拒絕服務(wù)攻擊及防御技術(shù)

1、第6章 拒絕服務(wù)攻擊與防御技術(shù)張玉清國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心62022/7/18網(wǎng)絡(luò)入侵與防范講義2本章內(nèi)容安排6.1 拒絕服務(wù)攻擊概述6.2 典型拒絕服務(wù)攻擊技術(shù) 6.3 分布式拒絕服務(wù)攻擊 6.4 拒絕服務(wù)攻擊的防御6.5 分布式拒絕服務(wù)攻擊的防御6.6 小結(jié) 2022/7/18網(wǎng)絡(luò)入侵與防范講義36.1 拒絕服務(wù)攻擊概述6.1.1 拒絕服務(wù)攻擊的概念6.1.2 拒絕服務(wù)攻擊的類型2022/7/18網(wǎng)絡(luò)入侵與防范講義46.1.1 拒絕服務(wù)攻擊的概念拒絕服務(wù)（ Denial of Service，簡(jiǎn)稱DoS），是一種簡(jiǎn)單的破壞性攻擊，通常是利用傳輸協(xié)議中的某個(gè)弱點(diǎn)、系統(tǒng)存在的漏洞、或服務(wù)的

2、漏洞，對(duì)目標(biāo)系統(tǒng)發(fā)起大規(guī)模的進(jìn)攻，用超出目標(biāo)處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)資源、帶寬資源等，或造成程序緩沖區(qū)溢出錯(cuò)誤，致使其無(wú)法處理合法用戶的正常請(qǐng)求，無(wú)法提供正常服務(wù)，最終致使網(wǎng)絡(luò)服務(wù)癱瘓，甚至系統(tǒng)死機(jī)。簡(jiǎn)單的說(shuō)，拒絕服務(wù)攻擊就是讓攻擊目標(biāo)癱瘓的一種“損人不利己”的攻擊手段。 2022/7/18網(wǎng)絡(luò)入侵與防范講義56.1.1 拒絕服務(wù)攻擊的概念歷史上最著名的拒絕服務(wù)攻擊服務(wù)恐怕要數(shù)Morris蠕蟲(chóng)事件，1988年11月，全球眾多連在因特網(wǎng)上的計(jì)算機(jī)在數(shù)小時(shí)內(nèi)無(wú)法正常工作，這次事件中遭受攻擊的包括個(gè)計(jì)算機(jī)中心和12個(gè)地區(qū)結(jié)點(diǎn)，連接著政府、大學(xué)、研究所和擁有政府合同的25萬(wàn)臺(tái)計(jì)算機(jī)。這次病毒事

3、件，使計(jì)算機(jī)系統(tǒng)直接經(jīng)濟(jì)損失達(dá)9600萬(wàn)美元。許多知名網(wǎng)站如Yahoo、eBay、CNN、百度、新浪等都曾遭受過(guò)DoS攻擊。 2022/7/18網(wǎng)絡(luò)入侵與防范講義66.1.1 拒絕服務(wù)攻擊的概念拒絕服務(wù)攻擊可能是蓄意的，也可能是偶然的。當(dāng)未被授權(quán)的用戶過(guò)量使用資源時(shí)，攻擊是蓄意的；當(dāng)合法用戶無(wú)意地操作而使得資源不可用時(shí)，則是偶然的。應(yīng)該對(duì)兩種拒絕服務(wù)攻擊都采取預(yù)防措施。但是拒絕服務(wù)攻擊問(wèn)題也一直得不到合理的解決，究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的。2022/7/18網(wǎng)絡(luò)入侵與防范講義76.1.2 拒絕服務(wù)攻擊的類型最常見(jiàn)的DoS攻擊是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，致使

4、服務(wù)超載，無(wú)法響應(yīng)其他的請(qǐng)求。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬、文件系統(tǒng)空間容量、開(kāi)放的進(jìn)程、向內(nèi)的連接等。這種攻擊會(huì)導(dǎo)致資源的匱乏，無(wú)論計(jì)算機(jī)的處理速度多么快，內(nèi)存容量多么大，互聯(lián)網(wǎng)帶寬多么大都無(wú)法避免這種攻擊帶來(lái)的后果。 2022/7/18網(wǎng)絡(luò)入侵與防范講義86.1.2 拒絕服務(wù)攻擊的類型從實(shí)施DoS攻擊所用的思路來(lái)看，DoS攻擊可以分為：濫用合理的服務(wù)請(qǐng)求過(guò)度地請(qǐng)求系統(tǒng)的正常服務(wù)，占用過(guò)多服務(wù)資源，致使系統(tǒng)超載。這些服務(wù)資源通常包括網(wǎng)絡(luò)帶寬、文件系統(tǒng)空間容量、開(kāi)放的進(jìn)程或者連接數(shù)等 制造高流量無(wú)用數(shù)據(jù)惡意地制造和發(fā)送大量各種隨機(jī)無(wú)用的數(shù)據(jù)包，用這種高流量的無(wú)用數(shù)據(jù)占據(jù)網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁塞 利用

5、傳輸協(xié)議缺陷 構(gòu)造畸形的數(shù)據(jù)包并發(fā)送，導(dǎo)致目標(biāo)主機(jī)無(wú)法處理，出現(xiàn)錯(cuò)誤或崩潰，而拒絕服務(wù) 利用服務(wù)程序的漏洞 針對(duì)主機(jī)上的服務(wù)程序的特定漏洞，發(fā)送一些有針對(duì)性的特殊格式的數(shù)據(jù)，導(dǎo)致服務(wù)處理錯(cuò)誤而拒絕服務(wù) 2022/7/18網(wǎng)絡(luò)入侵與防范講義96.1.2 拒絕服務(wù)攻擊的類型按漏洞利用方式分類，DoS攻擊可以分為：特定資源消耗類主要利用TCP/IP協(xié)議棧、操作系統(tǒng)或應(yīng)用程序設(shè)計(jì)上的缺陷，通過(guò)構(gòu)造并發(fā)送特定類型的數(shù)據(jù)包，使目標(biāo)系統(tǒng)的協(xié)議?？臻g飽和、操作系統(tǒng)或應(yīng)用程序資源耗盡或崩潰，從而達(dá)到DoS的目的。暴力攻擊類依靠發(fā)送大量的數(shù)據(jù)包占據(jù)目標(biāo)系統(tǒng)有限的網(wǎng)絡(luò)帶寬或應(yīng)用程序處理能力來(lái)達(dá)到攻擊的目的。通常暴力

6、攻擊需要比特定資源消耗攻擊使用更大的數(shù)據(jù)流量才能達(dá)到目的。2022/7/18網(wǎng)絡(luò)入侵與防范講義106.1.2 拒絕服務(wù)攻擊的類型按攻擊數(shù)據(jù)包發(fā)送速率變化方式，DoS攻擊可分為：固定速率可變速率根據(jù)數(shù)據(jù)包發(fā)送速率變化模式，又可以分為震蕩變化型和持續(xù)增加型。震蕩變化型變速率發(fā)送方式間歇性地發(fā)送數(shù)據(jù)包，使入侵檢測(cè)系統(tǒng)難以發(fā)現(xiàn)持續(xù)的異常。持續(xù)增加型變速率發(fā)送方式可以使攻擊目標(biāo)的性能緩慢下降，并可以誤導(dǎo)基于學(xué)習(xí)的檢測(cè)系統(tǒng)產(chǎn)生錯(cuò)誤的檢測(cè)規(guī)則。2022/7/18網(wǎng)絡(luò)入侵與防范講義116.1.2 拒絕服務(wù)攻擊的類型按攻擊可能產(chǎn)生的影響，DoS攻擊可以分為：系統(tǒng)或程序崩潰類根據(jù)可恢復(fù)的程度，系統(tǒng)或程序崩潰類又可

