拒絕服務(wù)攻擊

1、拒絕服務(wù)攻擊組員：徐姚 徐佳豪 徐書軍 夏偉恩 胡炯炯 姚欣 夏偉成一、 了解Dos攻擊(1) DOS攻擊概述DoS是Denial of Service的簡稱，即拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。DoS攻擊是指故意的攻擊網(wǎng)絡(luò)協(xié)議實現(xiàn)的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源，目的是讓目標(biāo)計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問，使目標(biāo)系統(tǒng)服務(wù)系統(tǒng)停止響應(yīng)甚至崩潰，而在此攻擊中并不包括侵入目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)設(shè)備。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開放的進程或者允許的連接

2、。這種攻擊會導(dǎo)致資源的匱乏，無論計算機的處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬的速度多快都無法避免這種攻擊帶來的后果。(2) 概念理解DoS到底是什么？接觸PC機較早的同志會直接想到微軟磁盤操作系統(tǒng)的DOS-DiskOperationSystem？不，此DoS非彼DOS也，DoS即DenialOfService，拒絕服務(wù)的縮寫。 作個形象的比喻來理解DoS。街頭的餐館是為大眾提供餐飲服務(wù)，如果一群地痞流氓要DoS餐館的話，手段會很多，比如霸占著餐桌不結(jié)賬，堵住餐館的大門不讓路，騷擾餐館的服務(wù)員或廚子不能干活，甚至更惡劣相應(yīng)的計算機和網(wǎng)絡(luò)系統(tǒng)則是為internet用戶提供互聯(lián)網(wǎng)資源的，如

3、果有黑客要進行DoS攻擊的話，可以想象同樣有好多手段！今天最常見的DoS攻擊有對計算機網(wǎng)絡(luò)的帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。(3) 表現(xiàn)方式無論是DoS攻擊還是DDoS攻擊，簡單的看，都只是一種破壞網(wǎng)絡(luò)服務(wù)的黑客方式，雖然具體的實現(xiàn)方式千變?nèi)f化，但都有一個共同點，就是其根本目的是使受害主機或網(wǎng)絡(luò)無法及時接收并處理外界請求，或無法及時回應(yīng)外界請求。其具體表現(xiàn)方式有以下幾種： 1，制造

4、大流量無用數(shù)據(jù)，造成通往被攻擊主機的網(wǎng)絡(luò)擁塞，使被攻擊主機無法正常和外界通信。 2，利用被攻擊主機提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷，反復(fù)高頻的發(fā)出攻擊性的重復(fù)服務(wù)請求，使被攻擊主機無法及時處理其它正常的請求。 3，利用被攻擊主機所提供服務(wù)程序或傳輸協(xié)議的本身實現(xiàn)缺陷，反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯誤的分配大量系統(tǒng)資源，使主機處于掛起狀態(tài)甚至死機。(4) 攻擊流程要理解dos攻擊，首先要理解TCP連接的三次握手過程(Three-way hand shake)。在TCP/IP協(xié)議中，TCP協(xié)議提供可靠的連接服務(wù)，采用三次握手建立一個連接。1 第一次握手:建立連

5、接時，客戶端發(fā)送SYN包(SYN=i)到服務(wù)器，并進入SYN SEND狀態(tài)，等待服務(wù)器確認(rèn);第二次握手:服務(wù)器收到SYN包，必須確認(rèn)客戶的SYN (ACK=i+1 )，同時自己也發(fā)送一個SYN包(SYN=j)即SYN+ACK包，此時服務(wù)器進入SYN_RECV狀態(tài);1 第三次握手:客戶端收到服務(wù)器的SYN+ACK包，向服務(wù)器發(fā)送確認(rèn)包ACK(ACK=j+1)，此包發(fā)送完畢，客戶端和服務(wù)器進入ESTABLISHED狀態(tài)，完成三次握手，客戶端與服務(wù)器開始傳送數(shù)據(jù)。 上述名詞概念：半連接:收到SYN包而還未收到ACK包時的連接狀態(tài)稱為半連接，即尚未完全完成三次握手的TCP連接。半連接隊列:在

