義146.2典型拒絕服務(wù)攻擊技術(shù)6.2.1PingofDeath6.2.2淚滴（Teardrop）6.2.3IP欺騙DoS攻擊6.2.4UDP洪水6.2.5SYN洪水6.2.6Land攻擊6.2.7Smurf攻擊6.2.8Fraggle攻擊6.2.9電子郵件炸彈6.2.10畸形消息攻擊6.2.11Slashdoteffect6.2.12WinNuke攻擊2023/12/3網(wǎng)絡(luò)入侵與防范講義156.2.1PingofDeathPing是一個(gè)非常著名的程序，這個(gè)程序的目的是為了測試另一臺(tái)主機(jī)是否可達(dá)?，F(xiàn)在所有的操作系統(tǒng)上幾乎都有這個(gè)程序，它已經(jīng)成為系統(tǒng)的一部分。Ping程序的目的是為了查看網(wǎng)絡(luò)上的主機(jī)是否處于活動(dòng)狀態(tài)。通過發(fā)送一份ICMP回顯請求報(bào)文給目的主機(jī)，并等待返回ICMP回顯應(yīng)答，根據(jù)回顯應(yīng)答的內(nèi)容判斷目的主機(jī)的狀況。2023/12/3網(wǎng)絡(luò)入侵與防范講義166.2.1PingofDeathPing之所以會(huì)造成傷害是源于早期操作系統(tǒng)在處理ICMP協(xié)議數(shù)據(jù)包存在漏洞。ICMP協(xié)議的報(bào)文長度是固定的，大小為64KB，早期很多操作系統(tǒng)在接收ICMP數(shù)據(jù)報(bào)文的時(shí)候，只開辟64KB的緩存區(qū)用于存放接收到的數(shù)據(jù)包。一旦發(fā)送過來的ICMP數(shù)據(jù)包的實(shí)際尺寸超過64KB(65536B)，操作系統(tǒng)將收到的數(shù)據(jù)報(bào)文向緩存區(qū)填寫時(shí)，報(bào)文長度大于64KB，就會(huì)產(chǎn)生一個(gè)緩存溢出，結(jié)果將導(dǎo)致TCP/IP協(xié)議堆棧的崩潰，造成主機(jī)的重啟動(dòng)或是死機(jī)。2023/12/3網(wǎng)絡(luò)入侵與防范講義176.2.1PingofDeathPing程序有一個(gè)“-l”參數(shù)可指定發(fā)送數(shù)據(jù)包的尺寸，因此，使用Ping這個(gè)常用小程序就可以簡單地實(shí)現(xiàn)這種攻擊。例如通過這樣一個(gè)命令：

Ping-l6554040如果對方主機(jī)存在這樣一個(gè)漏洞，就會(huì)形成一次拒絕服務(wù)攻擊。這種攻擊被稱為“死亡之Ping”。

2023/12/3網(wǎng)絡(luò)入侵與防范講義186.2.1PingofDeath現(xiàn)在的操作系統(tǒng)都已對這一漏洞進(jìn)行了修補(bǔ)。對可發(fā)送的數(shù)據(jù)包大小進(jìn)行了限制。在Windowsxpsp2操作系統(tǒng)中輸入這樣的命令：

Ping-l6553540

系統(tǒng)返回這樣的信息：

Badvalueforoption-l,validrangeisfrom0to65500.2023/12/3網(wǎng)絡(luò)入侵與防范講義196.2.1PingofDeathPingOfDeath攻擊的攻擊特征、檢測方法和反攻擊方法總結(jié)如下：攻擊特征：該攻擊數(shù)據(jù)包大于65535個(gè)字節(jié)。由于部分操作系統(tǒng)接收到長度大于65535字節(jié)的數(shù)據(jù)包時(shí)，就會(huì)造成內(nèi)存溢出、系統(tǒng)崩潰、重啟、內(nèi)核失敗等后果，從而達(dá)到攻擊的目的。檢測方法：判斷數(shù)據(jù)包的大小是否大于65535個(gè)字節(jié)。反攻擊方法：使用新的補(bǔ)丁程序，當(dāng)收到大于65535個(gè)字節(jié)的數(shù)據(jù)包時(shí)，丟棄該數(shù)據(jù)包，并進(jìn)行系統(tǒng)審計(jì)。2023/12/3網(wǎng)絡(luò)入侵與防范講義206.2.2淚滴（Teardrop）“淚滴”也被稱為分片攻擊，它是一種典型的利用TCP/IP協(xié)議的問題進(jìn)行拒絕服務(wù)攻擊的方式，由于第一個(gè)實(shí)現(xiàn)這種攻擊的程序名稱為Teardrop，所以這種攻擊也被稱為“淚滴”。2023/12/3網(wǎng)絡(luò)入侵與防范講義216.2.2淚滴（Teardrop）兩臺(tái)計(jì)算機(jī)在進(jìn)行通信時(shí)，如果傳輸?shù)臄?shù)據(jù)量較大，無法在一個(gè)數(shù)據(jù)報(bào)文中傳輸完成，就會(huì)將數(shù)據(jù)拆分成多個(gè)分片，傳送到目的計(jì)算機(jī)后再到堆棧中進(jìn)行重組，這一過程稱為“分片”。為了能在到達(dá)目標(biāo)主機(jī)后進(jìn)行數(shù)據(jù)重組，IP包的TCP首部中包含有信息（分片識(shí)別號(hào)、偏移量、數(shù)據(jù)長度、標(biāo)志位）說明該分段是原數(shù)據(jù)的哪一段，這樣，目標(biāo)主機(jī)在收到數(shù)據(jù)后，就能根據(jù)首部中的信息將各分片重新組合還原為數(shù)據(jù)。2023/12/3網(wǎng)絡(luò)入侵與防范講義22例子2023/12/3網(wǎng)絡(luò)入侵與防范講義23例子(2)如上圖所示，從客戶機(jī)向服務(wù)器發(fā)送一個(gè)數(shù)據(jù)報(bào)文無法發(fā)送完成的數(shù)據(jù)，這些數(shù)據(jù)會(huì)被分片發(fā)送。報(bào)文1、2、3是TCP連接的三次握手過程，接著4、5、6客戶機(jī)向服務(wù)器發(fā)送三個(gè)報(bào)文，在這三個(gè)數(shù)據(jù)報(bào)文首部信息中，有每個(gè)報(bào)文的分片信息。2023/12/3網(wǎng)絡(luò)入侵與防范講義24例子(3)這就是報(bào)文重組的信息:PSH1:1025(1024)ack1,win4096PSH1025:2049(1024)ack1,win4096PSH2049:3073(1024)ack1,win4096在這個(gè)報(bào)文中，可以看到在第4、5、6這三個(gè)報(bào)文中，第4個(gè)發(fā)送的數(shù)據(jù)報(bào)文中是原數(shù)據(jù)的第1～1025字節(jié)內(nèi)容，第5個(gè)發(fā)送的報(bào)文包含的是第1025～2048字節(jié)，第6個(gè)數(shù)據(jù)報(bào)文是第2049～3073個(gè)字節(jié)，接著后面是繼續(xù)發(fā)送的分片和服務(wù)器的確認(rèn)。當(dāng)這些分片數(shù)據(jù)被發(fā)送到目標(biāo)主機(jī)后，目標(biāo)主機(jī)就能夠根據(jù)報(bào)文中的信息將分片重組，還原出數(shù)據(jù)。2023/12/3網(wǎng)絡(luò)入侵與防范講義25例子(4)如果入侵者偽造數(shù)據(jù)報(bào)文，向服務(wù)器發(fā)送含有重疊偏移信息的分段包到目標(biāo)主機(jī)，例如如下所列的分片信息：PSH1:1025(1024)ack1,win4096PSH1000:2049(1024)ack1,win4096PSH2049:3073(1024)ack1,win4096這樣的信息被目的主機(jī)收到后，在堆棧中重組時(shí)，由于畸形分片的存在，會(huì)導(dǎo)致重組出錯(cuò)，這個(gè)錯(cuò)誤并不僅僅是影響到重組的數(shù)據(jù)，由于協(xié)議重組算法，會(huì)導(dǎo)致內(nèi)存錯(cuò)誤，引起協(xié)議棧的崩潰。2023/12/3網(wǎng)絡(luò)入侵與防范講義266.2.2淚滴（teardrop）淚滴攻擊的攻擊特征、檢測方法和反攻擊方法總結(jié)如下：攻擊特征：Teardrop工作原理是向被攻擊者發(fā)送多個(gè)分片的IP包，某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時(shí)將會(huì)出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。檢測方法：對接收到的分片數(shù)據(jù)包進(jìn)行分析，計(jì)算數(shù)據(jù)包的片偏移量（Offset）是否有誤。反攻擊方法：添加系統(tǒng)補(bǔ)丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對這種攻擊進(jìn)行審計(jì)。2023/12/3網(wǎng)絡(luò)入侵與防范講義276.2.3IP欺騙DoS攻擊這種攻擊利用RST位來實(shí)現(xiàn)。假設(shè)現(xiàn)在有一個(gè)合法用戶(1)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為1，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為1發(fā)送的連接有錯(cuò)誤，就會(huì)清空緩沖區(qū)中建立好的連接。這時(shí)，如果合法用戶1再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了，該用戶就必須從新開始建立連接。2023/12/3網(wǎng)絡(luò)入侵與防范講義286.2.3IP欺騙DoS攻擊攻擊時(shí)，攻擊者會(huì)偽造大量的IP地址，向目標(biāo)發(fā)送RST數(shù)據(jù)，使服務(wù)器不對合法用戶服務(wù)，從而實(shí)現(xiàn)了對受害服務(wù)器的拒絕服務(wù)攻擊。2023/12/3網(wǎng)絡(luò)入侵與防范講義296.2.4UDP洪水UDP洪水（UDPflood）主要是利用主機(jī)能自動(dòng)進(jìn)行回復(fù)的服務(wù)（例如使用UDP協(xié)議的chargen服務(wù)和echo服務(wù)）來進(jìn)行攻擊。很多提供WWW和Mail等服務(wù)設(shè)備通常是使用Unix的服務(wù)器，它們默認(rèn)打開一些被黑客惡意利用的UDP服務(wù)。如echo服務(wù)會(huì)顯示接收到的每一個(gè)數(shù)據(jù)包，而原本作為測試功能的chargen服務(wù)會(huì)在收到每一個(gè)數(shù)據(jù)包時(shí)隨機(jī)反饋一些字符。2023/12/3網(wǎng)絡(luò)入侵與防范講義306.2.4UDP洪水當(dāng)我們向echo服務(wù)的端口發(fā)送一個(gè)數(shù)據(jù)時(shí)，echo服務(wù)會(huì)將同樣的數(shù)據(jù)返回給發(fā)送方，而chargen服務(wù)則會(huì)隨機(jī)返回字符。當(dāng)兩個(gè)或兩個(gè)以上系統(tǒng)存在這樣的服務(wù)時(shí)，攻擊者利用其中一臺(tái)主機(jī)向另一臺(tái)主機(jī)的echo或者chargen服務(wù)端口發(fā)送數(shù)據(jù)，echo和chargen服務(wù)會(huì)自動(dòng)進(jìn)行回復(fù)，這樣開啟echo和chargen服務(wù)的主機(jī)就會(huì)相互回復(fù)數(shù)據(jù)。由于這種做法使一方的輸出成為另一方的輸入，兩臺(tái)主機(jī)間會(huì)形成大量的UDP數(shù)據(jù)包。當(dāng)多個(gè)系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時(shí)，最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。