7、以分為：自我恢復(fù)類、人工恢復(fù)類、不可恢復(fù)類等。自我恢復(fù)類是指當(dāng)攻擊停止后系統(tǒng)功能可自動(dòng)恢復(fù)正常。人工恢復(fù)類是指系統(tǒng)或服務(wù)程序需要人工重新啟動(dòng)才能恢復(fù)。不可恢復(fù)類是指攻擊給目標(biāo)系統(tǒng)的硬件設(shè)備、文件系統(tǒng)等造成了不可修復(fù)性的損壞。服務(wù)降級(jí)類系統(tǒng)對(duì)外提供服務(wù)的服務(wù)下降2022/7/18網(wǎng)絡(luò)入侵與防范講義12典型案例：百度遭受大規(guī)模SYN Flooding攻擊2006年9月12日下午，百度遭受有史以來(lái)最大規(guī)模的不明身份黑客攻擊，導(dǎo)致百度搜索服務(wù)在全國(guó)各地出現(xiàn)了近30分鐘的故障，黑客所使用的手段是Syn Flooding分布式拒絕服務(wù)攻擊。新華網(wǎng)報(bào)道：/newmedia/2006-09/14/conten

8、t_5089683.htm下頁(yè)是新聞的部分截圖。2022/7/18網(wǎng)絡(luò)入侵與防范講義132022/7/18網(wǎng)絡(luò)入侵與防范講義146.2 典型拒絕服務(wù)攻擊技術(shù)6.2.1 Ping of Death6.2.2 淚滴（Teardrop）6.2.3 IP欺騙DoS攻擊 6.2.4 UDP洪水6.2.5 SYN洪水6.2.6 Land攻擊6.2.7 Smurf攻擊6.2.8 Fraggle攻擊6.2.9 電子郵件炸彈6.2.10 畸形消息攻擊6.2.11 Slashdot effect6.2.12 WinNuke攻擊2022/7/18網(wǎng)絡(luò)入侵與防范講義156.2.1 Ping of DeathPing是

9、一個(gè)非常著名的程序，這個(gè)程序的目的是為了測(cè)試另一臺(tái)主機(jī)是否可達(dá)?，F(xiàn)在所有的操作系統(tǒng)上幾乎都有這個(gè)程序，它已經(jīng)成為系統(tǒng)的一部分。Ping程序的目的是為了查看網(wǎng)絡(luò)上的主機(jī)是否處于活動(dòng)狀態(tài)。通過(guò)發(fā)送一份ICMP回顯請(qǐng)求報(bào)文給目的主機(jī)，并等待返回ICMP回顯應(yīng)答，根據(jù)回顯應(yīng)答的內(nèi)容判斷目的主機(jī)的狀況。2022/7/18網(wǎng)絡(luò)入侵與防范講義166.2.1 Ping of DeathPing之所以會(huì)造成傷害是源于早期操作系統(tǒng)在處理ICMP協(xié)議數(shù)據(jù)包存在漏洞。ICMP協(xié)議的報(bào)文長(zhǎng)度是固定的，大小為64KB，早期很多操作系統(tǒng)在接收ICMP數(shù)據(jù)報(bào)文的時(shí)候，只開(kāi)辟64KB的緩存區(qū)用于存放接收到的數(shù)據(jù)包。一旦發(fā)送過(guò)來(lái)

10、的ICMP數(shù)據(jù)包的實(shí)際尺寸超過(guò)64KB(65536B)，操作系統(tǒng)將收到的數(shù)據(jù)報(bào)文向緩存區(qū)填寫時(shí)，報(bào)文長(zhǎng)度大于64KB，就會(huì)產(chǎn)生一個(gè)緩存溢出，結(jié)果將導(dǎo)致TCP/IP協(xié)議堆棧的崩潰，造成主機(jī)的重啟動(dòng)或是死機(jī)。 2022/7/18網(wǎng)絡(luò)入侵與防范講義176.2.1 Ping of DeathPing程序有一個(gè)“-l”參數(shù)可指定發(fā)送數(shù)據(jù)包的尺寸，因此，使用Ping這個(gè)常用小程序就可以簡(jiǎn)單地實(shí)現(xiàn)這種攻擊。例如通過(guò)這樣一個(gè)命令：Ping -l 65540 40如果對(duì)方主機(jī)存在這樣一個(gè)漏洞，就會(huì)形成一次拒絕服務(wù)攻擊。這種攻擊被稱為“死亡之Ping”。 2022/7/18網(wǎng)絡(luò)入侵與防范講義186.2.1 Pin

11、g of Death現(xiàn)在的操作系統(tǒng)都已對(duì)這一漏洞進(jìn)行了修補(bǔ)。對(duì)可發(fā)送的數(shù)據(jù)包大小進(jìn)行了限制。在Windows xp sp2操作系統(tǒng)中輸入這樣的命令：Ping -l 65535 40 系統(tǒng)返回這樣的信息：Bad value for option -l, valid range is from 0 to 65500. 2022/7/18網(wǎng)絡(luò)入侵與防范講義196.2.1 Ping of DeathPing Of Death攻擊的攻擊特征、檢測(cè)方法和反攻擊方法總結(jié)如下：攻擊特征：該攻擊數(shù)據(jù)包大于65535個(gè)字節(jié)。由于部分操作系統(tǒng)接收到長(zhǎng)度大于65535字節(jié)的數(shù)據(jù)包時(shí)，就會(huì)造成內(nèi)存溢出、系統(tǒng)崩潰、重啟、

12、內(nèi)核失敗等后果，從而達(dá)到攻擊的目的。檢測(cè)方法：判斷數(shù)據(jù)包的大小是否大于65535個(gè)字節(jié)。反攻擊方法：使用新的補(bǔ)丁程序，當(dāng)收到大于65535個(gè)字節(jié)的數(shù)據(jù)包時(shí)，丟棄該數(shù)據(jù)包，并進(jìn)行系統(tǒng)審計(jì)。 2022/7/18網(wǎng)絡(luò)入侵與防范講義206.2.2 淚滴（Teardrop）“淚滴”也被稱為分片攻擊，它是一種典型的利用TCP/IP協(xié)議的問(wèn)題進(jìn)行拒絕服務(wù)攻擊的方式，由于第一個(gè)實(shí)現(xiàn)這種攻擊的程序名稱為Teardrop，所以這種攻擊也被稱為“淚滴”。 2022/7/18網(wǎng)絡(luò)入侵與防范講義216.2.2 淚滴（Teardrop）兩臺(tái)計(jì)算機(jī)在進(jìn)行通信時(shí)，如果傳輸?shù)臄?shù)據(jù)量較大，無(wú)法在一個(gè)數(shù)據(jù)報(bào)文中傳輸完成，就會(huì)將數(shù)據(jù)

13、拆分成多個(gè)分片，傳送到目的計(jì)算機(jī)后再到堆棧中進(jìn)行重組，這一過(guò)程稱為“分片”。為了能在到達(dá)目標(biāo)主機(jī)后進(jìn)行數(shù)據(jù)重組，IP包的TCP首部中包含有信息（分片識(shí)別號(hào)、偏移量、數(shù)據(jù)長(zhǎng)度、標(biāo)志位）說(shuō)明該分段是原數(shù)據(jù)的哪一段，這樣，目標(biāo)主機(jī)在收到數(shù)據(jù)后，就能根據(jù)首部中的信息將各分片重新組合還原為數(shù)據(jù)。 2022/7/18網(wǎng)絡(luò)入侵與防范講義22例子2022/7/18網(wǎng)絡(luò)入侵與防范講義23例子(2)如上圖所示，從客戶機(jī)向服務(wù)器發(fā)送一個(gè)數(shù)據(jù)報(bào)文無(wú)法發(fā)送完成的數(shù)據(jù)，這些數(shù)據(jù)會(huì)被分片發(fā)送。報(bào)文1、2、3是TCP連接的三次握手過(guò)程，接著4、5、6客戶機(jī)向服務(wù)器發(fā)送三個(gè)報(bào)文，在這三個(gè)數(shù)據(jù)報(bào)文首部信息中，有每個(gè)報(bào)文的分片信息

14、。 2022/7/18網(wǎng)絡(luò)入侵與防范講義24例子(3)這就是報(bào)文重組的信息:PSH 1:1025(1024) ack 1, win 4096PSH 1025:2049(1024) ack 1, win 4096PSH 2049:3073(1024) ack 1, win 4096在這個(gè)報(bào)文中，可以看到在第4、5、6這三個(gè)報(bào)文中，第4個(gè)發(fā)送的數(shù)據(jù)報(bào)文中是原數(shù)據(jù)的第11025字節(jié)內(nèi)容，第5個(gè)發(fā)送的報(bào)文包含的是第10252048字節(jié)，第6個(gè)數(shù)據(jù)報(bào)文是第20493073個(gè)字節(jié)，接著后面是繼續(xù)發(fā)送的分片和服務(wù)器的確認(rèn)。當(dāng)這些分片數(shù)據(jù)被發(fā)送到目標(biāo)主機(jī)后，目標(biāo)主機(jī)就能夠根據(jù)報(bào)文中的信息將分片重組，還原出數(shù)據(jù)

