淺談基于校園網(wǎng)拒絕服務(wù)攻擊的分析及防范

1、淺談基于校園網(wǎng)回絕效勞攻擊的分析及防范校園網(wǎng)絡(luò)的建立和普及，給學(xué)校的教學(xué)和管理、學(xué)生的學(xué)習(xí)生活等多方面帶來了極大的方便，并擔(dān)負(fù)著支持全校教學(xué)和科研工作的重要職責(zé)，然而校園網(wǎng)在網(wǎng)絡(luò)平安方面并非一方“凈土，從黑客的開展歷史看，黑客(入侵者)和校園網(wǎng)絡(luò)有很深的淵源。1回絕效勞(ds)攻擊在校園網(wǎng)內(nèi)頻繁發(fā)生的原因回絕效勞ds(denialfservie)攻擊顧名思義就是使internet中的受攻擊對象(主機、效勞器、路由器等網(wǎng)絡(luò)設(shè)備)無法提供或者承受正常效勞的一種攻擊，典型的ds攻擊中，攻擊者向受害者發(fā)送大量的數(shù)據(jù)從而消耗其資源(網(wǎng)絡(luò)帶寬，路由器上的包緩沖區(qū)，目的機器的pu和內(nèi)存)，從而使用戶無法訪問

2、所需信息。因此可以說ds是一種損人不利已的攻擊行為。從回絕效勞攻擊的原理可以看出，不管是回絕效勞攻擊階段還是分布式回絕效勞攻擊的攻擊階段，都需要很高的網(wǎng)絡(luò)帶寬。而校園網(wǎng)絡(luò)的寬帶和大量主機資源，以及學(xué)生的好奇，想在教育網(wǎng)絡(luò)中進展入侵實驗的諸多特點，正好滿足回絕效勞攻擊的要求，這就是校園網(wǎng)成為回絕效勞攻擊的“一方樂土的重要原因。在比較嚴(yán)重的網(wǎng)絡(luò)攻擊事件中，以校園網(wǎng)為“基地發(fā)起的回絕效勞攻擊事件令人印象深化。最著名的是2002年黑客對yah和ebay等網(wǎng)站發(fā)起的回絕效勞攻擊，使這些網(wǎng)站的效勞一度關(guān)閉，據(jù)調(diào)查，這些攻擊就是從校園網(wǎng)絡(luò)中發(fā)起的。回絕效勞攻擊不僅可以利用校園網(wǎng)絡(luò)為“基地發(fā)起，攻擊校園網(wǎng)以外

3、的目的，更多的是攻擊校園網(wǎng)內(nèi)部的目的，特別是在攻擊者“練手的實驗階段。通過調(diào)查發(fā)現(xiàn)，校園網(wǎng)的入侵方式中回絕效勞攻擊最多，危害也最大。由于校園網(wǎng)具有開放、高帶寬、多主機等特點，校園網(wǎng)內(nèi)部網(wǎng)絡(luò)入侵一般具有以下特征：大規(guī)模。所謂大規(guī)模，一方面是指發(fā)動入侵所涉及的網(wǎng)絡(luò)范圍大或者主機數(shù)量多，引起的網(wǎng)絡(luò)流量大，另一方面指入侵形式不是一對一，而是多對一或多對多。分布式。所謂分布式入侵是指從多個地點、多臺主機發(fā)起甚至是結(jié)合發(fā)起的。通過上述對校園網(wǎng)絡(luò)平安特點的分析，我們可以看出校園網(wǎng)具有回絕效勞攻擊存在的種種“優(yōu)勢。古語云“知己知彼，百戰(zhàn)不殆，因此研究回絕效勞攻擊對于校園網(wǎng)的平安，具有非?，F(xiàn)實l的意義。2常見的

4、幾種回絕效勞回絕攻擊(ds)效勞回絕攻擊是最容易施行的攻擊行為之一，攻擊操作方法多種多樣，可能是單一的手段，也可能是多種方式的組合利用，ds：擊主要包括：(1)死亡之ping由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統(tǒng)對tpip棧的實如今ip包上都是規(guī)定64kb，并且在對包的標(biāo)題頭進展讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)。當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過ip上限的包也就是加載的尺寸超過64kb上限時，就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致tpip堆棧崩潰，致使接收方死機。防御方法：如今所有的標(biāo)準(zhǔn)tpip都已實現(xiàn)對付超大尺寸的包，并且大多數(shù)防火墻可以自動過濾這些攻擊，包

5、括：從ind0s98之后的indsnt(serviepak3之后)、linux、slaris和as都具有抵抗一般死亡之ping攻擊的才能。此外，對防火墻進展配置，阻斷ip以及任何未知協(xié)議，都能防止此類攻擊。(2)淚滴攻擊淚滴攻擊是利用在tpip堆棧中實現(xiàn)信任lp碎片中的包的標(biāo)題頭所包含的信息來實現(xiàn)自己的攻擊。對于一些大的lp包，需要對其進展分片傳送，這是為了迎合鏈路層的tu(最大傳輸單元)的要求。比方，一個4500字節(jié)的lp包，在tu為1500的鏈路上傳輸?shù)臅r候，就需要分成三個lp包。在lp報頭中有一個偏移字段和一個分片標(biāo)志(f)，假設(shè)f標(biāo)志設(shè)置為1，那么說明這個lp包是一個大lp包的片斷，其