2023/12/3網(wǎng)絡(luò)入侵與防范講義31UDP洪水實(shí)例（UDP-Flood）IP/hostname和port：輸入目標(biāo)主機(jī)的IP地址和端口號(hào)；Maxduration：設(shè)定最長的攻擊時(shí)間；Speed：設(shè)置UDP包發(fā)送速度；Data：指定發(fā)送的UDP數(shù)據(jù)包中包含的內(nèi)容。2023/12/3網(wǎng)絡(luò)入侵與防范講義32UDP洪水實(shí)例(2)對局域網(wǎng)網(wǎng)內(nèi)的一臺(tái)計(jì)算機(jī)4發(fā)起UDPFlood攻擊，發(fā)包速率為250PPS。2023/12/3網(wǎng)絡(luò)入侵與防范講義33UDP洪水實(shí)例(3)在被攻擊的計(jì)算機(jī)4上打開Sniffer工具，可以捕捉由攻擊者計(jì)算機(jī)發(fā)到本機(jī)的UDP數(shù)據(jù)包，可以看到內(nèi)容為“*****UDPFlood.Serverstresstest*****”的大量UDP數(shù)據(jù)包，如下頁圖所示。如果加大發(fā)包速率和增加攻擊機(jī)的數(shù)量，則目標(biāo)主機(jī)的處理能力將會(huì)明顯下降。2023/12/3網(wǎng)絡(luò)入侵與防范講義34UDP“洪水”實(shí)例2023/12/3網(wǎng)絡(luò)入侵與防范講義356.2.5SYN洪水SYNFlood是當(dāng)前最流行的拒絕服務(wù)攻擊方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。SYNFlood是利用TCP連接的三次握手過程的特性實(shí)現(xiàn)的。2023/12/3網(wǎng)絡(luò)入侵與防范講義366.2.5SYN洪水在TCP連接的三次握手過程中，假設(shè)一個(gè)客戶端向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN/ACK應(yīng)答報(bào)文后是無法收到客戶端的ACK報(bào)文的，這種情況下服務(wù)器端一般會(huì)重試，并等待一段時(shí)間后丟棄這個(gè)未完成的連接。這段時(shí)間的長度我們稱為SYNTimeout。一般來說這個(gè)時(shí)間是分鐘的數(shù)量級(jí)。一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況(偽造IP地址)，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源。2023/12/3網(wǎng)絡(luò)入侵與防范講義376.2.5SYN洪水即使是簡單的保存并遍歷半連接列表也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰——既使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求，此時(shí)從正常客戶的角度看來，服務(wù)器失去響應(yīng)，這種情況就稱作：服務(wù)器端受到了SYNFlood攻擊(SYN洪水攻擊)。2023/12/3網(wǎng)絡(luò)入侵與防范講義38SYN“洪水”攻擊示意圖

2023/12/3網(wǎng)絡(luò)入侵與防范講義39SYN“洪水”攻擊實(shí)例局域網(wǎng)環(huán)境，有一臺(tái)攻擊機(jī)（PIII667/128/mandrake），被攻擊的是一臺(tái)Solaris8.0的主機(jī)，網(wǎng)絡(luò)設(shè)備是Cisco的百兆交換機(jī)。后面將顯示在Solaris上進(jìn)行snoop抓包的記錄。注：snoop與tcpdump等網(wǎng)絡(luò)監(jiān)聽工具一樣，是一個(gè)網(wǎng)絡(luò)抓包與分析工具。2023/12/3網(wǎng)絡(luò)入侵與防范講義40SYN“洪水”攻擊實(shí)例(2)

攻擊示意圖：2023/12/3網(wǎng)絡(luò)入侵與防范講義41SYN“洪水”攻擊實(shí)例(3)攻擊機(jī)開始發(fā)包，DoS開始了…，突然間Solaris主機(jī)上的snoop窗口開始飛速地翻屏，顯示出接到數(shù)量巨大的Syn請求。這時(shí)的屏幕就好象是時(shí)速300公里的列車上的一扇車窗。SynFlood攻擊時(shí)的snoop輸出結(jié)果如下頁圖所示。2023/12/3網(wǎng)絡(luò)入侵與防范講義42SYN“洪水”攻擊實(shí)例(4)2023/12/3網(wǎng)絡(luò)入侵與防范講義43SYN“洪水”攻擊實(shí)例(4)此時(shí)，目標(biāo)主機(jī)再也收不到剛才那些正常的網(wǎng)絡(luò)包，只有DoS包。大家注意一下，這里所有的SynFlood攻擊包的源地址都是偽造的，給追查工作帶來很大困難。這時(shí)在被攻擊主機(jī)上積累了多少Syn的半連接呢？用netstat來看一下：

#netstat-an|grepSYN。 結(jié)果如下頁圖所示。2023/12/3網(wǎng)絡(luò)入侵與防范講義442023/12/3網(wǎng)絡(luò)入侵與防范講義45SYN“洪水”攻擊實(shí)例(5)

其中SYN_RCVD表示當(dāng)前未完成的TCPSYN隊(duì)列，統(tǒng)計(jì)一下（wc是文件內(nèi)容統(tǒng)計(jì)命令，-l選項(xiàng)表示統(tǒng)計(jì)行數(shù)）：

#netstat-an|grepSYN|wc-l

5273

#netstat-an|grepSYN|wc-l

5154

#netstat-an|grepSYN|wc-l

5267

…..