15、。 2022/7/18網(wǎng)絡(luò)入侵與防范講義25例子(4)如果入侵者偽造數(shù)據(jù)報(bào)文，向服務(wù)器發(fā)送含有重疊偏移信息的分段包到目標(biāo)主機(jī)，例如如下所列的分片信息：PSH 1:1025(1024) ack1, win4096PSH 1000:2049(1024) ack1, win4096PSH 2049:3073(1024) ack1, win4096這樣的信息被目的主機(jī)收到后，在堆棧中重組時(shí)，由于畸形分片的存在，會(huì)導(dǎo)致重組出錯(cuò)，這個(gè)錯(cuò)誤并不僅僅是影響到重組的數(shù)據(jù)，由于協(xié)議重組算法，會(huì)導(dǎo)致內(nèi)存錯(cuò)誤，引起協(xié)議棧的崩潰。 2022/7/18網(wǎng)絡(luò)入侵與防范講義266.2.2 淚滴（teardrop）淚滴攻擊的攻

16、擊特征、檢測(cè)方法和反攻擊方法總結(jié)如下：攻擊特征：Teardrop工作原理是向被攻擊者發(fā)送多個(gè)分片的IP包，某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時(shí)將會(huì)出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。檢測(cè)方法：對(duì)接收到的分片數(shù)據(jù)包進(jìn)行分析，計(jì)算數(shù)據(jù)包的片偏移量（Offset）是否有誤。反攻擊方法：添加系統(tǒng)補(bǔ)丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對(duì)這種攻擊進(jìn)行審計(jì)。 2022/7/18網(wǎng)絡(luò)入侵與防范講義276.2.3 IP欺騙DoS攻擊這種攻擊利用RST位來(lái)實(shí)現(xiàn)。假設(shè)現(xiàn)在有一個(gè)合法用戶(1)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為1，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)

17、器接收到這樣的數(shù)據(jù)后，認(rèn)為1發(fā)送的連接有錯(cuò)誤，就會(huì)清空緩沖區(qū)中建立好的連接。這時(shí)，如果合法用戶1再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒(méi)有這樣的連接了，該用戶就必須從新開(kāi)始建立連接。2022/7/18網(wǎng)絡(luò)入侵與防范講義286.2.3 IP欺騙DoS攻擊攻擊時(shí)，攻擊者會(huì)偽造大量的IP地址，向目標(biāo)發(fā)送RST數(shù)據(jù)，使服務(wù)器不對(duì)合法用戶服務(wù)，從而實(shí)現(xiàn)了對(duì)受害服務(wù)器的拒絕服務(wù)攻擊。 2022/7/18網(wǎng)絡(luò)入侵與防范講義296.2.4 UDP洪水UDP洪水（UDP flood）主要是利用主機(jī)能自動(dòng)進(jìn)行回復(fù)的服務(wù)（例如使用UDP協(xié)議的chargen服務(wù)和echo服務(wù)）來(lái)進(jìn)行攻擊。 很多提供WWW和Mail等服務(wù)設(shè)備通

18、常是使用Unix的服務(wù)器，它們默認(rèn)打開(kāi)一些被黑客惡意利用的UDP服務(wù)。如echo服務(wù)會(huì)顯示接收到的每一個(gè)數(shù)據(jù)包，而原本作為測(cè)試功能的chargen服務(wù)會(huì)在收到每一個(gè)數(shù)據(jù)包時(shí)隨機(jī)反饋一些字符。 2022/7/18網(wǎng)絡(luò)入侵與防范講義306.2.4 UDP洪水當(dāng)我們向echo服務(wù)的端口發(fā)送一個(gè)數(shù)據(jù)時(shí)，echo服務(wù)會(huì)將同樣的數(shù)據(jù)返回給發(fā)送方，而chargen服務(wù)則會(huì)隨機(jī)返回字符。當(dāng)兩個(gè)或兩個(gè)以上系統(tǒng)存在這樣的服務(wù)時(shí)，攻擊者利用其中一臺(tái)主機(jī)向另一臺(tái)主機(jī)的echo或者chargen服務(wù)端口發(fā)送數(shù)據(jù)，echo和chargen服務(wù)會(huì)自動(dòng)進(jìn)行回復(fù)，這樣開(kāi)啟echo和chargen服務(wù)的主機(jī)就會(huì)相互回復(fù)數(shù)據(jù)。由于

19、這種做法使一方的輸出成為另一方的輸入，兩臺(tái)主機(jī)間會(huì)形成大量的UDP數(shù)據(jù)包。當(dāng)多個(gè)系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時(shí)，最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。 2022/7/18網(wǎng)絡(luò)入侵與防范講義31UDP洪水實(shí)例（UDP-Flood）IP/hostname和port：輸入目標(biāo)主機(jī)的IP地址和端口號(hào)；Max duration：設(shè)定最長(zhǎng)的攻擊時(shí)間；Speed：設(shè)置UDP包發(fā)送速度；Data：指定發(fā)送的UDP數(shù)據(jù)包中包含的內(nèi)容。2022/7/18網(wǎng)絡(luò)入侵與防范講義32UDP洪水實(shí)例(2)對(duì)局域網(wǎng)網(wǎng)內(nèi)的一臺(tái)計(jì)算機(jī)4發(fā)起UDP Flood攻擊，發(fā)包速率為250PPS。 2022/7/18網(wǎng)絡(luò)入侵與防范講義33UDP洪水實(shí)例

20、(3)在被攻擊的計(jì)算機(jī)4上打開(kāi)Sniffer工具，可以捕捉由攻擊者計(jì)算機(jī)發(fā)到本機(jī)的UDP數(shù)據(jù)包，可以看到內(nèi)容為“* UDP Flood. Server stress test *”的大量UDP數(shù)據(jù)包，如下頁(yè)圖所示。如果加大發(fā)包速率和增加攻擊機(jī)的數(shù)量，則目標(biāo)主機(jī)的處理能力將會(huì)明顯下降。2022/7/18網(wǎng)絡(luò)入侵與防范講義34UDP“洪水”實(shí)例2022/7/18網(wǎng)絡(luò)入侵與防范講義356.2.5 SYN洪水SYN Flood是當(dāng)前最流行的拒絕服務(wù)攻擊方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。SYN Flood是利用TC

21、P連接的三次握手過(guò)程的特性實(shí)現(xiàn)的。2022/7/18網(wǎng)絡(luò)入侵與防范講義366.2.5 SYN洪水在TCP連接的三次握手過(guò)程中，假設(shè)一個(gè)客戶端向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN/ACK應(yīng)答報(bào)文后是無(wú)法收到客戶端的ACK報(bào)文的，這種情況下服務(wù)器端一般會(huì)重試，并等待一段時(shí)間后丟棄這個(gè)未完成的連接。這段時(shí)間的長(zhǎng)度我們稱為SYN Timeout。一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數(shù)量級(jí)。一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問(wèn)題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況(偽造IP地址)，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源。2022/7/

22、18網(wǎng)絡(luò)入侵與防范講義376.2.5 SYN洪水即使是簡(jiǎn)單的保存并遍歷半連接列表也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰既使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無(wú)暇理睬客戶的正常請(qǐng)求，此時(shí)從正?？蛻舻慕嵌瓤磥?lái)，服務(wù)器失去響應(yīng)，這種情況就稱作：服務(wù)器端受到了SYN Flood攻擊(SYN洪水攻擊)。 2022/7/18網(wǎng)絡(luò)入侵與防范講義38SYN“洪水”攻擊示意圖 2022/7/18網(wǎng)絡(luò)入侵與防范講義39SYN“洪水”攻擊實(shí)例局域網(wǎng)環(huán)境，有一

