拒绝服务及防范技术.ppt

拒绝服务攻击及防范技术 DoS概述案例 定义 特点 分类DoS攻击技术DoS攻击防范 案例 政府网站美国白宫的网站曾经遭受拒绝服务攻击分布式拒绝服务2000年2月发生的一次对某些高利润站点Yahoo eBay等的拒绝服务攻击 持续了近两天 使这些公司遭受了很大的损失 信息安全的基本属性 保密性完整性防抵赖可用性 availability 可控性DoS是针对可用性发起的攻击 DoS的定义 DoS DenialofService攻击网络协议实现的缺陷或通过各种手段耗尽被攻击对象的资源 以使得被攻击计算机或网络无法提供正常的服务或者资源 合法用户的请求得不到及时的响应 DoS攻击的特点 资源稀缺性软件复杂性 6个 KLOC 6 30 难确认 隐蔽性好 主观角度 难防范 缺乏模型有些DoS可以通过管理的手段防止 受挫折 无法攻入目标系统 最后一招 DOS DoS类型 发送一些非法数据包使系统死机或重起 造成系统或网络瘫痪向系统发送大量信息 使系统或网络不能响应 DoS攻击技术分类 1 利用协议中的漏洞SYN Flood攻击利用软件实现的缺陷teardrop攻击 land攻击发送大量无用突发数据攻击耗尽资源ICMPflood攻击 Connectionflood攻击欺骗型攻击IPSpoofingDoS攻击 DoS攻击技术分类 2 利用TCP IP协议进行的TCPDoS攻击SYNflood攻击Land攻击Teardrop攻击利用UDP服务进行的UDPDoS攻击UDPFloodDoS攻击利用ICMP协议进行的ICMPDoS攻击PingofDeath攻击Smurf攻击 发展历史 早期的Internet蠕虫病毒 消耗网络资源分片装配 非法的TCP标志 SYNFlood等 利用系统实现上的缺陷 点对点形式PingofDeath IP分片重叠 分布式DoS DDoS 攻击smurf攻击 一些典型的DoS攻击 PingofDeath 发送异常的 长度超过IP包的最大值 Teardrop IP包的分片装配 UDPFlood Land 程序发送一个TCPSYN包 源地址与目的地址相同 源端口与目的端口相同 从而产生DoS攻击 SYNFlood 快速发送多个SYN包 Smurf 给广播地址发送ICMPEcho包 造成网络阻塞 PingofDeath 原理 直接利用ping包 即ICMPEcho包 有些系统在收到大量比最大包还要长的数据包 会挂起或者死机 受影响的系统 许多操作系统受影响 攻击做法直接利用ping工具 发送超大的ping数据包 防止措施打补丁 现在所有的标准TCP IP实现都已实现对付超大尺寸的包 并且大多数防火墙能够自动过滤这些攻击 包括 从windows98之后的windows NT servicepack3之后 linux Solaris 和MacOS都具有抵抗一般pingofdeath攻击的能力 防火墙阻止这样的ping包 TCP IP允许数据包的最大容量为65536C ping162 105 30 200Pinging162 105 30 200with32bytesofdata Replyfrom162 105 30 200 bytes 32time 10msTTL 255Replyfrom162 105 30 200 bytes 32timeping l65570162 105 30 200Badvalueforoption l validrangeisfrom0to65500 IP碎片 IP碎片攻击利用那些在TCP IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击 IP分段含有指示该分段所包含的是原包的哪一段的信息 某些TCP IP 包括servicepack4以前的NT 在收到含有重叠偏移的伪造分段时将崩溃 常见的IP碎片程序有jolt2 teardrop newtear syndrop boink等 防御措施 主要是服务器应用最新的服务包 或者在设置防火墙时对分段进行重组 而不是转发它们 Teardrop 原理 利用IP包的分片装配过程中 由于分片重叠 计算过程出现长度为负值 在执行memcpy的时候导致系统崩溃 受影响的系统 Linux WindowsNT 95 97年发现 攻击特征攻击非常简单 发送一些IP分片异常的数据包 防止措施加入条件判断 对这种异常的包特殊处理打补丁 UDPflood 原理 各种各样的假冒攻击利用简单的TCP IP服务 如chargen和Echo来传送毫无用处的占满带宽的数据 通过伪造与某一主机的chargen服务之间的一次的UDP连接 回复地址指向开着Echo服务的一台主机 这样就生成在两台主机之间的足够多的无用数据流 如果足够多的数据流就会导致带宽耗尽的服务攻击 对策 关掉不必要的TCP IP服务 或者对防火墙进行配置阻断来自Internet的对这些服务的UDP请求都可以防范UDPflood攻击 SYNFlood 原理 利用TCP连接三次握手过程 打开大量的半开TCP连接 使得目标机器不能进一步接受TCP连接 每个机器都需要为这种半开连接分配一定的资源 并且 这种半开连接的数量是有限制的 达到最大数量时 机器就不再接受进来的连接请求 受影响的系统 大多数操作系统 攻击细节 连接请求是正常的 但是 源IP地址往往是伪造的 并且是一台不可达的机器的IP地址 否则 被伪造地址的机器会重置这些半开连接 一般 半开连接超时之后 会自动被清除 所以 攻击者的系统发出SYN包的速度要比目标机器清除半开连接的速度要快 任何连接到Internet上并提供基于TCP的网络服务 都有可能成为攻击的目标 这样的攻击很难跟踪 