共有五千多個(gè)Syn的半連接存儲(chǔ)在內(nèi)存中。這時(shí)候被攻擊機(jī)已經(jīng)不能響應(yīng)新的服務(wù)請求了，系統(tǒng)運(yùn)行非常慢，也無法ping通。而這只是在攻擊發(fā)起后僅僅70秒鐘左右時(shí)的情況。2023/12/3網(wǎng)絡(luò)入侵與防范講義46SYN“洪水”的防御SYN洪水攻擊比較難以防御，以下是幾種解決方法：縮短SYNTimeout時(shí)間設(shè)置SYNCookie負(fù)反饋策略退讓策略分布式DNS負(fù)載均衡防火墻2023/12/3網(wǎng)絡(luò)入侵與防范講義47縮短SYNTimeout時(shí)間由于SYNFlood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個(gè)值=SYN攻擊的頻度xSYNTimeout，所以通過縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文無效并丟棄該連接的時(shí)間，可以成倍的降低服務(wù)器的負(fù)荷。2023/12/3網(wǎng)絡(luò)入侵與防范講義48設(shè)置SYNCookie就是給每一個(gè)請求連接的IP地址分配一個(gè)Cookie，如果短時(shí)間內(nèi)連續(xù)受到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個(gè)IP地址來的包會(huì)被丟棄。2023/12/3網(wǎng)絡(luò)入侵與防范講義49負(fù)反饋策略正常情況下，OS對TCP連接的一些重要參數(shù)有一個(gè)常規(guī)的設(shè)置：SYNTimeout時(shí)間、SYN-ACK的重試次數(shù)、SYN報(bào)文從路由器到系統(tǒng)再到Winsock的延時(shí)等等。這個(gè)常規(guī)設(shè)置針對系統(tǒng)優(yōu)化，可以給用戶提供方便快捷的服務(wù)；一旦服務(wù)器受到攻擊，SYNHalflink的數(shù)量超過系統(tǒng)中TCP活動(dòng)Halflink最大連接數(shù)的設(shè)置，系統(tǒng)將會(huì)認(rèn)為自己受到了SYNFlood攻擊，并將根據(jù)攻擊的判斷情況作出反應(yīng)：減短SYNTimeout時(shí)間、減少SYN-ACK的重試次數(shù)、自動(dòng)對緩沖區(qū)中的報(bào)文進(jìn)行延時(shí)等等措施，力圖將攻擊危害減到最低。2023/12/3網(wǎng)絡(luò)入侵與防范講義50退讓策略退讓策略是基于SYNFlood攻擊代碼的一個(gè)缺陷：SYNFlood一旦攻擊開始，將不會(huì)再進(jìn)行域名解析。切入點(diǎn)：假設(shè)一臺(tái)服務(wù)器在受到SYNFlood攻擊后迅速更換自己的IP地址，那么攻擊者仍在不斷攻擊的只是一個(gè)空的IP地址，并沒有任何主機(jī)，而防御方只要將DNS解析更改到新的IP地址就能在很短的時(shí)間內(nèi)恢復(fù)用戶通過域名進(jìn)行的正常訪問。為了迷惑攻擊者，我們甚至可以放置一臺(tái)“犧牲”服務(wù)器讓攻擊者滿足于攻擊的“效果”。2023/12/3網(wǎng)絡(luò)入侵與防范講義51分布式DNS負(fù)載均衡在眾多的負(fù)載均衡架構(gòu)中，基于DNS解析的負(fù)載均衡本身就擁有對SYNFlood的免疫力?；贒NS解析的負(fù)載均衡能將用戶的請求分配到不同IP的服務(wù)器主機(jī)上，攻擊者攻擊的永遠(yuǎn)只是其中一臺(tái)服務(wù)器，一來這樣增加了攻擊者的成本，二來過多的DNS請求可以幫助我們追查攻擊者的真正蹤跡。2023/12/3網(wǎng)絡(luò)入侵與防范講義52防火墻在防火墻設(shè)置了正確的規(guī)則后，可以識(shí)別SYNFlood攻擊所采用的攻擊方法，并將攻擊包阻擋在外。2023/12/3網(wǎng)絡(luò)入侵與防范講義536.2.6Land攻擊Land是因特網(wǎng)上最常見的拒絕服務(wù)攻擊類型，它是由著名黑客組織rootshell發(fā)現(xiàn)的。原理很簡單，向目標(biāo)機(jī)發(fā)送大量的源地址和目標(biāo)地址相同的包，造成目標(biāo)機(jī)解析Land包時(shí)占用大量的系統(tǒng)資源，從而使網(wǎng)絡(luò)功能完全癱瘓。2023/12/3網(wǎng)絡(luò)入侵與防范講義546.2.6Land攻擊Land攻擊也是利用TCP的三次握手過程的缺陷進(jìn)行攻擊。Land攻擊是向目標(biāo)主機(jī)發(fā)送一個(gè)特殊的SYN包，包中的源地址和目標(biāo)地址都是目標(biāo)主機(jī)的地址。目標(biāo)主機(jī)收到這樣的連接請求時(shí)會(huì)向自己發(fā)送SYN/ACK數(shù)據(jù)包，結(jié)果導(dǎo)致目標(biāo)主機(jī)向自己發(fā)回ACK數(shù)據(jù)包并創(chuàng)建一個(gè)連接。大量的這樣的數(shù)據(jù)包將使目標(biāo)主機(jī)建立很多無效的連接，系統(tǒng)資源被大量的占用。2023/12/3網(wǎng)絡(luò)入侵與防范講義556.2.6Land攻擊Land攻擊示意圖：2023/12/3網(wǎng)絡(luò)入侵與防范講義566.2.6Land攻擊Land攻擊可簡要概括如下：攻擊特征：用于Land攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的。操作系統(tǒng)接收到這類數(shù)據(jù)包時(shí)，不知道該如何處理堆棧中的這種情況，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。檢測方法：判斷網(wǎng)絡(luò)數(shù)據(jù)包的源/目標(biāo)地址是否相同。反攻擊方法：適當(dāng)配置防火墻設(shè)備或過濾路由器的過濾規(guī)則可以防止這種攻擊行為，并對這種攻擊進(jìn)行審計(jì)。2023/12/3網(wǎng)絡(luò)入侵與防范講義576.2.7Smurf攻擊Smurf攻擊是利用IP欺騙和ICMP回應(yīng)包引起目標(biāo)主機(jī)網(wǎng)絡(luò)阻塞，實(shí)現(xiàn)DoS攻擊。Smurf攻擊原理：在構(gòu)造數(shù)據(jù)包時(shí)將源地址設(shè)置為被攻擊主機(jī)的地址，而將目的地址設(shè)置為廣播地址，于是，大量的ICMPecho回應(yīng)包被發(fā)送給被攻擊主機(jī)，使其因網(wǎng)絡(luò)阻塞而無法提供服務(wù)。比PingofDeath洪水的流量高出1或2個(gè)數(shù)量級(jí)。2023/12/3網(wǎng)絡(luò)入侵與防范講義586.2.7Smurf攻擊Smurf攻擊示意圖：2023/12/3網(wǎng)絡(luò)入侵與防范講義596.2.7Smurf攻擊如上例所示，入侵者的主機(jī)發(fā)送了一個(gè)數(shù)據(jù)包，而目標(biāo)主機(jī)就收到了三個(gè)回復(fù)數(shù)據(jù)包。如果目標(biāo)網(wǎng)絡(luò)是一個(gè)很大的以太網(wǎng)，有200臺(tái)主機(jī)，那么在這種情況下，入侵者每發(fā)送一個(gè)ICMP數(shù)據(jù)包，目標(biāo)主機(jī)就會(huì)收到200個(gè)數(shù)據(jù)包，因此目標(biāo)主機(jī)很快就會(huì)被大量的回復(fù)信息吞沒，無法處理其他的任何網(wǎng)絡(luò)傳輸。這種攻擊不僅影響目標(biāo)主機(jī)，還能影響目標(biāo)主機(jī)的整個(gè)網(wǎng)絡(luò)系統(tǒng)。2023/12/3網(wǎng)絡(luò)入侵與防范講義60Smurf攻擊例子B類網(wǎng)絡(luò)攻擊者冒充服務(wù)器向一個(gè)B類網(wǎng)絡(luò)的廣播地址發(fā)送ICMPecho包整個(gè)B類網(wǎng)絡(luò)的所有系統(tǒng)都向此服務(wù)器回應(yīng)一個(gè)icmpreply包2023/12/3網(wǎng)絡(luò)入侵與防范講義616.2.8Fraggle攻擊Fraggle攻擊原理與Smurf一樣，也是采用向廣播地址發(fā)送數(shù)據(jù)包，利用廣播地址的特性將攻擊放大以使目標(biāo)主機(jī)拒絕服務(wù)。不同的是，F(xiàn)raggle使用的是UDP應(yīng)答消息而非ICMP。2023/12/3網(wǎng)絡(luò)入侵與防范講義626.2.9電子郵件炸彈電子郵件炸彈是最古老的匿名攻擊之一，由于這種攻擊方式簡單易用，互聯(lián)網(wǎng)上也很容易找到這些發(fā)送匿名郵件的工具，并且入侵者只需要知道對方的電子郵件地址就可以進(jìn)行攻擊了。傳統(tǒng)的電子郵件炸彈只是簡單的往你的郵箱里發(fā)送大量的郵件，入侵者的目的是要用垃圾郵件填滿你的郵箱后，正常的郵件就會(huì)因空間不夠而被服務(wù)器拒收。2023/12/3網(wǎng)絡(luò)入侵與防范講義636.2.9電子郵件炸彈如果用戶的郵箱使用空間不受限制，那么電子郵件炸彈攻擊就有可能影響到服務(wù)器的正常工作了。最有可能的情況是入侵者不斷發(fā)送大量的電子郵件，由于用戶的郵箱空間不受限制，服務(wù)器會(huì)接收全部的郵件并保存在硬盤上。大量到來的郵件將不斷吞噬服務(wù)器上的硬盤空間，最終將耗盡服務(wù)器上的所有硬盤空間，使得服務(wù)器無法再對外服務(wù)。還有一種可能是通過設(shè)置一臺(tái)機(jī)器不斷地大量向同一地址發(fā)送電子郵件，入侵者能夠耗盡接收者網(wǎng)絡(luò)的帶寬。2023/12/3網(wǎng)絡(luò)入侵與防范講義646.2.9電子郵件炸彈電子郵件是通過SMTP協(xié)議進(jìn)行發(fā)送的，最初的SMTP協(xié)議服務(wù)是不需要進(jìn)行身份認(rèn)證的，在發(fā)送電子郵件的過程中不對用戶進(jìn)行身份認(rèn)證。SMTP不會(huì)進(jìn)行認(rèn)證，郵件的發(fā)送人可以偽造任何郵件地址，甚至可以不寫發(fā)件人的信息。這就是能發(fā)送匿名郵件的原因。針對SMTP的問題，新的SMTP協(xié)議規(guī)范新增了2個(gè)命令，對發(fā)送郵件的發(fā)件人進(jìn)行身份認(rèn)證，在一定程度上降低了匿名電子郵件的風(fēng)險(xiǎn)。2023/12/3網(wǎng)絡(luò)入侵與防范講義656.2.10畸形消息攻擊畸形消息攻擊是一種有針對性的攻擊方式，它利用目標(biāo)主機(jī)或者特定服務(wù)存在的安全漏洞進(jìn)行攻擊。目前無論是Windows、Unix、Linux等各類操作系統(tǒng)上的許多服務(wù)都存在安全漏洞，由于這些服務(wù)在處理信息之前沒有進(jìn)行適當(dāng)正確的錯(cuò)誤校驗(yàn)，所以一旦收到畸形的信息就有可能會(huì)崩潰。2023/12/3網(wǎng)絡(luò)入侵與防范講義666.2.10畸形消息攻擊例如，在IIS5沒有安裝相應(yīng)的修補(bǔ)包以及沒有相應(yīng)的安全措施時(shí)，向IIS5服務(wù)器遞交如下的URL會(huì)導(dǎo)致IIS5停止服務(wù)：http://testIP/...[25kbof‘.’]...ida