6、中偏移字段指出了這個片斷在整個lp包中的位置。例如，對一個4500字節(jié)的ip包進展分片(tl為1500)，那么三個片斷中偏移字段的值依次為：0，1500，3000。這樣接收端就可以根據(jù)這些信息成功地組裝該lp包。假設(shè)一個攻擊者打破這種正常情況，把偏移字段設(shè)置成不正確的值，即可能出現(xiàn)重合或斷開的情況，就可能導(dǎo)致目的操作系統(tǒng)崩潰。這就是所謂的淚滴攻擊。防御方法：效勞器應(yīng)用最新的效勞包，或者在設(shè)置防火墻時對分段進展重組，而不是轉(zhuǎn)發(fā)它們。(3)udp洪水各種各樣的假冒攻擊利用簡單的tplp效勞，如hargen和eh來傳送毫無用處的占滿帶寬的數(shù)據(jù)。通過偽造與某一主機的hargenl務(wù)之間的一次的udp連

7、接，回復(fù)地址指向開著eh。效勞的一臺主機，這樣就生成在兩臺主機之間的足夠多的無用數(shù)據(jù)流，假設(shè)足夠多的數(shù)據(jù)流就會導(dǎo)致帶寬的效勞攻擊。防御方法：關(guān)掉不必要的tpipl務(wù)，或者對防火墻進展配置阻斷來自internet的這些效勞的udp懇求。(4)syn洪水在tpip的連接建立過程中，正常情況下連接雙方需要完成從客戶向效勞器發(fā)送的一個syn懇求消息(第一次握手)，效勞器同意響應(yīng)的synak(第二次握手)，當(dāng)客戶收到synak后，再向效勞器發(fā)送一個ak消息(第三次握手)的3次握手過程，一個tp連接才被建立，在3次握手過程中，效勞器需要保持所有未完成的握手信息在有限的內(nèi)存緩沖區(qū)中，假設(shè)攻擊者不停地向該效勞

8、器發(fā)送syn連接懇求，而又不向效勞器回復(fù)ak信息，內(nèi)存緩沖區(qū)充滿了虛假連接的初始信息，該效勞器就會對接下來的連接停頓響應(yīng)。防御方法：在防火墻上過濾來自同一主機的后續(xù)連接。但是，將來的syn洪水令人擔(dān)憂，由于釋放洪水并不尋求響應(yīng)，所以無法從一個簡單高容量的傳輸中鑒別出來。(5)land攻擊land攻擊利用了tp連接建立的三次握手過程，通過向一個目的計算機發(fā)送一個tpsyn報文(連接建立懇求報文)而完成對目的計算機的攻擊。與正常的tpsyn報文不同的是，land攻擊報文的源lp地址和目的lp地址是一樣的，都是目的計算機的lp地址。這樣目的計算機接收到這個syn報文后，就會向該報文的源地址發(fā)送一個a

9、k報文，并建立一個tp連接控制構(gòu)造(tb)，而該報文的源地址就是自己，因此，這個ak報文就發(fā)給了自己。這樣假設(shè)攻擊者發(fā)送了足夠多的syn報文，那么目的計算機的tb可能會耗盡，最終不能正常效勞。防御方法：打最新的補丁，或者在防火墻進展配置，將那些在外部接口上入站的含有內(nèi)部源地址濾掉。(6)surf攻擊ipeh懇求包用來對網(wǎng)絡(luò)進展診斷，當(dāng)一臺計算機接收到這樣一個報文后，會向報文的源地址回應(yīng)一個ipehreply。一般情況下，計算機是不檢查該eh懇求的源地址的，因此，假設(shè)一個惡意的攻擊者把eh的源地址設(shè)置為一個播送地址，這樣計算機在回復(fù)reply的時候，就會以播送地址為目的地址，這樣本地網(wǎng)絡(luò)上所有的

10、計算機都必須處理這些播送報文。假設(shè)攻擊者發(fā)送的eh懇求報文足夠多，產(chǎn)生的reply播送報文就可能把整個網(wǎng)絡(luò)吞沒。這就是所謂的surf攻擊。除了把eh報文的源地址設(shè)置為播送地址外，攻擊者還可能把源地址設(shè)置為一個子網(wǎng)播送地址，這樣，該子網(wǎng)所在的計算機就可能受到影響。防御方法：為了防止黑客利用你的網(wǎng)絡(luò)攻擊別人，關(guān)閉外部路由器或防火墻的播送地址特性。為防止被攻擊，在防火墻上設(shè)置規(guī)那么，丟棄掉ip包。(7)fraggle攻擊fraggle攻擊是對surf攻擊作了簡單的修改，使用的是udp應(yīng)答消息而-ip防御方法：在防火墻上過濾掉udp應(yīng)答消息。(8)電子郵件炸彈電子郵件炸彈是最古老的匿名攻擊之一，通過設(shè)

11、置一臺機器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者可以耗盡承受者網(wǎng)絡(luò)的帶寬。防御方法：對郵件地址進展配置，自動刪除來自同一主機的過量或重復(fù)的消息。(9)畸形消息攻擊各類操作系統(tǒng)上的許多效勞都存在此類問題，由于這些效勞在處理信息之前沒有進展適當(dāng)正確的錯誤校驗，在收到畸形的信息時可能會崩潰。防御方法：打上最新的效勞補叮(10)分布式回絕效勞攻擊(distributeddenialfservie，dds)dds攻擊是網(wǎng)絡(luò)攻擊中最有害的攻擊之一，它是在傳統(tǒng)的ds攻擊根底之上產(chǎn)生的一類攻擊方式，單一的ds攻擊一般采用一對一的方式，假設(shè)用一臺攻擊機不能起到作用的話，攻擊者就使用10臺、1臺攻擊機同時產(chǎn)生攻擊，最終導(dǎo)致被攻擊的機器無法及時處理懇求。一個比較完善的dds攻擊體系可分成四部分：黑客、控制機、代理攻擊機、被攻擊目的。在攻擊時先由黑客入侵并控制大量的主機從而獲得控制權(quán)，使他們成為控制機和攻擊機，然后在這些被入侵的主機中安裝dds攻擊程序，并利用這些被控