23、臺(tái)攻擊機(jī)（PIII667/128/mandrake），被攻擊的是一臺(tái)Solaris 8.0 的主機(jī)，網(wǎng)絡(luò)設(shè)備是Cisco的百兆交換機(jī)。后面將顯示在Solaris上進(jìn)行snoop抓包的記錄。 注：snoop與tcpdump等網(wǎng)絡(luò)監(jiān)聽(tīng)工具一樣，是一個(gè)網(wǎng)絡(luò)抓包與分析工具。2022/7/18網(wǎng)絡(luò)入侵與防范講義40SYN“洪水”攻擊實(shí)例(2) 攻擊示意圖：2022/7/18網(wǎng)絡(luò)入侵與防范講義41SYN“洪水”攻擊實(shí)例(3)攻擊機(jī)開(kāi)始發(fā)包，DoS開(kāi)始了，突然間Solaris主機(jī)上的snoop窗口開(kāi)始飛速地翻屏，顯示出接到數(shù)量巨大的Syn請(qǐng)求。這時(shí)的屏幕就好象是時(shí)速300公里的列車上的一扇車窗。Syn Fl

24、ood攻擊時(shí)的snoop輸出結(jié)果如下頁(yè)圖所示。2022/7/18網(wǎng)絡(luò)入侵與防范講義42SYN“洪水”攻擊實(shí)例(4)2022/7/18網(wǎng)絡(luò)入侵與防范講義43SYN“洪水”攻擊實(shí)例(4)此時(shí)，目標(biāo)主機(jī)再也收不到剛才那些正常的網(wǎng)絡(luò)包，只有DoS包。大家注意一下，這里所有的Syn Flood攻擊包的源地址都是偽造的，給追查工作帶來(lái)很大困難。這時(shí)在被攻擊主機(jī)上積累了多少Syn的半連接呢？用netstat來(lái)看一下：# netstat -an | grep SYN。結(jié)果如下頁(yè)圖所示。2022/7/18網(wǎng)絡(luò)入侵與防范講義442022/7/18網(wǎng)絡(luò)入侵與防范講義45SYN“洪水”攻擊實(shí)例(5)其中SYN_RCV

25、D表示當(dāng)前未完成的TCP SYN隊(duì)列，統(tǒng)計(jì)一下（wc是文件內(nèi)容統(tǒng)計(jì)命令，-l選項(xiàng)表示統(tǒng)計(jì)行數(shù)）：# netstat -an | grep SYN | wc -l5273# netstat -an | grep SYN | wc -l5154# netstat -an | grep SYN | wc -l5267. 共有五千多個(gè)Syn的半連接存儲(chǔ)在內(nèi)存中。這時(shí)候被攻擊機(jī)已經(jīng)不能響應(yīng)新的服務(wù)請(qǐng)求了，系統(tǒng)運(yùn)行非常慢，也無(wú)法ping通。而這只是在攻擊發(fā)起后僅僅70秒鐘左右時(shí)的情況。 2022/7/18網(wǎng)絡(luò)入侵與防范講義46SYN“洪水”的防御SYN洪水攻擊比較難以防御，以下是幾種解決方法：縮短SYN

26、Timeout時(shí)間 設(shè)置SYN Cookie 負(fù)反饋策略 退讓策略 分布式DNS負(fù)載均衡 防火墻 2022/7/18網(wǎng)絡(luò)入侵與防范講義47縮短SYN Timeout時(shí)間由于SYN Flood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個(gè)值=SYN攻擊的頻度 x SYN Timeout，所以通過(guò)縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文無(wú)效并丟棄該連接的時(shí)間，可以成倍的降低服務(wù)器的負(fù)荷。2022/7/18網(wǎng)絡(luò)入侵與防范講義48設(shè)置SYN Cookie就是給每一個(gè)請(qǐng)求連接的IP地址分配一個(gè)Cookie，如果短時(shí)間內(nèi)連續(xù)受到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個(gè)IP地址來(lái)的包會(huì)被丟棄

27、。 2022/7/18網(wǎng)絡(luò)入侵與防范講義49負(fù)反饋策略正常情況下，OS對(duì)TCP連接的一些重要參數(shù)有一個(gè)常規(guī)的設(shè)置： SYN Timeout時(shí)間、SYN-ACK的重試次數(shù)、SYN報(bào)文從路由器到系統(tǒng)再到Winsock的延時(shí)等等。這個(gè)常規(guī)設(shè)置針對(duì)系統(tǒng)優(yōu)化，可以給用戶提供方便快捷的服務(wù)；一旦服務(wù)器受到攻擊，SYN Half link 的數(shù)量超過(guò)系統(tǒng)中TCP活動(dòng)Half link最大連接數(shù)的設(shè)置，系統(tǒng)將會(huì)認(rèn)為自己受到了SYN Flood攻擊，并將根據(jù)攻擊的判斷情況作出反應(yīng)：減短SYN Timeout時(shí)間、減少SYN-ACK的重試次數(shù)、自動(dòng)對(duì)緩沖區(qū)中的報(bào)文進(jìn)行延時(shí)等等措施，力圖將攻擊危害減到最低。2022

28、/7/18網(wǎng)絡(luò)入侵與防范講義50退讓策略退讓策略是基于SYN Flood攻擊代碼的一個(gè)缺陷： SYN Flood一旦攻擊開(kāi)始，將不會(huì)再進(jìn)行域名解析。切入點(diǎn)：假設(shè)一臺(tái)服務(wù)器在受到SYN Flood攻擊后迅速更換自己的IP地址，那么攻擊者仍在不斷攻擊的只是一個(gè)空的IP地址，并沒(méi)有任何主機(jī)，而防御方只要將DNS解析更改到新的IP地址就能在很短的時(shí)間內(nèi)恢復(fù)用戶通過(guò)域名進(jìn)行的正常訪問(wèn)。為了迷惑攻擊者，我們甚至可以放置一臺(tái)“犧牲”服務(wù)器讓攻擊者滿足于攻擊的“效果” 。2022/7/18網(wǎng)絡(luò)入侵與防范講義51分布式DNS負(fù)載均衡在眾多的負(fù)載均衡架構(gòu)中，基于DNS解析的負(fù)載均衡本身就擁有對(duì)SYN Flood的

29、免疫力?；贒NS解析的負(fù)載均衡能將用戶的請(qǐng)求分配到不同IP的服務(wù)器主機(jī)上，攻擊者攻擊的永遠(yuǎn)只是其中一臺(tái)服務(wù)器，一來(lái)這樣增加了攻擊者的成本，二來(lái)過(guò)多的DNS請(qǐng)求可以幫助我們追查攻擊者的真正蹤跡。 2022/7/18網(wǎng)絡(luò)入侵與防范講義52防火墻在防火墻設(shè)置了正確的規(guī)則后，可以識(shí)別SYN Flood攻擊所采用的攻擊方法，并將攻擊包阻擋在外。2022/7/18網(wǎng)絡(luò)入侵與防范講義536.2.6 Land攻擊Land是因特網(wǎng)上最常見(jiàn)的拒絕服務(wù)攻擊類型，它是由著名黑客組織rootshell發(fā)現(xiàn)的。原理很簡(jiǎn)單，向目標(biāo)機(jī)發(fā)送大量的源地址和目標(biāo)地址相同的包，造成目標(biāo)機(jī)解析Land包時(shí)占用大量的系統(tǒng)資源，從而使網(wǎng)

30、絡(luò)功能完全癱瘓。 2022/7/18網(wǎng)絡(luò)入侵與防范講義546.2.6 Land攻擊Land攻擊也是利用TCP的三次握手過(guò)程的缺陷進(jìn)行攻擊。Land攻擊是向目標(biāo)主機(jī)發(fā)送一個(gè)特殊的SYN包，包中的源地址和目標(biāo)地址都是目標(biāo)主機(jī)的地址。目標(biāo)主機(jī)收到這樣的連接請(qǐng)求時(shí)會(huì)向自己發(fā)送SYN/ACK數(shù)據(jù)包，結(jié)果導(dǎo)致目標(biāo)主機(jī)向自己發(fā)回ACK數(shù)據(jù)包并創(chuàng)建一個(gè)連接。大量的這樣的數(shù)據(jù)包將使目標(biāo)主機(jī)建立很多無(wú)效的連接，系統(tǒng)資源被大量的占用。2022/7/18網(wǎng)絡(luò)入侵與防范講義556.2.6 Land攻擊Land攻擊示意圖：2022/7/18網(wǎng)絡(luò)入侵與防范講義566.2.6 Land攻擊Land攻擊可簡(jiǎn)要概括如下：攻擊特征