而向IIS5遞交如下的HTTP請求會(huì)導(dǎo)致IIS系統(tǒng)的崩潰，需要重啟動(dòng)才能恢復(fù)：

“GET/......[3k].......htrHTTP/1.0”這兩者都是向服務(wù)器提交正常情況下不會(huì)出現(xiàn)的請求，導(dǎo)致服務(wù)器處理錯(cuò)誤而崩潰，是典型的畸形消息攻擊。2023/12/3網(wǎng)絡(luò)入侵與防范講義676.2.11SlashdoteffectSlashdoteffect來自S這個(gè)網(wǎng)站，這曾是十分知名而且瀏覽人數(shù)十分龐大的IT、電子、娛樂網(wǎng)站，也是blog網(wǎng)站的開宗始祖之一。由于S的知名度和瀏覽人數(shù)的影響，在S上的文章中放入的網(wǎng)站鏈接，有可能一瞬間被點(diǎn)入上千次，甚至上萬次，造成這個(gè)被鏈接的網(wǎng)站承受不住突然增加的連接請求，出現(xiàn)響應(yīng)變慢、崩潰、拒絕服務(wù)。這種現(xiàn)象就稱為Slashdoteffect，這種瞬間產(chǎn)生的大量進(jìn)入某網(wǎng)站的動(dòng)作，也稱作Slashdotting。2023/12/3網(wǎng)絡(luò)入侵與防范講義686.2.11Slashdoteffect這種攻擊手法使web服務(wù)器或其他類型的服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過載，一般這些網(wǎng)絡(luò)流量是針對某一個(gè)頁面或一個(gè)鏈接而產(chǎn)生的。當(dāng)然這種現(xiàn)象也會(huì)在訪問量較大的網(wǎng)站上正常的發(fā)生，但一定要把這些正?，F(xiàn)象和攻擊區(qū)分開來。如果您的服務(wù)器突然變得擁擠不堪，甚至無法響應(yīng)再多的請求時(shí)，您應(yīng)當(dāng)仔細(xì)檢查一下這個(gè)資源匱乏的現(xiàn)象，確認(rèn)在10000次點(diǎn)擊里全都是合法用戶進(jìn)行的，還是由5000個(gè)合法用戶和一個(gè)點(diǎn)擊了5000次的攻擊者進(jìn)行的。2023/12/3網(wǎng)絡(luò)入侵與防范講義696.2.12WinNuke攻擊WinNuke攻擊又稱“帶外傳輸攻擊”，它的特征是攻擊目標(biāo)端口，被攻擊的目標(biāo)端口通常是139、138、137、113、53。TCP傳輸協(xié)議中使用帶外數(shù)據(jù)（OutofBand，OOB數(shù)據(jù)）通道來傳送一些比較特殊（如比較緊急）的數(shù)據(jù)。在緊急模式下，發(fā)送的每個(gè)TCP數(shù)據(jù)包都包含URG標(biāo)志和16位URG指針，直至將要發(fā)送的帶外數(shù)據(jù)發(fā)送完為止。16位URG指針指向包內(nèi)數(shù)據(jù)段的某個(gè)字節(jié)數(shù)據(jù)，表示從第一字節(jié)到指針?biāo)缸止?jié)的數(shù)據(jù)就是緊急數(shù)據(jù)，不進(jìn)入接收緩沖就直接交給上層進(jìn)程。2023/12/3網(wǎng)絡(luò)入侵與防范講義706.2.12WinNuke攻擊WinNuke攻擊就是制造特殊的這種報(bào)文，但這些攻擊報(bào)文與正常攜帶OOB數(shù)據(jù)報(bào)文不同的是：其指針字段與數(shù)據(jù)的實(shí)際位置不符，即存在重合，這樣WINDOWS操作系統(tǒng)在處理這些數(shù)據(jù)的時(shí)候，就會(huì)崩潰。2023/12/3網(wǎng)絡(luò)入侵與防范講義716.2.12WinNuke攻擊攻擊者將這樣的特殊TCP帶外數(shù)據(jù)報(bào)文發(fā)送給已建立連接的主機(jī)的NetBIOS端口139，導(dǎo)致主機(jī)崩潰后，會(huì)顯示下面的信息：

