第8章-拒絕服務(wù)攻擊

第八章拒絕服務(wù)攻擊2024/10/2網(wǎng)絡(luò)攻防技術(shù)2本章主要內(nèi)容8.1

概述8.2

典型拒絕服務(wù)攻擊8.3

分布式拒絕服務(wù)攻擊8.4

拒絕服務(wù)攻擊防御一、拒絕攻擊服務(wù)案例1988年，Morris蠕蟲爆發(fā)，其傳播機制是此后僵尸網(wǎng)絡(luò)構(gòu)建方法的雛形2024/10/2網(wǎng)絡(luò)攻防技術(shù)3一、拒絕攻擊服務(wù)案例2000年，MafiaBoy使用TFN2K對Yahoo、Ebay、Amazon實施了DDOS攻擊2024/10/2網(wǎng)絡(luò)攻防技術(shù)4一、拒絕攻擊服務(wù)案例2010年，Anonymous為支持Wikileak，對瑞士銀行、Paypal等發(fā)動DDOS攻擊2024/10/2網(wǎng)絡(luò)攻防技術(shù)5一、拒絕攻擊服務(wù)案例2016年，網(wǎng)絡(luò)服務(wù)提供商Dyn的域名服務(wù)受到Mirai僵尸網(wǎng)絡(luò)發(fā)動的分布式拒絕服務(wù)攻擊，Netflix、Twitter等著名網(wǎng)站受到攻擊影響而無法訪問。此次攻擊的峰值流量達到1.2Tbps2024/10/2網(wǎng)絡(luò)攻防技術(shù)6二、拒絕服務(wù)攻擊概念指攻擊者通過攻擊網(wǎng)絡(luò)節(jié)點、網(wǎng)絡(luò)鏈路或網(wǎng)絡(luò)應(yīng)用，致使合法用戶無法得到正常服務(wù)響應(yīng)的網(wǎng)絡(luò)攻擊行為廣義而言，拒絕服務(wù)攻擊可以泛指一切導(dǎo)致目標(biāo)服務(wù)不可用的攻擊手段，包括物理環(huán)境、硬件、軟件等各個層面所實施的破壞。在網(wǎng)絡(luò)安全相關(guān)研究中，論及拒絕服務(wù)攻擊時多數(shù)指上述狹義的內(nèi)涵2024/10/2網(wǎng)絡(luò)攻防技術(shù)7三、拒絕服務(wù)攻擊分類1、漏洞型拒絕服務(wù)攻擊：指利用軟件實現(xiàn)中存在的漏洞，致使服務(wù)崩潰或者系統(tǒng)異常。具體如:PingofDeath;TearofDrop…2024/10/2網(wǎng)絡(luò)攻防技術(shù)8三、拒絕服務(wù)攻擊分類2、重定向型拒絕服務(wù)攻擊：指利用網(wǎng)絡(luò)協(xié)議的設(shè)計缺陷，使目標(biāo)傳輸?shù)臄?shù)據(jù)被重定向至錯誤的網(wǎng)絡(luò)地址，從而無法進行正常的網(wǎng)絡(luò)通信。具體如:基于ARP欺騙、基于DNS欺騙等2024/10/2網(wǎng)絡(luò)攻防技術(shù)9三、拒絕服務(wù)攻擊分類3、資源消耗型拒絕服務(wù)攻擊：指通過大量的請求占用網(wǎng)絡(luò)帶寬或系統(tǒng)資源，從而導(dǎo)致服務(wù)可用性下降甚至喪失。具體如SYNFLOOD、UDPFLOOD、HTTPFLOOD等2024/10/2網(wǎng)絡(luò)攻防技術(shù)102024/10/2網(wǎng)絡(luò)攻防技術(shù)11本章主要內(nèi)容8.1