6、三次握手協(xié)議中，服務(wù)器維護一個半連接隊列，該隊列為每個客戶端的SYN包(SYN=i )開設(shè)一個條目，該條目表明服務(wù)器已收到SYN包，并向客戶發(fā)出確認(rèn)，正在等待客戶的確認(rèn)包。這些條目所標(biāo)識的連接在服務(wù)器處于SYN_ RECV狀態(tài)，當(dāng)服務(wù)器收到客戶的確認(rèn)包時，刪除該條目，服務(wù)器進入ESTABLISHED狀態(tài)。Backlog參數(shù):表示半連接隊列的最大容納數(shù)目。1 SYN-ACK重傳次數(shù):服務(wù)器發(fā)送完SYN-ACK包，如果未收到客戶確認(rèn)包，服務(wù)器進行首次重傳，等待一段時間仍未收到客戶確認(rèn)包，進行第二次重傳，如果重傳次數(shù)超過系統(tǒng)規(guī)定的最大重傳次數(shù)，系統(tǒng)將該連接信息、從半連接隊列中刪除。注意，每

7、次重傳等待的時間不一定相同。1 半連接存活時間:是指半連接隊列的條目存活的最長時間，也即服務(wù)從收到SYN包到確認(rèn)這個報文無效的最長時間，該時間值是所有重傳請求包的最長等待時間總和。有時也稱半連接存活時間為Timeout時間、SYN_RECV存活時間。1 上面三個參數(shù)對系統(tǒng)的TCP連接狀況有很大影響。1 二、 攻擊手段拒絕服務(wù)攻擊是一種對網(wǎng)絡(luò)危害巨大的惡意攻擊。今天，DoS具有代表性的攻擊手段包括PingofDeath、TearDrop、UDPflood、SYNflood、LandAttack、IPSpoofingDoS等。2.1死亡之ping最簡單的基于IP的攻擊

8、可能要數(shù)著名的死亡之ping，這種攻擊主要是由于單個包的長度超過了IP協(xié)議規(guī)范所規(guī)定的包長度。產(chǎn)生這樣的包很容易，事實上，許多操作系統(tǒng)都提供了稱為ping的網(wǎng)絡(luò)工具。在為Windows操作系統(tǒng)中開一個DOS窗口，輸入ping -l 65500 目標(biāo)ip -t （65500 表示數(shù)據(jù)長度上限，-t 表示不停地ping目標(biāo)地址）就可達(dá)到該目的。UNIX系統(tǒng)也有類似情況。死亡之ping是如何工作的呢？首先是因為以太網(wǎng)長度有限，IP包片段被分片。當(dāng)一個IP包的長度超過以太網(wǎng)幀的最大尺寸（以太網(wǎng)頭部和尾部除外）時，包就會被分片，作為多個幀來發(fā)送。接收端的機器提取各個分片，并重組為一個完整的IP包。在正常

9、情況下，IP頭包含整個IP包的長度。當(dāng)一個IP包被分片以后，頭只包含各個分片的長度。分片并不包含整個IP包的長度信息，因此IP包一旦被分片，重組后的整個IP包的總長度只有在所在分片都接受完畢之后才能確定。在IP協(xié)議規(guī)范中規(guī)定了一個IP包的最大尺寸，而大多數(shù)的包處理程序又假設(shè)包的長度超過這個最大尺寸這種情況是不會出現(xiàn)的。因此，包的重組代碼所分配的內(nèi)存區(qū)域也最大不超過這個最大尺寸。這樣，超大的包一旦出現(xiàn)，包當(dāng)中的額外數(shù)據(jù)就會被寫入其他正常區(qū)域。這很容易導(dǎo)致系統(tǒng)進入非穩(wěn)定狀態(tài)，是一種典型的緩存溢出（Buffer Overflow）攻擊。在防火墻一級對這種攻擊進行檢測是相當(dāng)難的，因為每個分片包看起來都