AnexceptionOEhasoccurredat0028:[address]inVxDMSTCP(01)+000041AE.Thiswascalledfrom0028:[address]inVxDNDIS(01)+00008660.Itmaybepossibletocontinuenormally.Pressanykeytoattempttocontinue.PressCTRL+ALT+DELtorestartyourcomputer.Youwillloseanyunsavedinformationinallapplications.Pressanykeytocontinue2023/12/3網(wǎng)絡(luò)入侵與防范講義726.2.12WinNuke攻擊WinNuke攻擊的特征、檢測方法和反攻擊方法概括如下：攻擊特征：WinNuke攻擊又稱帶外傳輸攻擊，它的特征是被攻擊的目標(biāo)端口通常是139、138、137、113、53，而且URG位設(shè)為“1”，即緊急模式。檢測方法：判斷數(shù)據(jù)包目標(biāo)端口是否為139、138、137等，并判斷URG位是否為“1”。反攻擊方法：適當(dāng)配置防火墻設(shè)備或過濾路由器就可以防止這種攻擊手段（丟棄該數(shù)據(jù)包），并對這種攻擊進(jìn)行審計(jì)（記錄事件發(fā)生的時(shí)間，源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址）2023/12/3網(wǎng)絡(luò)入侵與防范講義736.3分布式拒絕服務(wù)攻擊6.3.1分布式拒絕服務(wù)攻擊簡介6.3.2分布式拒絕服務(wù)攻擊造成的影響6.3.3分布式拒絕服務(wù)攻擊工具2023/12/3網(wǎng)絡(luò)入侵與防范講義746.3.1分布式拒絕服務(wù)攻擊簡介分布式拒絕服務(wù)DDoS(DistributedDenialofService)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力?？梢允沟梅稚⒃诨ヂ?lián)網(wǎng)各處的機(jī)器共同完成對一臺(tái)主機(jī)攻擊的操作，從而使主機(jī)看起來好象是遭到了不同位置的許多主機(jī)的攻擊。這些分散的機(jī)器可以分別進(jìn)行不同類型的攻擊。2023/12/3網(wǎng)絡(luò)入侵與防范講義756.3.1分布式拒絕服務(wù)攻擊簡介在進(jìn)行分布式拒絕服務(wù)攻擊前，入侵者必須先控制大量的無關(guān)主機(jī)，并在這些機(jī)器上安裝進(jìn)行拒絕服務(wù)攻擊的軟件。互聯(lián)網(wǎng)上充斥著安全措施較差的主機(jī)，這些主機(jī)存在系統(tǒng)漏洞或配置上的錯(cuò)誤，可能是一些沒有足夠安全技術(shù)力量的小站點(diǎn)或者一些企業(yè)的服務(wù)器，入侵者輕易就能進(jìn)入這些系統(tǒng)。由于攻擊者來自于范圍廣泛的IP地址，而且來自每臺(tái)主機(jī)的少量的數(shù)據(jù)包有可能從入侵檢測系統(tǒng)的眼皮下溜掉，這就使得防御變得困難。2023/12/3網(wǎng)絡(luò)入侵與防范講義766.3.1分布式拒絕服務(wù)攻擊簡介分布式拒絕服務(wù)攻擊的軟件一般分為客戶端、服務(wù)端與守護(hù)程序，這些程序可以使協(xié)調(diào)分散在互聯(lián)網(wǎng)各處的機(jī)器共同完成對一臺(tái)主機(jī)攻擊的操作，從而使主機(jī)遭到來自不同地方的許多主機(jī)的攻擊。客戶端：也稱攻擊控制臺(tái)，它是發(fā)起攻擊的主機(jī)服務(wù)端：也稱攻擊服務(wù)器，它接受客戶端發(fā)來的控制命令守護(hù)程序：也稱攻擊器、攻擊代理，它直接（如SYNFlooding）或者間接（如反射式DDoS）與攻擊目標(biāo)進(jìn)行通信2023/12/3網(wǎng)絡(luò)入侵與防范講義776.3.1分布式拒絕服務(wù)攻擊簡介DDoS攻擊示例：2023/12/3網(wǎng)絡(luò)入侵與防范講義786.3.1分布式拒絕服務(wù)攻擊簡介入侵者通過客戶端軟件向服務(wù)端軟件發(fā)出攻擊指令，服務(wù)端在接收到攻擊指令后，控制守護(hù)進(jìn)程向目標(biāo)主機(jī)發(fā)動(dòng)攻擊。采用三層結(jié)構(gòu)的做法是確保入侵者的安全，一旦客戶端發(fā)出指令后，客戶端就能斷開連接，由服務(wù)端指揮守護(hù)進(jìn)程攻擊?？蛻舳诉B接和發(fā)送指令的時(shí)間很短，隱蔽性極強(qiáng)。2023/12/3網(wǎng)絡(luò)入侵與防范講義796.3.1分布式拒絕服務(wù)攻擊簡介入侵者先控制多臺(tái)無關(guān)主機(jī)，在上面安裝守護(hù)進(jìn)程與服務(wù)端程序。當(dāng)需要攻擊時(shí)，入侵者從客戶端連接到安裝了服務(wù)端軟件的主機(jī)上，發(fā)出攻擊指令，服務(wù)端軟件指揮守護(hù)進(jìn)程同時(shí)向目標(biāo)主機(jī)發(fā)動(dòng)拒絕服務(wù)攻擊。目前流行的分布式拒絕服務(wù)攻擊軟件一般沒有專用的客戶端軟件，使用telnet進(jìn)行連接和傳送控制命令。2023/12/3網(wǎng)絡(luò)入侵與防范講義806.3.1分布式拒絕服務(wù)攻擊簡介通常情況下，服務(wù)端與守護(hù)進(jìn)程間并不是一一對應(yīng)的關(guān)系，而是多對多的關(guān)系。也就是說，一個(gè)安裝了守護(hù)進(jìn)程的主機(jī)可以被多個(gè)服務(wù)端所控制，一個(gè)服務(wù)端軟件也同時(shí)控制多個(gè)守護(hù)進(jìn)程。2023/12/3網(wǎng)絡(luò)入侵與防范講義81DDoS攻擊過程