31、：用于Land攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的。操作系統(tǒng)接收到這類數(shù)據(jù)包時(shí)，不知道該如何處理堆棧中的這種情況，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。檢測(cè)方法：判斷網(wǎng)絡(luò)數(shù)據(jù)包的源/目標(biāo)地址是否相同。反攻擊方法：適當(dāng)配置防火墻設(shè)備或過(guò)濾路由器的過(guò)濾規(guī)則可以防止這種攻擊行為，并對(duì)這種攻擊進(jìn)行審計(jì)。 2022/7/18網(wǎng)絡(luò)入侵與防范講義576.2.7 Smurf攻擊Smurf攻擊是利用IP欺騙和ICMP回應(yīng)包引起目標(biāo)主機(jī)網(wǎng)絡(luò)阻塞，實(shí)現(xiàn)DoS攻擊。Smurf攻擊原理：在構(gòu)造數(shù)據(jù)包時(shí)將源地址設(shè)置為被攻擊主機(jī)的地址，而將目的地址設(shè)置為廣播地址，于是，大量

32、的ICMP echo回應(yīng)包被發(fā)送給被攻擊主機(jī)，使其因網(wǎng)絡(luò)阻塞而無(wú)法提供服務(wù)。比Ping of Death洪水的流量高出1或2個(gè)數(shù)量級(jí)。2022/7/18網(wǎng)絡(luò)入侵與防范講義586.2.7 Smurf攻擊Smurf攻擊示意圖：2022/7/18網(wǎng)絡(luò)入侵與防范講義596.2.7 Smurf攻擊如上例所示，入侵者的主機(jī)發(fā)送了一個(gè)數(shù)據(jù)包，而目標(biāo)主機(jī)就收到了三個(gè)回復(fù)數(shù)據(jù)包。如果目標(biāo)網(wǎng)絡(luò)是一個(gè)很大的以太網(wǎng)，有200臺(tái)主機(jī)，那么在這種情況下，入侵者每發(fā)送一個(gè)ICMP數(shù)據(jù)包，目標(biāo)主機(jī)就會(huì)收到200個(gè)數(shù)據(jù)包，因此目標(biāo)主機(jī)很快就會(huì)被大量的回復(fù)信息吞沒(méi)，無(wú)法處理其他的任何網(wǎng)絡(luò)傳輸。這種攻擊不僅影響目標(biāo)主機(jī)，還能影響目

33、標(biāo)主機(jī)的整個(gè)網(wǎng)絡(luò)系統(tǒng)。 2022/7/18網(wǎng)絡(luò)入侵與防范講義60Smurf攻擊例子B類網(wǎng)絡(luò)攻擊者冒充服務(wù)器向一個(gè)B類網(wǎng)絡(luò)的廣播地址發(fā)送ICMP echo包整個(gè)B類網(wǎng)絡(luò)的所有系統(tǒng)都向此服務(wù)器回應(yīng)一個(gè)icmp reply包2022/7/18網(wǎng)絡(luò)入侵與防范講義616.2.8 Fraggle攻擊Fraggle攻擊原理與Smurf一樣，也是采用向廣播地址發(fā)送數(shù)據(jù)包，利用廣播地址的特性將攻擊放大以使目標(biāo)主機(jī)拒絕服務(wù)。不同的是，F(xiàn)raggle使用的是UDP應(yīng)答消息而非ICMP。 2022/7/18網(wǎng)絡(luò)入侵與防范講義626.2.9 電子郵件炸彈電子郵件炸彈是最古老的匿名攻擊之一，由于這種攻擊方式簡(jiǎn)單易用，互聯(lián)

34、網(wǎng)上也很容易找到這些發(fā)送匿名郵件的工具，并且入侵者只需要知道對(duì)方的電子郵件地址就可以進(jìn)行攻擊了。傳統(tǒng)的電子郵件炸彈只是簡(jiǎn)單的往你的郵箱里發(fā)送大量的郵件，入侵者的目的是要用垃圾郵件填滿你的郵箱后，正常的郵件就會(huì)因空間不夠而被服務(wù)器拒收。2022/7/18網(wǎng)絡(luò)入侵與防范講義636.2.9 電子郵件炸彈如果用戶的郵箱使用空間不受限制，那么電子郵件炸彈攻擊就有可能影響到服務(wù)器的正常工作了。最有可能的情況是入侵者不斷發(fā)送大量的電子郵件，由于用戶的郵箱空間不受限制，服務(wù)器會(huì)接收全部的郵件并保存在硬盤上。大量到來(lái)的郵件將不斷吞噬服務(wù)器上的硬盤空間，最終將耗盡服務(wù)器上的所有硬盤空間，使得服務(wù)器無(wú)法再對(duì)外服務(wù)。

35、還有一種可能是通過(guò)設(shè)置一臺(tái)機(jī)器不斷地大量向同一地址發(fā)送電子郵件，入侵者能夠耗盡接收者網(wǎng)絡(luò)的帶寬。 2022/7/18網(wǎng)絡(luò)入侵與防范講義646.2.9 電子郵件炸彈電子郵件是通過(guò)SMTP協(xié)議進(jìn)行發(fā)送的，最初的SMTP協(xié)議服務(wù)是不需要進(jìn)行身份認(rèn)證的，在發(fā)送電子郵件的過(guò)程中不對(duì)用戶進(jìn)行身份認(rèn)證。 SMTP不會(huì)進(jìn)行認(rèn)證，郵件的發(fā)送人可以偽造任何郵件地址，甚至可以不寫發(fā)件人的信息。這就是能發(fā)送匿名郵件的原因。 針對(duì)SMTP的問(wèn)題，新的SMTP協(xié)議規(guī)范新增了2個(gè)命令，對(duì)發(fā)送郵件的發(fā)件人進(jìn)行身份認(rèn)證，在一定程度上降低了匿名電子郵件的風(fēng)險(xiǎn)。 2022/7/18網(wǎng)絡(luò)入侵與防范講義656.2.10 畸形消息攻擊畸

36、形消息攻擊是一種有針對(duì)性的攻擊方式，它利用目標(biāo)主機(jī)或者特定服務(wù)存在的安全漏洞進(jìn)行攻擊。目前無(wú)論是Windows、Unix、Linux等各類操作系統(tǒng)上的許多服務(wù)都存在安全漏洞，由于這些服務(wù)在處理信息之前沒(méi)有進(jìn)行適當(dāng)正確的錯(cuò)誤校驗(yàn)，所以一旦收到畸形的信息就有可能會(huì)崩潰。 2022/7/18網(wǎng)絡(luò)入侵與防范講義666.2.10 畸形消息攻擊例如，在IIS 5沒(méi)有安裝相應(yīng)的修補(bǔ)包以及沒(méi)有相應(yīng)的安全措施時(shí)，向IIS 5服務(wù)器遞交如下的URL會(huì)導(dǎo)致IIS 5停止服務(wù)：http:/testIP/.25kb of .ida 而向IIS 5遞交如下的HTTP請(qǐng)求會(huì)導(dǎo)致IIS系統(tǒng)的崩潰，需要重啟動(dòng)才能恢復(fù)： “GE

37、T /.3k. .htr HTTP/1.0”這兩者都是向服務(wù)器提交正常情況下不會(huì)出現(xiàn)的請(qǐng)求，導(dǎo)致服務(wù)器處理錯(cuò)誤而崩潰，是典型的畸形消息攻擊。2022/7/18網(wǎng)絡(luò)入侵與防范講義676.2.11 Slashdot effectSlashdot effect來(lái)自S這個(gè)網(wǎng)站，這曾是十分知名而且瀏覽人數(shù)十分龐大的IT、電子、娛樂(lè)網(wǎng)站，也是blog網(wǎng)站的開(kāi)宗始祖之一。由于S的知名度和瀏覽人數(shù)的影響，在S上的文章中放入的網(wǎng)站鏈接，有可能一瞬間被點(diǎn)入上千次，甚至上萬(wàn)次，造成這個(gè)被鏈接的網(wǎng)站承受不住突然增加的連接請(qǐng)求，出現(xiàn)響應(yīng)變慢、崩潰、拒絕服務(wù)。這種現(xiàn)象就稱為Slashdot effect，這種瞬間產(chǎn)生的大