10、很正常。由于使用ping工具很容易完成這種攻擊，以至于它也成了這種攻擊的首選武器，這也是這種攻擊名字的由來。當(dāng)然，還有很多程序都可以做到這一點，因此僅僅阻塞ping的使用并不能完全解決這個漏洞。預(yù)防死亡之ping的最好方法是對操作系統(tǒng)打補丁，使內(nèi)核將不再對超過規(guī)定長度的包進行重組。1 2.2淚滴淚滴攻擊(TearDrop)指的是向目標(biāo)機器發(fā)送損壞的IP包，諸如重做的包或過大的包載荷。借由這些手段，該攻擊可以通過TCP/IP協(xié)議棧中分片重組代碼中的bug來癱瘓各種不同的操作系統(tǒng)定義： 淚滴攻擊是拒絕服務(wù)攻擊的一種。 淚滴是一個特殊構(gòu)造的應(yīng)用程序，通過發(fā)送偽造的相互重疊的IP分組數(shù)據(jù)包，

11、使其難以被接收主機重新組合。他們通常會導(dǎo)致目標(biāo)主機內(nèi)核失措。 淚滴攻擊利用IP分組數(shù)據(jù)包重疊造成TCP/ IP分片重組代碼不能恰當(dāng)處理IP包。 淚滴攻擊不被認(rèn)為是一個嚴(yán)重的DOS攻擊，不會對主機系統(tǒng)造成重大損失。 在大多數(shù)情況下，一次簡單的重新啟動是最好的解決辦法，但重新啟動操作系統(tǒng)可能導(dǎo)致正在運行的應(yīng)用程序中未保存的數(shù)據(jù)丟失。2.3UDP泛洪UDP攻擊,又稱UDP洪水攻擊或UDP淹沒攻擊（英文：UDP Flood Attack）是導(dǎo)致基於主機的服務(wù)拒絕攻擊的一種。UDP 是一種無連接的協(xié)議，而且它不需要用任何程序建立連接來傳輸數(shù)據(jù)。當(dāng)攻擊者隨機地向受害系統(tǒng)的端口發(fā)送 UDP 數(shù)據(jù)包的時候，就

12、可能發(fā)生了 UDP 淹沒攻擊。UDP 是User Datagram Protocol的簡稱， 中文名是用戶 數(shù)據(jù)包協(xié)議，是 OSI 參考模型中一種無連接的 傳輸層協(xié)議，提供面向事務(wù)的簡單不可靠信息傳送服務(wù)。它是IETF RFC 768是UDP的正式規(guī)范。 當(dāng)受害系統(tǒng)接收到一個 UDP 數(shù)據(jù)包的時候，它會確定目的端口正在等待中的 應(yīng)用程序。當(dāng)它發(fā)現(xiàn)該端口中并不存在正在等待的應(yīng)用程序，它就會產(chǎn)生一個目的地址無法連接的 ICMP數(shù)據(jù)包發(fā)送給該偽造的源地址。如果向受害者計算機端口發(fā)送了足夠多的 UDP 數(shù)據(jù)包的時候，整個系統(tǒng)就會癱瘓。2.4SYN FL

13、OODTCP SYN泛洪發(fā)生在OSI第四層，這種方式利用TCP協(xié)議的特性，就是三次握手。攻擊者發(fā)送TCP SYN，SYN是TCP三次握手中的第一個數(shù)據(jù)包，而當(dāng)服務(wù)器返回ACK后，該攻擊者就不對其進行再確認(rèn)，那這個TCP連接就處于掛起狀態(tài)，也就是所謂的半連接狀態(tài)，服務(wù)器收不到再確認(rèn)的話，還會重復(fù)發(fā)送ACK給攻擊者。這樣更加會浪費服務(wù)器的資源。攻擊者就對服務(wù)器發(fā)送非常大量的這種TCP連接，由于每一個都沒法完成三次握手，所以在服務(wù)器上，這些TCP連接會因為掛起狀態(tài)而消耗CPU和內(nèi)存，最后服務(wù)器可能死機，就無法為正常用戶提供服務(wù)了。大家都知道一個TCP連接的啟動需要經(jīng)歷三次握手的過程。正常情況下客戶端