因为源地址往往不可信 而且不在线 SYNFlood 攻击特征目标主机的网络上出现大量的SYN包 而没有相应的应答包SYN包的源地址可能是伪造的 甚至无规律可循 防止措施针对网络 防火墙或者路由器可以在给定时间内只允许有限数量的半开连接 入侵检测 可以发现这样的DoS攻击行为打补丁 Linux和Solaris使用了一种被称为SYNcookie的技术来解决SYNFlood攻击 在半开连接队列之外另设置了一套机制 使得合法连接得以正常继续 Smurf 原理 向广播地址发送伪造地址的ICMPEcho数据包 攻击者向一个广播地址发送ICMPEcho请求 并且用受害者的IP地址作为源地址 于是 广播地址网络上的每台机器响应这些Echo请求 同时向受害者主机发送ICMPEcho Reply应答 于是 受害者主机会被这些大量的应答包淹没 受影响的系统 大多数操作系统和路由器 变种 fraggle 使用UDP包 或称为udpsmurf比如 7号端口 echo 如果目标机器的端口开着 则送回应答 否则 产生ICM端口不可达消息 技术细节两个主要的特点 使用伪造的数据包 使用广播地址 不仅被伪造地址的机器受害 目标网络本身也是受害者 它们要发送大量的应答数据包 Smurf Smurf 攻击特征 涉及到三方 攻击者 中间目标网络 受害者 以较小的网络带宽资源 通过放大作用 吃掉较大带宽的受害者系统 Smurf放大器 Smurf放大器网络 不仅允许ICMPEcho请求发给网络的广播地址 并且允许ICMPEcho Reply发送回去 这样的公司越多 对Internet的危害就越大 实施Smurf攻击 需要长期的准备 首先找到足够多的中间网络 集中向这些中间网络发出ICMPEcho包 Smurf攻击的防止措施 针对最终受害者 没有直接的方法可以阻止自己接收ICMPEchoReply消息 在路由器上阻止这样的应答消息 但结果是路由器本身遭受了DoS攻击 与中间目标网络联系 针对中间网络 关闭外来的IP广播消息 但是 如果攻击者从内部机器发起攻击 仍然不能阻止smurf攻击 配置操作系统 对于广播地址的ICMP包不响应 在每个路由节点上都记录log 以备查 流量大的路由节点上能够记录所有的流量吗 Land 原理 这是一种比较老的攻击 目前大部分操作系统都能避免 在Land攻击中 构造一个特别的SYN包 它的原地址和目标地址都被设置成某一个服务器地址 此举将导致接受服务器向它自己的地址发送SYN ACK消息 结果这个地址又发回ACK消息并创建一个空连接 每一个这样的连接都将保留直到超时掉 对Land攻击反应同许多UNIX实现将崩溃 NT变得极其缓慢 大约持续五分钟 对策 打最新的补丁 或者在防火墙进行配置 将那些在外部接口上入站的含有内部源地址滤掉 包括10域 127域 192 168域 172 16到172 31域 都比较有效的防范Land攻击 电子邮件炸弹 原理 电子邮件炸弹是最古老的匿名攻击之一 通过设置一台机器不断大量地向同一地址发送电子邮件 攻击者能够耗尽接受者网络的带宽 对策 对付这种攻击最简单的方法就是对邮件地址进行配置 自动删除来自同一主机的过量或重复的消息 DDOS 分布式拒绝服务 DistributedDenialofServiceattack 传统的拒绝服务是一台机器向受害者发起攻击 DDOS不是仅仅一台机器而是多台主机合作 同时向一个目标发起攻击 DDOS 攻击者 攻击者所用的计算机是攻击主控台 可以是网络上的任何一台主机 甚至可以是一个活动的便携机 攻击者操纵整个攻击过程 它向主控端发送攻击命令 主控端 主控端是攻击者非法侵入并控制的一些主机 这些主机还分别控制大量的客户主机 主控端主机的上面安装了特定的程序 因此它们可以接受攻击者发来的特殊指令 并且可以把这些命令发送到代理主机上 代理端 代理端同样也是攻击者侵入并控制的一批主机 它们上面运行攻击器程序 接受和运行主控端发来的命令 代理端主机是攻击的执行者 真正向受害者主机发送攻击 DDOS的攻击过程 1 攻击者寻找在Internet上有漏洞的主机 进入系统后在其上面安装后门程序 攻击者入侵的主机越多 他的攻击队伍就越壮大 2 攻击者在入侵主机上安装攻击程序 其中一部分主机充当攻击的主控端 一部分主机充当攻击的代理端 3 最后各部分主机各司其职 在攻击者的调遣下对攻击对象发起攻击 由于攻击者在幕后操纵 所以在攻击时不会受到监控系统的跟踪 身份不容易被发现 常用工具 a TFN TribeFloodNetwork 和TFN2Kb TrinooC Stacheldraht TFN TribeFloodNetwork 和TFN2K TFN是由著名黑客Mixter编写的 是第一个公开的UnixDDoS工具 由主控端程序和客户端程序两部分组成 它主要采取的攻击方法为 SYNFlood Pingofdeath UDPFlood和SMURF 还允许将一个rootshell和TCP端口绑定 TFN2K是由TFN发展而来的 在TFN所具有的特性上 TFN2K又新增一些特性 它的主控端和客户端的网络通讯使用基于64位编码的弱加密方式 可以在不同的攻击方式之间随机切换 Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包 在处理这些超出其处理能力的垃圾数据包的过程中 被攻击主机的网络性能不断下降 直到不能提供正常服务 乃至崩溃 它对IP地址不做假 Stacheldraht也是从TFN派生出来的 因此它具有TFN的特性 此外它增加了主控端与代理端的加密通讯能力 它对命令源作假 可以防范一些路由器的RFC2267过滤 Stacheldrah中有一