38、量進(jìn)入某網(wǎng)站的動(dòng)作，也稱作Slashdotting。2022/7/18網(wǎng)絡(luò)入侵與防范講義686.2.11 Slashdot effect這種攻擊手法使web服務(wù)器或其他類型的服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過(guò)載，一般這些網(wǎng)絡(luò)流量是針對(duì)某一個(gè)頁(yè)面或一個(gè)鏈接而產(chǎn)生的。當(dāng)然這種現(xiàn)象也會(huì)在訪問(wèn)量較大的網(wǎng)站上正常的發(fā)生，但一定要把這些正?，F(xiàn)象和攻擊區(qū)分開(kāi)來(lái)。如果您的服務(wù)器突然變得擁擠不堪，甚至無(wú)法響應(yīng)再多的請(qǐng)求時(shí)，您應(yīng)當(dāng)仔細(xì)檢查一下這個(gè)資源匱乏的現(xiàn)象，確認(rèn)在10000次點(diǎn)擊里全都是合法用戶進(jìn)行的，還是由5000個(gè)合法用戶和一個(gè)點(diǎn)擊了5000次的攻擊者進(jìn)行的。2022/7/18網(wǎng)絡(luò)入侵與防范講義696.2.12

39、 WinNuke攻擊WinNuke攻擊又稱“帶外傳輸攻擊”，它的特征是攻擊目標(biāo)端口，被攻擊的目標(biāo)端口通常是139、138、137、113、53。TCP傳輸協(xié)議中使用帶外數(shù)據(jù)（Out of Band，OOB數(shù)據(jù)）通道來(lái)傳送一些比較特殊（如比較緊急）的數(shù)據(jù)。在緊急模式下，發(fā)送的每個(gè)TCP數(shù)據(jù)包都包含URG標(biāo)志和16位URG指針，直至將要發(fā)送的帶外數(shù)據(jù)發(fā)送完為止。16位URG指針指向包內(nèi)數(shù)據(jù)段的某個(gè)字節(jié)數(shù)據(jù)，表示從第一字節(jié)到指針?biāo)缸止?jié)的數(shù)據(jù)就是緊急數(shù)據(jù)，不進(jìn)入接收緩沖就直接交給上層進(jìn)程。 2022/7/18網(wǎng)絡(luò)入侵與防范講義706.2.12 WinNuke攻擊WinNuke攻擊就是制造特殊的這種報(bào)

40、文，但這些攻擊報(bào)文與正常攜帶OOB數(shù)據(jù)報(bào)文不同的是：其指針字段與數(shù)據(jù)的實(shí)際位置不符，即存在重合，這樣WINDOWS操作系統(tǒng)在處理這些數(shù)據(jù)的時(shí)候，就會(huì)崩潰。2022/7/18網(wǎng)絡(luò)入侵與防范講義716.2.12 WinNuke攻擊攻擊者將這樣的特殊TCP帶外數(shù)據(jù)報(bào)文發(fā)送給已建立連接的主機(jī)的NetBIOS端口139，導(dǎo)致主機(jī)崩潰后，會(huì)顯示下面的信息： An exception OE has occurred at 0028:address in VxD MSTCP(01)+ 000041AE. This was called from 0028:address in VxD NDIS(01)+ 00

41、008660.It may be possible to continue normally. Press any key to attempt to continue. Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all applications. Press any key to continue2022/7/18網(wǎng)絡(luò)入侵與防范講義726.2.12 WinNuke攻擊WinNuke攻擊的特征、檢測(cè)方法和反攻擊方法概括如下：攻擊特征：WinNuke攻擊又稱帶外傳輸攻

42、擊，它的特征是被攻擊的目標(biāo)端口通常是139、138、137、113、53，而且URG位設(shè)為“1”，即緊急模式。檢測(cè)方法：判斷數(shù)據(jù)包目標(biāo)端口是否為139、138、137等，并判斷URG位是否為“1”。反攻擊方法：適當(dāng)配置防火墻設(shè)備或過(guò)濾路由器就可以防止這種攻擊手段（丟棄該數(shù)據(jù)包），并對(duì)這種攻擊進(jìn)行審計(jì)（記錄事件發(fā)生的時(shí)間，源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址） 2022/7/18網(wǎng)絡(luò)入侵與防范講義736.3 分布式拒絕服務(wù)攻擊6.3.1 分布式拒絕服務(wù)攻擊簡(jiǎn)介6.3.2 分布式拒絕服務(wù)攻擊造成的影響6.3.3 分布式拒絕服務(wù)攻擊工具2022/7/18網(wǎng)絡(luò)入侵與防范講義746.3.1 分布式拒絕

43、服務(wù)攻擊簡(jiǎn)介分布式拒絕服務(wù)DDoS (Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。 可以使得分散在互聯(lián)網(wǎng)各處的機(jī)器共同完成對(duì)一臺(tái)主機(jī)攻擊的操作，從而使主機(jī)看起來(lái)好象是遭到了不同位置的許多主機(jī)的攻擊。這些分散的機(jī)器可以分別進(jìn)行不同類型的攻擊。2022/7/18網(wǎng)絡(luò)入侵與防范講義756.3.1 分布式拒絕服務(wù)攻擊簡(jiǎn)介在進(jìn)行分布式拒絕服務(wù)攻擊前，入侵者必須先控制大量的無(wú)關(guān)主機(jī)，并在這些機(jī)器上安裝進(jìn)行拒絕服務(wù)攻擊的軟件。互聯(lián)網(wǎng)上充斥著安全措施較差的主機(jī)，這些

44、主機(jī)存在系統(tǒng)漏洞或配置上的錯(cuò)誤，可能是一些沒(méi)有足夠安全技術(shù)力量的小站點(diǎn)或者一些企業(yè)的服務(wù)器，入侵者輕易就能進(jìn)入這些系統(tǒng)。 由于攻擊者來(lái)自于范圍廣泛的IP地址，而且來(lái)自每臺(tái)主機(jī)的少量的數(shù)據(jù)包有可能從入侵檢測(cè)系統(tǒng)的眼皮下溜掉，這就使得防御變得困難。2022/7/18網(wǎng)絡(luò)入侵與防范講義766.3.1 分布式拒絕服務(wù)攻擊簡(jiǎn)介分布式拒絕服務(wù)攻擊的軟件一般分為客戶端、服務(wù)端與守護(hù)程序，這些程序可以使協(xié)調(diào)分散在互聯(lián)網(wǎng)各處的機(jī)器共同完成對(duì)一臺(tái)主機(jī)攻擊的操作，從而使主機(jī)遭到來(lái)自不同地方的許多主機(jī)的攻擊?？蛻舳耍阂卜Q攻擊控制臺(tái)，它是發(fā)起攻擊的主機(jī)服務(wù)端：也稱攻擊服務(wù)器，它接受客戶端發(fā)來(lái)的控制命令守護(hù)程序：也稱攻擊

45、器、攻擊代理，它直接（如SYN Flooding）或者間接（如反射式DDoS）與攻擊目標(biāo)進(jìn)行通信2022/7/18網(wǎng)絡(luò)入侵與防范講義776.3.1 分布式拒絕服務(wù)攻擊簡(jiǎn)介DDoS攻擊示例：2022/7/18網(wǎng)絡(luò)入侵與防范講義786.3.1 分布式拒絕服務(wù)攻擊簡(jiǎn)介入侵者通過(guò)客戶端軟件向服務(wù)端軟件發(fā)出攻擊指令，服務(wù)端在接收到攻擊指令后，控制守護(hù)進(jìn)程向目標(biāo)主機(jī)發(fā)動(dòng)攻擊。采用三層結(jié)構(gòu)的做法是確保入侵者的安全，一旦客戶端發(fā)出指令后，客戶端就能斷開(kāi)連接，由服務(wù)端指揮守護(hù)進(jìn)程攻擊?？蛻舳诉B接和發(fā)送指令的時(shí)間很短，隱蔽性極強(qiáng)。2022/7/18網(wǎng)絡(luò)入侵與防范講義796.3.1 分布式拒絕服務(wù)攻擊簡(jiǎn)介入侵者先控