概述8.2

典型拒絕服務(wù)攻擊8.3

分布式拒絕服務(wù)攻擊8.4

拒絕服務(wù)攻擊防御一、傳統(tǒng)拒絕服務(wù)攻擊傳統(tǒng)拒絕服務(wù)型攻擊多數(shù)是一些較早時間出現(xiàn)的漏洞利用型拒絕服務(wù)攻擊技術(shù)。雖然這些漏洞利用型攻擊可以通過更新相關(guān)安全補丁即可防范，但導(dǎo)致攻擊的漏洞有時會變換形式再度出現(xiàn)在其它系統(tǒng)或軟件中，使得這些看似“古老”的攻擊技術(shù)會如同“幽靈”般再次浮現(xiàn)。2024/10/2網(wǎng)絡(luò)攻防技術(shù)12一、傳統(tǒng)拒絕服務(wù)攻擊1、PingofDeath：針對存在漏洞的Windows95、WinNT、Linux2.0.x等系統(tǒng)，通過向其發(fā)送超長的IP數(shù)據(jù)包導(dǎo)致目標(biāo)系統(tǒng)拒絕服務(wù)。2024/10/2網(wǎng)絡(luò)攻防技術(shù)13一、傳統(tǒng)拒絕服務(wù)攻擊2、TearDrop：利用IP包的分片重組在多個操作系統(tǒng)協(xié)議棧中實現(xiàn)時存在的漏洞，主要影響Windows3.1x，Windows95和WindowsNT，以及早于2.0.32和2.1.63版本的Linux操作系統(tǒng)。2024/10/2網(wǎng)絡(luò)攻防技術(shù)14一、傳統(tǒng)拒絕服務(wù)攻擊3、Land攻擊：發(fā)送一個偽造的TCPSYN報文，源地址和目的地址設(shè)置均為目標(biāo)IP地址，源端口和目標(biāo)端口設(shè)置為目標(biāo)某個開放的TCP端口，可以導(dǎo)致目標(biāo)主機死鎖。Windows95、WindowsNT、FreeBSD2.2.5、SunOS4.1.3，甚至多款Cisco路由器在接收到此報文后，均會產(chǎn)生拒絕服務(wù)。2024/10/2網(wǎng)絡(luò)攻防技術(shù)15二、洪泛攻擊洪泛攻擊的共同特征是發(fā)送大量的數(shù)據(jù)包，迫使目標(biāo)服務(wù)消耗大量資源來處理無用請求。根據(jù)攻擊發(fā)生的協(xié)議層次，洪泛攻擊可以分為網(wǎng)絡(luò)層洪泛、傳輸層洪泛和應(yīng)用層洪泛等，具體的常見洪泛攻擊包括TCP洪泛、UDP洪泛、HTTP洪泛。2024/10/2網(wǎng)絡(luò)攻防技術(shù)16二、洪泛攻擊1、TCP洪泛（TCPFlood）又稱為SYN洪泛（SYNFlood），是一種通過發(fā)送大量偽造的TCP連接請求，致使目標(biāo)服務(wù)TCP連接資源被耗盡的拒絕服務(wù)攻擊。2024/10/2網(wǎng)絡(luò)攻防技術(shù)17二、洪泛攻擊攻擊者向服務(wù)器某個開放端口發(fā)送大量SYN連接請求并忽略服務(wù)器SYN/ACK響應(yīng)，導(dǎo)致服務(wù)器消耗可觀的資源用于維護大量未完成的TCP半連接，最終使合法的服務(wù)請求者無法得到正常響應(yīng)。