14、首先向服務(wù)端發(fā)送SYN報文，隨后服務(wù)端回以SYN+ACK報文到達(dá)客戶端，最后客戶端向服務(wù)端發(fā)送ACK報文完成三次握手，后續(xù)就是上層業(yè)務(wù)數(shù)據(jù)交互，直到某一方斷開連接。那么假如在這“握手”的過程中，客戶端程序因為莫名崩潰等原因，收到SYN+ACK報文后不再回以ACK，服務(wù)端將如何處置呢？這時服務(wù)端會“優(yōu)雅地”再等等，會不會是發(fā)送的包丟失了呢？于是重新發(fā)送一遍SYN+ACK，再收不到來自客戶端的ACK響應(yīng)的話，就把這次連接丟棄掉。這個過程大約會“優(yōu)雅地”持續(xù)分鐘級，這個持續(xù)時間被稱作SYN timeout時間。如果只有個別這樣的異常情況，目標(biāo)服務(wù)端處理起來自是毫不費力；可如果大量這樣的情況出現(xiàn)，對服

15、務(wù)端來說就不堪重負(fù)了。這是為什么呢？如果大量的握手請求涌向TCP服務(wù)端，而它們只發(fā)出SYN報文而不以ACK響應(yīng)結(jié)束握手，服務(wù)端就要為這每一個請求都維持約一分多鐘的連接去等待ACK，也就形成所謂的“半連接”。維護這些半連接是需要消耗很多服務(wù)器的網(wǎng)絡(luò)連接資源的。如果短時間內(nèi)這些資源幾乎都被半連接占滿，那么正常的業(yè)務(wù)請求在這期間就得不到服務(wù)，處于等待狀態(tài)。更進一步的，如果這些半連接的握手請求是惡意程序發(fā)出，并且持續(xù)不斷，那么就會導(dǎo)致服務(wù)端較長時間內(nèi)喪失服務(wù)功能這就形成了DoS（Denial of Service拒絕服務(wù)）攻擊。這種攻擊方式就稱為SYN泛洪（SYN flood）攻擊。由于正常的TCP三

16、次握手中發(fā)出去多少SYN報文，就會收到多少SYN+ACK報文。攻擊方需要將這些消息丟棄，同時為了隱藏自己，于是需要大量偽造泛洪攻擊的源地址，隨機改成其它地址。為達(dá)到SYN泛洪攻擊的效果，這些偽造的源地址最好無法響應(yīng)SYN+ACK，如這些源地址的主機根本不存在，或者被防火墻等網(wǎng)絡(luò)設(shè)施攔截，等等。對于SYN泛洪攻擊的防范，優(yōu)化主機系統(tǒng)設(shè)置是常用的手段。如降低SYN timeout時間，使得主機盡快釋放半連接的占用；又比如采用SYN cookie設(shè)置，如果短時間內(nèi)連續(xù)收到某個IP的重復(fù)SYN請求，則認(rèn)為受到了該IP的攻擊，丟棄來自該IP的后續(xù)請求報文。此外合理地采用防火墻等外部網(wǎng)絡(luò)安全設(shè)施也可緩解S

17、YN泛洪攻擊。2.5 Land（LandAttack）攻擊land 攻擊是一種使用相同的源和目的主機和端口發(fā)送數(shù)據(jù)包到某臺機器的攻擊。結(jié)果通常使存在漏洞的機器崩潰。在Land攻擊中，一個特別打造的SYN包中的源地址和目標(biāo)地址都被設(shè)置成某一個服務(wù)器地址，這時將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN一ACK消息，結(jié)果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時掉。對Land攻擊反應(yīng)不同，許多UNIX系統(tǒng)將崩潰，而 Windows NT 會變的極其緩慢（大約持續(xù)五分鐘）。LAND攻擊圖示2.6 IP欺騙IP地址欺騙是指行動產(chǎn)生的IP數(shù)據(jù)包為偽造的源IP地址，以便冒充其他