46、制多臺(tái)無(wú)關(guān)主機(jī)，在上面安裝守護(hù)進(jìn)程與服務(wù)端程序。當(dāng)需要攻擊時(shí)，入侵者從客戶端連接到安裝了服務(wù)端軟件的主機(jī)上，發(fā)出攻擊指令，服務(wù)端軟件指揮守護(hù)進(jìn)程同時(shí)向目標(biāo)主機(jī)發(fā)動(dòng)拒絕服務(wù)攻擊。目前流行的分布式拒絕服務(wù)攻擊軟件一般沒(méi)有專用的客戶端軟件，使用telnet進(jìn)行連接和傳送控制命令。2022/7/18網(wǎng)絡(luò)入侵與防范講義806.3.1 分布式拒絕服務(wù)攻擊簡(jiǎn)介通常情況下，服務(wù)端與守護(hù)進(jìn)程間并不是一一對(duì)應(yīng)的關(guān)系，而是多對(duì)多的關(guān)系。也就是說(shuō)，一個(gè)安裝了守護(hù)進(jìn)程的主機(jī)可以被多個(gè)服務(wù)端所控制，一個(gè)服務(wù)端軟件也同時(shí)控制多個(gè)守護(hù)進(jìn)程。2022/7/18網(wǎng)絡(luò)入侵與防范講義81DDoS攻擊過(guò)程 攻擊過(guò)程主要有兩個(gè)步驟：攻占

47、代理主機(jī)和向目標(biāo)發(fā)起攻擊。具體說(shuō)來(lái)可分為以下幾個(gè)步驟： 1探測(cè)掃描大量主機(jī)以尋找可入侵主機(jī)； 2入侵有安全漏洞的主機(jī)并獲取控制權(quán)； 3在每臺(tái)被入侵主機(jī)中安裝攻擊所用的客戶進(jìn)程或守護(hù)進(jìn)程； 4向安裝有客戶進(jìn)程的主控端主機(jī)發(fā)出命令，由它們來(lái)控制代理主機(jī)上的守護(hù)進(jìn)程進(jìn)行協(xié)同入侵。2022/7/18網(wǎng)絡(luò)入侵與防范講義826.3.2 DDoS造成的影響被DDoS攻擊時(shí)的現(xiàn)象DDoS攻擊對(duì)Web站點(diǎn)的影響2022/7/18網(wǎng)絡(luò)入侵與防范講義83被DDoS攻擊時(shí)的現(xiàn)象被攻擊主機(jī)上有大量等待的TCP連接； 網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，源地址為假；制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通

48、訊；利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求； 嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。 2022/7/18網(wǎng)絡(luò)入侵與防范講義84DDoS攻擊對(duì)Web站點(diǎn)的影響當(dāng)對(duì)一個(gè)Web站點(diǎn)執(zhí)行 DDoS 攻擊時(shí)，這個(gè)站點(diǎn)的一個(gè)或多個(gè)Web服務(wù)會(huì)接到非常多的請(qǐng)求，最終使它無(wú)法再正常使用。在一個(gè)DDoS攻擊期間，如果有一個(gè)不知情的用戶發(fā)出了正常的頁(yè)面請(qǐng)求，這個(gè)請(qǐng)求會(huì)完全失敗，或者是頁(yè)面下載速度變得極其緩慢，看起來(lái)就是站點(diǎn)無(wú)法使用。 2022/7/18網(wǎng)絡(luò)入侵與防范講義856.3.3 DDoS的工具TFN2KTrinooStacheldraht其他拒絕服務(wù)攻擊工

49、具 2022/7/18網(wǎng)絡(luò)入侵與防范講義86TFN2K介紹TFN(Tribe Flood Network)是德國(guó)著名黑客Mixter編寫的分布式拒絕服務(wù)攻擊的攻擊工具，它是一個(gè)典型的分布式拒絕服務(wù)攻擊的工具。TFN由服務(wù)端程序和守護(hù)程序組成，能實(shí)施ICMP flood、SYN flood、UDP flood和Smurf等多種拒絕服務(wù)攻擊。2022/7/18網(wǎng)絡(luò)入侵與防范講義87TFN2K-特點(diǎn)TFN2K的選擇面寬，Solaris、Linux、Windows NT/2000上都能運(yùn)行。TFN2K的另一個(gè)特點(diǎn)是服務(wù)端控制守護(hù)進(jìn)程發(fā)動(dòng)攻擊時(shí)，可以定制通信使用的協(xié)議，TFN2K目前可以使用的TCP、U

50、DP、ICMP三種協(xié)議中的任何一種。 服務(wù)端向守護(hù)進(jìn)程發(fā)送的控制指令，守護(hù)進(jìn)程是不會(huì)進(jìn)行回復(fù)。由于這一特點(diǎn)，網(wǎng)絡(luò)中的TFN2K的隱蔽性更強(qiáng)，檢測(cè)更加困難，因?yàn)榉?wù)端可以將命令的數(shù)據(jù)報(bào)文的源地址信息進(jìn)行偽造。 2022/7/18網(wǎng)絡(luò)入侵與防范講義88TFN2K-特點(diǎn)(2)TFN2K所有命令都經(jīng)過(guò)了CAST-256算法（RFC2612）加密。加密關(guān)鍵字在程序編譯時(shí)定義，并作為TFN2K客戶端程序的口令。并且所有加密數(shù)據(jù)在發(fā)送前都被編碼（ Base64 ）成可打印的ASCII字符。TFN2K守護(hù)程序接收數(shù)據(jù)包并解密數(shù)據(jù)。為保護(hù)自身，守護(hù)進(jìn)程還能通過(guò)修改進(jìn)程名方式來(lái)欺騙管理員，掩飾自己的真正身份?？傊?/p>

51、，TFN2K采用的單向通信、隨機(jī)使用通信協(xié)議、通信數(shù)據(jù)加密等多種技術(shù)以保護(hù)自身，使得實(shí)時(shí)檢測(cè)TFN2K更加困難。 2022/7/18網(wǎng)絡(luò)入侵與防范講義89TFN2K檢測(cè)TFN2K有一個(gè)獨(dú)特的設(shè)計(jì)，在每一個(gè)數(shù)據(jù)包后面填充了16個(gè)零(0 x00)，這樣做的目的是為了使數(shù)據(jù)包的長(zhǎng)度不固定，欺騙某些防火墻或者入侵檢測(cè)系統(tǒng)。然而，這項(xiàng)獨(dú)特的設(shè)計(jì)也成為了TFN2K 的弱點(diǎn)。TFN2K的數(shù)據(jù)包后面填充的零（0 x00）在經(jīng)過(guò)Base64編碼后就變成了A(0 x41)。這樣，尾部的數(shù)據(jù)包就成為了TFN2K的特征。當(dāng)然這并不是說(shuō)檢測(cè)到尾部有0 x41的數(shù)據(jù)包就認(rèn)為網(wǎng)絡(luò)存在TFN2K，不過(guò)，如果在網(wǎng)絡(luò)中大量捕獲到

52、這種類型的數(shù)據(jù)包的時(shí)候，管理員就該好好檢查網(wǎng)絡(luò)中的主機(jī)了。2022/7/18網(wǎng)絡(luò)入侵與防范講義90TFN2K檢測(cè)(2)另一種對(duì)TFN2K的檢測(cè)的方法是采用病毒檢測(cè)的通用做法，采用特征碼。雖然TFN2K服務(wù)端和守護(hù)進(jìn)程的文件名可以隨意修改，但是程序中必然存在不會(huì)改變的特征字符串，這個(gè)不會(huì)改變的字符串就是程序的特征碼，檢查系統(tǒng)中是否存在有這樣特征碼的程序就能發(fā)現(xiàn)系統(tǒng)中存在的TFN2K。2022/7/18網(wǎng)絡(luò)入侵與防范講義91TFN2K防御TFN2K的抵御方法有：加固系統(tǒng)和網(wǎng)絡(luò)，以防系統(tǒng)被當(dāng)做DDoS主機(jī)。在邊界路由器上設(shè)置出口過(guò)濾，這樣做的原因是或許不是所有的TFN2K源地址都用內(nèi)部網(wǎng)絡(luò)地址進(jìn)行偽