攻擊過程主要有兩個(gè)步驟：攻占代理主機(jī)和向目標(biāo)發(fā)起攻擊。具體說來可分為以下幾個(gè)步驟：

1探測掃描大量主機(jī)以尋找可入侵主機(jī)；

2入侵有安全漏洞的主機(jī)并獲取控制權(quán)；

3在每臺(tái)被入侵主機(jī)中安裝攻擊所用的客戶進(jìn)程或守護(hù)進(jìn)程；

4向安裝有客戶進(jìn)程的主控端主機(jī)發(fā)出命令，由它們來控制代理主機(jī)上的守護(hù)進(jìn)程進(jìn)行協(xié)同入侵。2023/12/3網(wǎng)絡(luò)入侵與防范講義826.3.2DDoS造成的影響被DDoS攻擊時(shí)的現(xiàn)象DDoS攻擊對Web站點(diǎn)的影響2023/12/3網(wǎng)絡(luò)入侵與防范講義83被DDoS攻擊時(shí)的現(xiàn)象被攻擊主機(jī)上有大量等待的TCP連接；網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假；制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊；利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請求，使受害主機(jī)無法及時(shí)處理所有正常請求；嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。2023/12/3網(wǎng)絡(luò)入侵與防范講義84DDoS攻擊對Web站點(diǎn)的影響當(dāng)對一個(gè)Web站點(diǎn)執(zhí)行DDoS攻擊時(shí)，這個(gè)站點(diǎn)的一個(gè)或多個(gè)Web服務(wù)會(huì)接到非常多的請求，最終使它無法再正常使用。在一個(gè)DDoS攻擊期間，如果有一個(gè)不知情的用戶發(fā)出了正常的頁面請求，這個(gè)請求會(huì)完全失敗，或者是頁面下載速度變得極其緩慢，看起來就是站點(diǎn)無法使用。2023/12/3網(wǎng)絡(luò)入侵與防范講義856.3.3DDoS的工具TFN2K TrinooStacheldraht其他拒絕服務(wù)攻擊工具2023/12/3網(wǎng)絡(luò)入侵與防范講義86TFN2K—介紹TFN(TribeFloodNetwork)是德國著名黑客Mixter編寫的分布式拒絕服務(wù)攻擊的攻擊工具，它是一個(gè)典型的分布式拒絕服務(wù)攻擊的工具。TFN由服務(wù)端程序和守護(hù)程序組成，能實(shí)施ICMPflood、SYNflood、UDPflood和Smurf等多種拒絕服務(wù)攻擊。2023/12/3網(wǎng)絡(luò)入侵與防范講義87TFN2K--特點(diǎn)TFN2K的選擇面寬，Solaris、Linux、WindowsNT/2000上都能運(yùn)行。TFN2K的另一個(gè)特點(diǎn)是服務(wù)端控制守護(hù)進(jìn)程發(fā)動(dòng)攻擊時(shí)，可以定制通信使用的協(xié)議，TFN2K目前可以使用的TCP、UDP、ICMP三種協(xié)議中的任何一種。服務(wù)端向守護(hù)進(jìn)程發(fā)送的控制指令，守護(hù)進(jìn)程是不會(huì)進(jìn)行回復(fù)。由于這一特點(diǎn)，網(wǎng)絡(luò)中的TFN2K的隱蔽性更強(qiáng)，檢測更加困難，因?yàn)榉?wù)端可以將命令的數(shù)據(jù)報(bào)文的源地址信息進(jìn)行偽造。2023/12/3網(wǎng)絡(luò)入侵與防范講義88TFN2K--特點(diǎn)(2)TFN2K所有命令都經(jīng)過了CAST-256算法（RFC2612）加密。加密關(guān)鍵字在程序編譯時(shí)定義，并作為TFN2K客戶端程序的口令。并且所有加密數(shù)據(jù)在發(fā)送前都被編碼（Base64）成可打印的ASCII字符。TFN2K守護(hù)程序接收數(shù)據(jù)包并解密數(shù)據(jù)。為保護(hù)自身，守護(hù)進(jìn)程還能通過修改進(jìn)程名方式來欺騙管理員，掩飾自己的真正身份。總之，TFN2K采用的單向通信、隨機(jī)使用通信協(xié)議、通信數(shù)據(jù)加密等多種技術(shù)以保護(hù)自身，使得實(shí)時(shí)檢測TFN2K更加困難。2023/12/3網(wǎng)絡(luò)入侵與防范講義89TFN2K—檢測TFN2K有一個(gè)獨(dú)特的設(shè)計(jì)，在每一個(gè)數(shù)據(jù)包后面填充了16個(gè)零(0x00)，這樣做的目的是為了使數(shù)據(jù)包的長度不固定，欺騙某些防火墻或者入侵檢測系統(tǒng)。然而，這項(xiàng)獨(dú)特的設(shè)計(jì)也成為了TFN2K的弱點(diǎn)。TFN2K的數(shù)據(jù)包后面填充的零（0x00）在經(jīng)過Base64編碼后就變成了A(0x41)。這樣，尾部的數(shù)據(jù)包就成為了TFN2K的特征。當(dāng)然這并不是說檢測到尾部有0x41的數(shù)據(jù)包就認(rèn)為網(wǎng)絡(luò)存在TFN2K，不過，如果在網(wǎng)絡(luò)中大量捕獲到這種類型的數(shù)據(jù)包的時(shí)候，管理員就該好好檢查網(wǎng)絡(luò)中的主機(jī)了。2023/12/3網(wǎng)絡(luò)入侵與防范講義90TFN2K—檢測(2)另一種對TFN2K的檢測的方法是采用病毒檢測的通用做法，采用特征碼。雖然TFN2K服務(wù)端和守護(hù)進(jìn)程的文件名可以隨意修改，但是程序中必然存在不會(huì)改變的特征字符串，這個(gè)不會(huì)改變的字符串就是程序的特征碼，檢查系統(tǒng)中是否存在有這樣特征碼的程序就能發(fā)現(xiàn)系統(tǒng)中存在的TFN2K。2023/12/3網(wǎng)絡(luò)入侵與防范講義91TFN2K—防御TFN2K的抵御方法有：加固系統(tǒng)和網(wǎng)絡(luò)，以防系統(tǒng)被當(dāng)做DDoS主機(jī)。在邊界路由器上設(shè)置出口過濾，這樣做的原因是或許不是所有的TFN2K源地址都用內(nèi)部網(wǎng)絡(luò)地址進(jìn)行偽裝。請求上游供應(yīng)商配置入口過濾。2023/12/3網(wǎng)絡(luò)入侵與防范講義92Trinoo—介紹Trinoo也是一種比較常見的分布式拒絕服務(wù)攻擊，Trinoo與TFN2K相比，雖然在很多方面都略遜一籌，但從總體上來說，Trinoo還是一個(gè)非常不錯(cuò)的分布式拒絕服務(wù)攻擊工具。2023/12/3網(wǎng)絡(luò)入侵與防范講義93Trinoo—組成Trinoo是一個(gè)典型的分布式拒絕服務(wù)攻擊軟件，由兩部分組成，服務(wù)端和守護(hù)進(jìn)程，而沒有專門的客戶端軟件，客戶端軟件可以使用通用的如Telnet來代替。如圖：2023/12/3網(wǎng)絡(luò)入侵與防范講義94Trinoo—工作原理Trinoo的守護(hù)進(jìn)程N(yùn)C在編譯時(shí)就將安裝有服務(wù)程序的主機(jī)IP地址包含在內(nèi)，這樣，守護(hù)進(jìn)程N(yùn)C一旦運(yùn)行起來，就會(huì)自動(dòng)檢測本機(jī)的IP地址，并將本機(jī)的IP地址發(fā)送到預(yù)先知道的服務(wù)器的31335端口（服務(wù)器開啟31335UDP端口接收守護(hù)進(jìn)程）。同時(shí)，守護(hù)進(jìn)程也在本機(jī)打開一個(gè)27444的UDP端口等待服務(wù)器端過來的命令。Trinoo的服務(wù)器端在收到守護(hù)進(jìn)程發(fā)回來的IP地址后，就明白已有一個(gè)守護(hù)進(jìn)程準(zhǔn)備完畢，可以發(fā)送指控命令了。主服務(wù)器會(huì)一直記錄并維護(hù)一個(gè)已激活守護(hù)程序的主機(jī)清單。2023/12/3網(wǎng)絡(luò)入侵與防范講義95Trinoo—設(shè)計(jì)特色Trinooo的所有連接都需要口令，連接的口令是編譯時(shí)就指定的，缺省情況下，服務(wù)端連接守護(hù)進(jìn)程的口令是“144adsl”，而客戶端連接到服務(wù)端的口令是“betaalmostdone”。不過口令在進(jìn)行驗(yàn)證時(shí)是明文進(jìn)行傳送的。Trinoo另一個(gè)比較有特色的設(shè)計(jì)是，當(dāng)客戶端連接到服務(wù)端時(shí)，如果還有其他的連接建立，Trinoo會(huì)將一個(gè)包含連接IP地址的報(bào)警信息發(fā)送到已連接的主機(jī)。這樣，入侵者在控制服務(wù)端發(fā)動(dòng)攻擊時(shí)，還能掌握系統(tǒng)上的用戶動(dòng)向，確保Trinoo客戶端的安全。2023/12/3網(wǎng)絡(luò)入侵與防范講義96Trinoo--基本特性及建議的抵御策略在master程序（服務(wù)端）與代理程序（守護(hù)程序）的所有通訊中，Trinoo都使用了UDP協(xié)議。入侵檢測軟件能夠?qū)ふ沂褂肬DP協(xié)議的數(shù)據(jù)流(類型17)。Trinoomaster程序的監(jiān)聽端口是27655，攻擊者一般借助telnet通過TCP連接到master程序所在計(jì)算機(jī)。入侵檢測軟件能夠搜索到使用TCP(類型6)并連接到端口27655上的數(shù)據(jù)流。2023/12/3網(wǎng)絡(luò)入侵與防范講義97Trinoo--基本特性及建議的抵御策略(2)所有從master程序到代理程序的通訊都包含字符串"l44"，并且被引導(dǎo)到代理的UDP端口27444。入侵檢測軟件檢查到UDP端口27444的連接，如果有包含字符串l44的信息包被發(fā)送過去，那么接受這個(gè)信息包的計(jì)算機(jī)可能就是DDoS代理。Master和代理之間的通訊受到口令的保護(hù)，但是口令不是以加密格式發(fā)送的，因此它可以被“嗅探”到并被檢測出來。使用這個(gè)口令以及DaveDittrich編寫的Trinot腳本，要準(zhǔn)確地驗(yàn)證出Trinoo代理的存在是很可能的。2023/12/3網(wǎng)絡(luò)入侵與防范講義98StacheldrahtStacheldraht也是一個(gè)分布式拒絕服務(wù)攻擊，它很多方面類似于Trinoo和TFN，能發(fā)動(dòng)ICMPFlood、SYNFlood、UDPFlood和Smurf等多種攻擊。它的主要特色是能進(jìn)行自動(dòng)更新。2023/12/3網(wǎng)絡(luò)入侵與防范講義99Stacheldraht(2)Stacheldraht跟TFN和trinoo一樣也是基于客戶機(jī)/服務(wù)器模式，其中Master程序與潛在的成千個(gè)代理程序進(jìn)行通訊。在發(fā)動(dòng)攻擊時(shí)，入侵者與master程序進(jìn)行連接。Stacheldraht增加了以下新功能：攻擊者與master程序之間的通訊是加密的，以及使用rcp(remotecopy，遠(yuǎn)程復(fù)制)技術(shù)對代理程序進(jìn)行更新。2023/12/3網(wǎng)絡(luò)入侵與防范講義100Stacheldraht(3)Stacheldraht同TFN一樣，可以并行發(fā)動(dòng)數(shù)不勝數(shù)的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝源IP地址的信息包。Stacheldraht所發(fā)動(dòng)的攻擊包括UDP洪水、TCPSYN洪水、ICMP回應(yīng)洪水攻擊。2023/12/3網(wǎng)絡(luò)入侵與防范講義101StacheldrahtDDoS攻擊的特征及防御