2024/10/2網(wǎng)絡(luò)攻防技術(shù)18二、洪泛攻擊2、UDP洪泛（UDPFlood）是一種通過發(fā)送大量的UDP報文，消耗目標(biāo)服務(wù)器帶寬資源的一種拒絕服務(wù)攻擊。2024/10/2網(wǎng)絡(luò)攻防技術(shù)19二、洪泛攻擊UDP洪泛是一類拒絕服務(wù)攻擊的統(tǒng)稱，最早出現(xiàn)的UDP洪泛攻擊是前文提到的Echo/Chargen攻擊，后文將討論的目前廣泛流行的反射型分布式拒絕服務(wù)攻擊實際上也多為UDP洪泛攻擊。2024/10/2網(wǎng)絡(luò)攻防技術(shù)20二、洪泛攻擊3、HTTP洪泛（HTTPFlood）利用大量看似合法的HTTPGET或POST請求消耗Web服務(wù)器資源，最終導(dǎo)致其無法響應(yīng)真正合法的請求。2024/10/2網(wǎng)絡(luò)攻防技術(shù)21二、洪泛攻擊HTTP洪泛并不以流量“取勝”。攻擊者通常會對針對性地對目標(biāo)Web服務(wù)器進行分析，選擇可以更多消耗目標(biāo)服務(wù)器資源的Web請求實施洪泛。2024/10/2網(wǎng)絡(luò)攻防技術(shù)22三、低速率拒絕服務(wù)攻擊低速率拒絕服務(wù)（LDoS,Low-rateDenial-of-Service）攻擊，是利用網(wǎng)絡(luò)協(xié)議或應(yīng)用服務(wù)協(xié)議中的自適應(yīng)機制存在的安全問題，通過周期性地發(fā)送高速脈沖攻擊數(shù)據(jù)包，達到降低被攻擊主機服務(wù)性能的目的。2024/10/2網(wǎng)絡(luò)攻防技術(shù)23三、低速率拒絕服務(wù)攻擊1、TCP擁塞控制-RTO發(fā)送端為發(fā)送的每個報文設(shè)置一個定時器，若收到報文的確認(rèn)之前定時器超時將重新發(fā)送該報文，這里設(shè)置的定時器就是RTO2024/10/2網(wǎng)絡(luò)攻防技術(shù)24三、低速率拒絕服務(wù)攻擊1、TCP擁塞控制-AIMD發(fā)送端在收到3個重復(fù)的ACK數(shù)據(jù)包時就開啟重傳，啟動AIMD算法調(diào)整擁塞窗口大小。2024/10/2網(wǎng)絡(luò)攻防技術(shù)25三、低速率拒絕服務(wù)攻擊2024/10/2網(wǎng)絡(luò)攻防技術(shù)26在多數(shù)TCP協(xié)議實現(xiàn)中，擁塞控制綜合使用多種機制來調(diào)整源端的發(fā)送速率在鏈路輕度擁塞的情況下，表現(xiàn)為發(fā)送端重復(fù)收到3個相同的確認(rèn)報文，主要是采用AIMD策略實現(xiàn)擁塞控制而當(dāng)網(wǎng)絡(luò)重度擁塞的時候，表現(xiàn)為在超時重傳時間內(nèi)沒有收到確認(rèn)，此時使用RTO機制三、低速率拒絕服務(wù)攻擊2、低速率拒絕服務(wù)攻擊原理