53、裝。請(qǐng)求上游供應(yīng)商配置入口過(guò)濾。2022/7/18網(wǎng)絡(luò)入侵與防范講義92Trinoo介紹Trinoo也是一種比較常見(jiàn)的分布式拒絕服務(wù)攻擊，Trinoo與TFN2K相比，雖然在很多方面都略遜一籌，但從總體上來(lái)說(shuō)，Trinoo還是一個(gè)非常不錯(cuò)的分布式拒絕服務(wù)攻擊工具。2022/7/18網(wǎng)絡(luò)入侵與防范講義93Trinoo組成Trinoo是一個(gè)典型的分布式拒絕服務(wù)攻擊軟件，由兩部分組成，服務(wù)端和守護(hù)進(jìn)程，而沒(méi)有專門的客戶端軟件，客戶端軟件可以使用通用的如Telnet來(lái)代替。如圖： 2022/7/18網(wǎng)絡(luò)入侵與防范講義94Trinoo工作原理Trinoo的守護(hù)進(jìn)程N(yùn)C在編譯時(shí)就將安裝有服務(wù)程序的主機(jī)IP

54、地址包含在內(nèi)，這樣，守護(hù)進(jìn)程N(yùn)C一旦運(yùn)行起來(lái)，就會(huì)自動(dòng)檢測(cè)本機(jī)的IP地址，并將本機(jī)的IP地址發(fā)送到預(yù)先知道的服務(wù)器的31335端口（服務(wù)器開(kāi)啟31335UDP端口接收守護(hù)進(jìn)程）。同時(shí)，守護(hù)進(jìn)程也在本機(jī)打開(kāi)一個(gè)27444的UDP端口等待服務(wù)器端過(guò)來(lái)的命令。Trinoo的服務(wù)器端在收到守護(hù)進(jìn)程發(fā)回來(lái)的IP地址后，就明白已有一個(gè)守護(hù)進(jìn)程準(zhǔn)備完畢，可以發(fā)送指控命令了。主服務(wù)器會(huì)一直記錄并維護(hù)一個(gè)已激活守護(hù)程序的主機(jī)清單。2022/7/18網(wǎng)絡(luò)入侵與防范講義95Trinoo設(shè)計(jì)特色Trinooo的所有連接都需要口令，連接的口令是編譯時(shí)就指定的，缺省情況下，服務(wù)端連接守護(hù)進(jìn)程的口令是“144adsl”，而

55、客戶端連接到服務(wù)端的口令是“betaalmostdone”。不過(guò)口令在進(jìn)行驗(yàn)證時(shí)是明文進(jìn)行傳送的。Trinoo另一個(gè)比較有特色的設(shè)計(jì)是，當(dāng)客戶端連接到服務(wù)端時(shí)，如果還有其他的連接建立，Trinoo會(huì)將一個(gè)包含連接IP地址的報(bào)警信息發(fā)送到已連接的主機(jī)。這樣，入侵者在控制服務(wù)端發(fā)動(dòng)攻擊時(shí)，還能掌握系統(tǒng)上的用戶動(dòng)向，確保Trinoo客戶端的安全。 2022/7/18網(wǎng)絡(luò)入侵與防范講義96Trinoo-基本特性及建議的抵御策略在master程序（服務(wù)端）與代理程序（守護(hù)程序）的所有通訊中，Trinoo都使用了UDP協(xié)議。入侵檢測(cè)軟件能夠?qū)ふ沂褂肬DP協(xié)議的數(shù)據(jù)流(類型17)。 Trinoo maste

56、r程序的監(jiān)聽(tīng)端口是27655，攻擊者一般借助telnet通過(guò)TCP連接到master程序所在計(jì)算機(jī)。入侵檢測(cè)軟件能夠搜索到使用TCP (類型6)并連接到端口27655上的數(shù)據(jù)流。2022/7/18網(wǎng)絡(luò)入侵與防范講義97Trinoo-基本特性及建議的抵御策略(2)所有從master程序到代理程序的通訊都包含字符串l44，并且被引導(dǎo)到代理的UDP 端口27444。入侵檢測(cè)軟件檢查到UDP 端口27444的連接，如果有包含字符串l44的信息包被發(fā)送過(guò)去，那么接受這個(gè)信息包的計(jì)算機(jī)可能就是DDoS代理。Master和代理之間的通訊受到口令的保護(hù)，但是口令不是以加密格式發(fā)送的，因此它可以被“嗅探”到并被

57、檢測(cè)出來(lái)。使用這個(gè)口令以及Dave Dittrich編寫的Trinot腳本，要準(zhǔn)確地驗(yàn)證出Trinoo代理的存在是很可能的。 2022/7/18網(wǎng)絡(luò)入侵與防范講義98StacheldrahtStacheldraht 也是一個(gè)分布式拒絕服務(wù)攻擊，它很多方面類似于Trinoo和TFN，能發(fā)動(dòng)ICMP Flood、SYN Flood、UDP Flood和Smurf等多種攻擊。它的主要特色是能進(jìn)行自動(dòng)更新。2022/7/18網(wǎng)絡(luò)入侵與防范講義99Stacheldraht(2)Stacheldraht跟TFN和trinoo一樣也是基于客戶機(jī)/服務(wù)器模式，其中Master程序與潛在的成千個(gè)代理程序進(jìn)行通訊

58、。在發(fā)動(dòng)攻擊時(shí)，入侵者與master程序進(jìn)行連接。Stacheldraht增加了以下新功能：攻擊者與master程序之間的通訊是加密的，以及使用rcp (remote copy，遠(yuǎn)程復(fù)制)技術(shù)對(duì)代理程序進(jìn)行更新。 2022/7/18網(wǎng)絡(luò)入侵與防范講義100Stacheldraht(3)Stacheldraht同TFN一樣，可以并行發(fā)動(dòng)數(shù)不勝數(shù)的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝源IP地址的信息包。Stacheldraht所發(fā)動(dòng)的攻擊包括UDP洪水、TCP SYN洪水、ICMP回應(yīng)洪水攻擊。 2022/7/18網(wǎng)絡(luò)入侵與防范講義101Stacheldraht DDoS攻擊的特征及防御

59、 1）在發(fā)動(dòng)Stacheldraht攻擊時(shí)，攻擊者訪問(wèn)master程序，向它發(fā)送一個(gè)或多個(gè)攻擊目標(biāo)的 IP地址。Master程序再繼續(xù)與所有代理程序進(jìn)行通訊，指示它們發(fā)動(dòng)攻擊。Stacheldraht master程序與代理程序之間的通訊主要是由ICMP 回音和回音應(yīng)答信息包來(lái)完成的。配置路由器或入侵檢測(cè)系統(tǒng)，不允許一切ICMP回音和回音應(yīng)答信息包進(jìn)入網(wǎng)絡(luò)，這樣可以挫敗Stacheldraht代理。但是這樣會(huì)影響所有要使用這些功能的Internet程序，例如ping。 2022/7/18網(wǎng)絡(luò)入侵與防范講義102Stacheldraht DDoS攻擊的特征及防御 (2)2）代理程序要讀取一個(gè)包含

60、有效master程序的IP地址列表。代理會(huì)試圖與列表上所有的master程序進(jìn)行聯(lián)系。如果聯(lián)系成功，代理程序就會(huì)進(jìn)行一個(gè)測(cè)試，以確定它被安裝到的系統(tǒng)是否會(huì)允許它改變“偽造”信息包的源地址。通過(guò)配置入侵檢測(cè)系統(tǒng)或使用嗅探器來(lái)搜尋它們的簽名信息，可以探測(cè)出這兩個(gè)行為。 2022/7/18網(wǎng)絡(luò)入侵與防范講義103Stacheldraht DDoS攻擊的特征及防御 (3)2.1）代理會(huì)向每個(gè)master發(fā)送一個(gè)ICMP回音應(yīng)答信息包，其中有一個(gè)ID域包含值666，一個(gè)數(shù)據(jù)域包含字符串“skillz”。如果master收到了這個(gè)信息包，它會(huì)以一個(gè)包含值667的ID 域和一個(gè)包含字符串“ficken”的數(shù)