1）在發(fā)動(dòng)Stacheldraht攻擊時(shí)，攻擊者訪問master程序，向它發(fā)送一個(gè)或多個(gè)攻擊目標(biāo)的IP地址。Master程序再繼續(xù)與所有代理程序進(jìn)行通訊，指示它們發(fā)動(dòng)攻擊。

Stacheldrahtmaster程序與代理程序之間的通訊主要是由ICMP回音和回音應(yīng)答信息包來完成的。配置路由器或入侵檢測系統(tǒng)，不允許一切ICMP回音和回音應(yīng)答信息包進(jìn)入網(wǎng)絡(luò)，這樣可以挫敗Stacheldraht代理。但是這樣會(huì)影響所有要使用這些功能的Internet程序，例如ping。2023/12/3網(wǎng)絡(luò)入侵與防范講義102StacheldrahtDDoS攻擊的特征及防御

(2) 2）代理程序要讀取一個(gè)包含有效master程序的IP地址列表。代理會(huì)試圖與列表上所有的master程序進(jìn)行聯(lián)系。如果聯(lián)系成功，代理程序就會(huì)進(jìn)行一個(gè)測試，以確定它被安裝到的系統(tǒng)是否會(huì)允許它改變“偽造”信息包的源地址。 通過配置入侵檢測系統(tǒng)或使用嗅探器來搜尋它們的簽名信息，可以探測出這兩個(gè)行為。2023/12/3網(wǎng)絡(luò)入侵與防范講義103StacheldrahtDDoS攻擊的特征及防御

(3) 2.1）代理會(huì)向每個(gè)master發(fā)送一個(gè)ICMP回音應(yīng)答信息包，其中有一個(gè)ID域包含值666，一個(gè)數(shù)據(jù)域包含字符串“skillz”。如果master收到了這個(gè)信息包，它會(huì)以一個(gè)包含值667的ID域和一個(gè)包含字符串“ficken”的數(shù)據(jù)域來應(yīng)答。代理和master通過交換這些信息包來實(shí)現(xiàn)周期性的基本接觸。 通過對這些信息包的監(jiān)控，可以探測出Stacheldraht。2023/12/3網(wǎng)絡(luò)入侵與防范講義104StacheldrahtDDoS攻擊的特征及防御

(4) 2.2）一旦代理找到了一個(gè)有效master程序，它會(huì)向master發(fā)送一個(gè)ICMP信息包，其中有一個(gè)偽造的源地址，這是在執(zhí)行一個(gè)偽造測試。這個(gè)假地址是“”。如果master收到了這個(gè)偽造地址，在它的應(yīng)答中，用ICMP信息包數(shù)據(jù)域中的“spoofworks”字符串來確認(rèn)偽造的源地址是奏效的。 通過監(jiān)控這些值，也可以將Stacheldraht檢測出來。2023/12/3網(wǎng)絡(luò)入侵與防范講義105StacheldrahtDDoS攻擊的特征及防御

(5) 3）Stacheldraht代理并不檢查ICMP回音應(yīng)答信息包來自哪里，因此就有可能偽造ICMP信息包將其排除。

4）Stacheldraht代理程序與TFN和trinoo一樣，都可以用一個(gè)C程序DDoS_scan來探測。2023/12/3網(wǎng)絡(luò)入侵與防范講義106其他拒絕服務(wù)攻擊工具TrinityShaftMStream2023/12/3網(wǎng)絡(luò)入侵與防范講義107TrinityTrinity也是一個(gè)能對受害人的站點(diǎn)進(jìn)行多種類型的“洪水”攻擊的工具，能發(fā)動(dòng)UDP、Fragment、SYN、RST、ACK以及其他的一些“洪水”攻擊。它的特點(diǎn)是可以通過IRC(InternetRelayChat,網(wǎng)上實(shí)時(shí)聊天)或者AOL(AmericanOnLine)的ICQ來傳遞信息。Trinity使用的主通信端口是6667，并且它還運(yùn)行一個(gè)后臺(tái)程序監(jiān)聽TCP33270端口。2023/12/3網(wǎng)絡(luò)入侵與防范講義108ShaftShaft分布式拒絕服務(wù)攻擊的網(wǎng)絡(luò)結(jié)構(gòu)非常類似Trinoo，這個(gè)攻擊工具沒有什么特殊的功能，唯一與其他工具不同的是它所有的TCP數(shù)據(jù)包序列號(hào)都是0x28374839。2023/12/3網(wǎng)絡(luò)入侵與防范講義109MStreamMStream使用虛假的ACK標(biāo)志TCP數(shù)據(jù)包進(jìn)行攻擊。傳輸沒有經(jīng)過加密。主控端有口令保護(hù)。它有一個(gè)與其他工具不同的特點(diǎn)就是這個(gè)程序提供所有連接的用戶成功或失敗的信息。2023/12/3網(wǎng)絡(luò)入侵與防范講義1106.4拒絕服務(wù)攻擊的防御防御的困難之處防御方法2023/12/3網(wǎng)絡(luò)入侵與防范講義111防御的困難之處不容易定位攻擊者的位置Internet上絕大多數(shù)網(wǎng)絡(luò)都不限制源地址，也就是偽造源地址非常容易很難溯源找到攻擊控制端的位置各種反射式攻擊，無法定位源攻擊者完全阻止是不可能的，但是適當(dāng)?shù)姆婪豆ぷ骺梢詼p少被攻擊的機(jī)會(huì)2023/12/3網(wǎng)絡(luò)入侵與防范講義112防御方法有效完善的設(shè)計(jì)帶寬限制及時(shí)給系統(tǒng)安裝補(bǔ)丁運(yùn)行盡可能少的服務(wù)只允許必要的通信封鎖敵意IP地址2023/12/3網(wǎng)絡(luò)入侵與防范講義113有效完善的設(shè)計(jì)一個(gè)站點(diǎn)越完善，它的狀況會(huì)越好。如果公司有一個(gè)運(yùn)行關(guān)鍵任務(wù)的Web站點(diǎn)，用戶必須連接到Internet，但是與路由器之間只有一條單一的連接，服務(wù)器運(yùn)行在一臺(tái)單一的計(jì)算機(jī)上，這樣的設(shè)計(jì)就不是完善的。這種情況下，攻擊者對路由器或服務(wù)器進(jìn)行DoS攻擊，使運(yùn)行關(guān)鍵任務(wù)的應(yīng)用程序被迫離線。理想情況下，公司不僅要有多條與Internet的連接，最好有不同地理區(qū)域的連接。公司的服務(wù)位置越分散，IP地址越分散，攻擊同時(shí)尋找與定位所有計(jì)算機(jī)的難度就越大。2023/12/3網(wǎng)絡(luò)入侵與防范講義114帶寬限制當(dāng)DoS攻擊發(fā)生時(shí)，針對單個(gè)協(xié)議的攻擊會(huì)損耗公司的帶寬，以致拒絕合法用戶的服務(wù)。例如，如果攻擊者向端口25發(fā)送洪水般的數(shù)據(jù)，攻擊者會(huì)消耗掉所有帶寬，所以試圖連接端口80的用戶被拒絕服務(wù)。一種防范方法是限制基于協(xié)議的帶寬。例如，端口25只能使用25％的帶寬，端口80只能使用50％的帶寬。2023/12/3網(wǎng)絡(luò)入侵與防范講義115及時(shí)給系統(tǒng)安裝補(bǔ)丁當(dāng)新的DoS