LDoS攻擊利用TCP擁塞控制機制，故意制造網(wǎng)絡(luò)擁塞狀況，使擁塞控制一直處于調(diào)整狀態(tài)，發(fā)送端的發(fā)送速率會迅速變小，導(dǎo)致被攻擊主機的服務(wù)性能顯著降低2024/10/2網(wǎng)絡(luò)攻防技術(shù)272024/10/2網(wǎng)絡(luò)攻防技術(shù)28本章主要內(nèi)容8.1

概述8.2

典型拒絕服務(wù)攻擊8.3

分布式拒絕服務(wù)攻擊8.4

拒絕服務(wù)攻擊防御分布式拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊指采用協(xié)作的方式，利用網(wǎng)絡(luò)中位置分布的大量主機向目標(biāo)發(fā)起的拒絕服務(wù)攻擊。按照協(xié)同方式的不同分為：僵尸網(wǎng)絡(luò)的分布式拒絕服務(wù)攻擊反射型分布式拒絕服務(wù)攻擊2024/10/2網(wǎng)絡(luò)攻防技術(shù)29一、基于僵尸網(wǎng)絡(luò)的DDoS1、僵尸網(wǎng)絡(luò)基本概念僵尸網(wǎng)絡(luò)：是攻擊者出于惡意目的，傳播僵尸程序控制大量主機，并通過一對多的命令與控制信道所組成的網(wǎng)絡(luò)。僵尸主機：又稱為傀儡機，指被攻擊者控制，接受并執(zhí)行攻擊者指令的計算機，往往被控制者用來發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，也就是安裝了僵尸程序的計算機。2024/10/2網(wǎng)絡(luò)攻防技術(shù)30一、基于僵尸網(wǎng)絡(luò)的DDoS1、僵尸網(wǎng)絡(luò)基本概念僵尸程序：又稱為傀儡程序，由英文單詞Robot派生而來，通常指秘密運行在被他人控制的計算機中，可以接收預(yù)定義命令和執(zhí)行預(yù)定義功能的程序。命令控制機制：指攻擊者用來操縱僵尸網(wǎng)絡(luò)的命令語言及控制協(xié)議。命令控制機制是僵尸網(wǎng)絡(luò)區(qū)別于其它惡意代碼形態(tài)最為本質(zhì)的屬性。2024/10/2網(wǎng)絡(luò)攻防技術(shù)31一、基于僵尸網(wǎng)絡(luò)的DDoS2、集中式命令控制機制僵尸節(jié)點通過連接到一個或多個控制服務(wù)器來獲取控制信息或命令?；贗RC協(xié)議的僵尸網(wǎng)絡(luò)和基于HTTP協(xié)議的僵尸網(wǎng)絡(luò)都屬于集中式命令控制機制的僵尸網(wǎng)絡(luò)。2024/10/2網(wǎng)絡(luò)攻防技術(shù)32一、基于僵尸網(wǎng)絡(luò)的DDoS3、分布式命令控制機制在使用分布式命令控制機制時，攻擊者通常會任意地連接到某個僵尸節(jié)點，在該節(jié)點上發(fā)布命令控制信息，命令會采用Push或Pull的方式在整個僵尸網(wǎng)絡(luò)中傳遞。2024/10/2網(wǎng)絡(luò)攻防技術(shù)33一、基于僵尸網(wǎng)絡(luò)的DDoS4、利用僵尸網(wǎng)絡(luò)發(fā)動拒絕服務(wù)攻擊2024/10/2網(wǎng)絡(luò)攻防技術(shù)34一、基于僵尸網(wǎng)絡(luò)的DDoS4、利用僵尸網(wǎng)絡(luò)發(fā)動拒絕服務(wù)攻擊攻擊者借助僵尸網(wǎng)絡(luò)發(fā)動DDoS攻擊通常需要經(jīng)過以下幾個階段：構(gòu)建僵尸網(wǎng)絡(luò)收集目標(biāo)信息實施DDoS攻擊2024/10/2網(wǎng)絡(luò)攻防技術(shù)35二、反射型DDoS反射型分布式拒絕服務(wù)攻擊是從基于僵尸網(wǎng)絡(luò)的分布式拒絕服務(wù)攻擊衍生而來。在RDDoS攻擊中，攻擊者利用反射器將大量的響應(yīng)包匯集到受害者主機，導(dǎo)致拒絕服務(wù)。2024/10/2網(wǎng)絡(luò)攻防技術(shù)36二、反射型DDoS1、DNS反射攻擊通過向DNS服務(wù)器發(fā)送偽造源地址的查詢請求將應(yīng)答流量導(dǎo)向攻擊目標(biāo)，亦稱為DNS放大攻擊。利用LDAP服務(wù)器可將攻擊流量平均放大46倍，最高可放大55倍。2024/10/2網(wǎng)絡(luò)攻防技術(shù)37二、反射型DDoS2、LDAP放大攻擊通過向LDAP（LightweightDirectoryAccessProtocol，輕量目錄訪問協(xié)議）服務(wù)器發(fā)送偽造源地址的查詢請求來將應(yīng)答流量導(dǎo)向攻擊目標(biāo)。利用LDAP服務(wù)器可將攻擊流量平均放大46倍，最高可放大55倍。2024/10/2網(wǎng)絡(luò)攻防技術(shù)38二、反射型DDoS2、NTP放大攻擊通過向NTP（NetworkTimeProtocol，網(wǎng)絡(luò)時間協(xié)議）服務(wù)器發(fā)送偽造源地址的查詢請求將應(yīng)答流量導(dǎo)向攻擊目標(biāo)。2024/10/2網(wǎng)絡(luò)攻防技術(shù)392024/10/2網(wǎng)絡(luò)攻防技術(shù)40本章主要內(nèi)容8.1