18、系統(tǒng)或發(fā)件人的身份。這是一種黑客的攻擊形式，黑客使用一臺計算機上網(wǎng),而借用另外一臺機器的IP地址,從而冒充另外一臺機器與服務(wù)器打交道。定義：指行動產(chǎn)生的IP數(shù)據(jù)包為偽造的源IP地址，以便冒充其他系統(tǒng)或發(fā)件人的身份。這是一種駭客的攻擊形式，駭客使用一臺計算機上網(wǎng),而借用另外一臺機器的IP地址,從而冒充另外一臺機器與服務(wù)器打交道。防火墻可以識別這種ip欺騙。按照Internet Protocol(IP)網(wǎng)絡(luò)互聯(lián)協(xié)議，數(shù)據(jù)包頭包含來源地和目的地信息。 而IP地址欺騙，就是通過偽造數(shù)據(jù)包包頭，使顯示的信息源不是實際的來源，就像這個數(shù)據(jù)包是從另一臺計算機上發(fā)送的。IP地址欺騙攻擊示意圖應(yīng)用方法在網(wǎng)絡(luò)安全

19、領(lǐng)域，隱藏自己的一種手段就是IP欺騙偽造自身的IP地址向目標(biāo)系統(tǒng)發(fā)送惡意請求，造成目標(biāo)系統(tǒng)受到攻擊卻無法確認(rèn)攻擊源，或者取得目標(biāo)系統(tǒng)的信任以便獲取機密信息。這兩個目的對應(yīng)著兩種場景：場景一，常用于DDoS攻擊（分布式拒絕攻擊），在向目標(biāo)系統(tǒng)發(fā)起的惡意攻擊請求中，隨機生成大批假冒源IP，如果目標(biāo)防御較為薄弱，對收到的惡意請求也無法分析攻擊源的真實性，從而達(dá)到攻擊者隱藏自身的目的。這類場景里一種很有意思的特殊情景來自于“反射”式DDoS攻擊，它的特點來自于利用目標(biāo)系統(tǒng)某種服務(wù)的協(xié)議缺陷，發(fā)起針對目標(biāo)系統(tǒng)輸入、輸出的不對稱性向目標(biāo)發(fā)起吞吐量相對較小的某種惡意請求，隨后目標(biāo)系統(tǒng)因其協(xié)議缺陷返回大量的響

20、應(yīng)，阻塞網(wǎng)絡(luò)帶寬、占用主機系統(tǒng)資源。這時如果攻擊者的請求使用真實源地址的話，勢必要被巨大的響應(yīng)所吞沒，傷及自身。這樣，攻擊者采取IP欺騙措施就勢在必行了。三、 DDos攻擊分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)，主控

21、程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。定義：首先從一個比方來深入理解什么是DDOS。一群惡霸試圖讓對面那家有著競爭關(guān)系的商鋪無法正常營業(yè)，他們會采取什么手段呢？（只為舉例，切勿模仿）惡霸們扮作普通客戶一直擁擠在對手的商鋪，賴著不走，真正的購物者卻無法進入；或者總是和營業(yè)員有一搭沒一搭的東扯西扯，讓工作人員不能正常服務(wù)客戶；也可以為商鋪的經(jīng)營者提供虛假信息，商鋪的上上下下忙成一團之后卻發(fā)現(xiàn)都是一場空，最終跑了真正的大客戶，損失慘重。此外惡霸們完成這些壞事有時憑單干難以完成，需要叫上很多人一起。嗯，網(wǎng)絡(luò)安全領(lǐng)域中DoS和DDoS攻擊就遵循著這些思路。在信息安全的三要素“保密性”、“完整性”和“可用性”中，DoS（Denial of Service），即拒絕服務(wù)攻擊，針對的目標(biāo)正是“可用性”。該攻擊方式利用目標(biāo)系統(tǒng)網(wǎng)絡(luò)服務(wù)功能缺陷或者直接消耗其系統(tǒng)資源，使得該目標(biāo)系統(tǒng)無法提供正常的服務(wù)。DdoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。單一的DoS攻擊一般是采用一對一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項指標(biāo)不高的性能，它的效果是明顯的。隨著計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加