攻擊出現(xiàn)并攻擊計(jì)算機(jī)時(shí)，廠商一般會(huì)很快確定問題并發(fā)布補(bǔ)丁。如果一個(gè)公司關(guān)注最新的補(bǔ)丁，同時(shí)及時(shí)安裝，這樣被DoS攻擊的機(jī)會(huì)就會(huì)減少。記?。哼@些措施并不能阻止DoS攻擊耗盡公司的資源。還有在安裝補(bǔ)丁之前，先要對其進(jìn)行測試。即使廠商聲明它可以彌補(bǔ)DoS漏洞，這并不意味著不會(huì)產(chǎn)生新的問題。2023/12/3網(wǎng)絡(luò)入侵與防范講義116運(yùn)行盡可能少的服務(wù)運(yùn)行盡可能少的服務(wù)可以減少被攻擊成功的機(jī)會(huì)。如果一臺(tái)計(jì)算機(jī)開了20個(gè)端口，這就使得攻擊者可以在大的范圍內(nèi)嘗試對每個(gè)端口進(jìn)行不同的攻擊。相反，如果系統(tǒng)只開了兩個(gè)端口，這就限制了攻擊者攻擊站點(diǎn)的攻擊類型。另外，當(dāng)運(yùn)行的服務(wù)和開放的端口都很少時(shí)，管理員可以容易的設(shè)置安全，因?yàn)橐O(jiān)聽和擔(dān)心的事情都很少了。2023/12/3網(wǎng)絡(luò)入侵與防范講義117只允許必要的通信這一防御機(jī)制與上一個(gè)標(biāo)準(zhǔn)“運(yùn)行盡可能少的服務(wù)”很相似，不過它側(cè)重于周邊環(huán)境，主要是防火墻和路由器。關(guān)鍵是不僅要對系統(tǒng)實(shí)施最少權(quán)限原則，對網(wǎng)絡(luò)也要實(shí)施最少權(quán)限原則。確保防火墻只允許必要的通信出入網(wǎng)絡(luò)。許多公司只過濾進(jìn)入通信，而對向外的通信不采取任何措施。這兩種通信都應(yīng)該過濾。2023/12/3網(wǎng)絡(luò)入侵與防范講義118封鎖敵意IP地址當(dāng)一個(gè)公司知道自己受到攻擊時(shí)，應(yīng)該馬上確定發(fā)起攻擊的IP地址，并在其外部路由器上封鎖此IP地址。這樣做的問題是，即使在外部路由器上封鎖了這些IP地址，路由器仍然會(huì)因?yàn)閿?shù)據(jù)量太多而擁塞，導(dǎo)致合法用戶被拒絕對其他系統(tǒng)或網(wǎng)絡(luò)的訪問。因此，一旦公司受到攻擊應(yīng)立刻通知其ISP和上游提供商封鎖敵意數(shù)據(jù)包。因?yàn)镮SP擁有較大的帶寬和多點(diǎn)的訪問，如果他們封鎖了敵意通信，仍然可以保持合法用戶的通信，也可以恢復(fù)遭受攻擊公司的連接。2023/12/3網(wǎng)絡(luò)入侵與防范講義1196.5分布式拒絕服務(wù)攻擊的防御6.5.1分布式拒絕服務(wù)攻擊的監(jiān)測6.5.2分布式拒絕服務(wù)攻擊的防御6.5.3拒絕服務(wù)監(jiān)控系統(tǒng)的設(shè)計(jì)2023/12/3網(wǎng)絡(luò)入侵與防范講義1206.5.1分布式拒絕服務(wù)攻擊的監(jiān)測許多人或工具在監(jiān)測分布式拒絕服務(wù)攻擊時(shí)常犯的錯(cuò)誤是只搜索那些DDoS工具的缺省特征字符串、缺省端口、缺省口令等。人們必須著重觀察分析DDoS網(wǎng)絡(luò)通訊的普遍特征，不管是明顯的，還是模糊的。使用網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)（NIDS），根據(jù)異?，F(xiàn)象在網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)上建立相應(yīng)規(guī)則，能夠較準(zhǔn)確地監(jiān)測出DDoS攻擊。2023/12/3網(wǎng)絡(luò)入侵與防范講義1216.5.1分布式拒絕服務(wù)攻擊的監(jiān)測實(shí)際上，DDoS的唯一檢測方式是：異常的網(wǎng)絡(luò)交通流量。下面將分別介紹5種異常模式及相應(yīng)的解決辦法。2023/12/3網(wǎng)絡(luò)入侵與防范講義122異?，F(xiàn)象1大量的DNSPTR查詢請求根據(jù)分析，攻擊者在進(jìn)行DDoS攻擊前總要解析目標(biāo)的主機(jī)名。BIND域名服務(wù)器能夠記錄這些請求。由于每臺(tái)攻擊服務(wù)器在進(jìn)行一個(gè)攻擊前會(huì)發(fā)出PTR反向查詢請求，也就是說在DDoS攻擊前域名服務(wù)器會(huì)接收到大量的反向解析目標(biāo)IP主機(jī)名的PTR查詢請求。2023/12/3網(wǎng)絡(luò)入侵與防范講義123異?，F(xiàn)象2超出網(wǎng)絡(luò)正常工作時(shí)的極限通訊流量當(dāng)DDoS攻擊一個(gè)站點(diǎn)時(shí)，會(huì)出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時(shí)的極限通訊流量的現(xiàn)象?，F(xiàn)在的技術(shù)能夠分別對不同的源地址計(jì)算出對應(yīng)的極限值。當(dāng)明顯超出此極限值時(shí)就表明存在DDoS攻擊的通訊。因此可以在主干路由器端建立ACL訪問控制規(guī)則以監(jiān)測和過濾這些通訊。2023/12/3網(wǎng)絡(luò)入侵與防范講義124異常現(xiàn)象3特大型的ICMP和UDP數(shù)據(jù)包。正常的UDP會(huì)話一般都使用小的UDP包，通常有效數(shù)據(jù)內(nèi)容不超過10字節(jié)。正常的ICMP消息也不會(huì)超過64到128字節(jié)。那些明顯大得多的數(shù)據(jù)包很有可能