概述8.2

典型拒絕服務(wù)攻擊8.3

分布式拒絕服務(wù)攻擊8.4

拒絕服務(wù)攻擊防御拒絕服務(wù)攻擊防御從部署位置的角度可以分為源端防御、目標(biāo)端防御、中間網(wǎng)絡(luò)防御和混合防御2024/10/2網(wǎng)絡(luò)攻防技術(shù)41拒絕服務(wù)攻擊防御從技術(shù)的角度，拒絕服務(wù)攻擊的防御可以分為預(yù)防、檢測、響應(yīng)與容忍：預(yù)防著眼于在攻擊發(fā)生前消除拒絕服務(wù)攻擊的可能性檢測是檢測拒絕服務(wù)攻擊的發(fā)生，區(qū)分攻擊流量和正常流量，為后續(xù)的響應(yīng)提供依據(jù)響應(yīng)關(guān)注于在拒絕服務(wù)攻擊發(fā)生后降低乃至消除攻擊的危害與影響容忍致力于在拒絕服務(wù)攻擊發(fā)生后保持服務(wù)的可用性2024/10/2網(wǎng)絡(luò)攻防技術(shù)42一、預(yù)防拒絕服務(wù)攻擊的預(yù)防是在攻擊發(fā)生前阻止攻擊，具體措施包括：抑制僵尸網(wǎng)絡(luò)規(guī)模過濾偽造源地址報文減少可用反射/放大器2024/10/2網(wǎng)絡(luò)攻防技術(shù)43二、檢測拒絕服務(wù)攻擊檢測是在攻擊過程發(fā)現(xiàn)攻擊，并區(qū)分攻擊流量與正常流量，具體方法包括：特征檢測：通過分析得到攻擊行為區(qū)別于其它正常用戶訪問行為的唯一特征，并據(jù)此建立已知攻擊的特征庫異常檢測：攻擊會導(dǎo)致當(dāng)前的網(wǎng)絡(luò)狀態(tài)與正常網(wǎng)絡(luò)狀態(tài)模型產(chǎn)生顯著的不同。異常檢測通過對比兩者檢測出攻擊的發(fā)生2024/10/2網(wǎng)絡(luò)攻防技術(shù)44三、響應(yīng)拒絕服務(wù)攻擊響應(yīng)是指在拒絕服務(wù)攻擊發(fā)生后降低乃至消除攻擊的危害與影響，目前的主要方法稱為：“流量清洗”：對攻擊流量進行過濾，設(shè)法將惡意的網(wǎng)絡(luò)流量剔除掉，只將合法的網(wǎng)絡(luò)流量交付服務(wù)器2024/10/2網(wǎng)絡(luò)攻防技術(shù)45四、容忍拒絕服務(wù)攻擊容忍是指通過提高處理請求的能力來消除攻擊的影響：CDN（內(nèi)容分發(fā)網(wǎng)絡(luò)）AnyCast（任播）2024/10/2網(wǎng)絡(luò)攻防技術(shù)46四、容忍1、CDN在互聯(lián)網(wǎng)范圍內(nèi)廣泛設(shè)置多