第四周 拒绝服务与数据库安全.ppt

第3章拒绝服务与数据库安全 掌握DoS攻击的原理掌握DoS攻击工具的基本使用和防护了解基于服务的漏洞和入侵方法掌握Telnet入侵的基本防护了解SQL数据库的安全技术和原理掌握基于SQL的入侵和防护 本章学习要点 3 1拒绝服务攻击概述 3 1 1DoS定义DoS DenialofService 拒绝服务 是指阻止或拒绝合法使用者存取网络服务器 造成DoS的攻击行为被称为DoS攻击 即将大量的非法申请封包传送给指定的目标主机 其目的是完全消耗目标主机资源 使计算机或网络无法提供正常的服务 拒绝服务攻击 DoS DoS DenialofService 现在一般指导致服务器不能正常提供服务的攻击 DoS攻击的事件 2000年2月份的Yahoo 亚马逊 CNN被DoS攻击 2002年10月全世界13台DNS服务器同时受到了DDoS 分布式拒绝服务 攻击 2003年1月25日的 2003蠕虫王 病毒 2004年8月 共同社报道 日本近期共有上百网站遭到黑客袭击 最常见的DoS攻击包括计算机网络带宽攻击和连通性攻击 带宽攻击是指以极大的通信量冲击网络 使得所有可用的网络资源都被消耗殆尽 最后导致合法的用户请求无法通过 连通性攻击是指用大量的连接请求冲击计算机 使得所有可用的操作系统资源都被消耗殆尽 最终计算机无法再处理合法用户的请求 是借助网络系统或协议的缺陷以及配置漏洞进行网络攻击 使网络拥塞 系统资源耗尽或系统应用死锁 妨碍目标主机和网络系统对正常用户服务请求的及时响应 造成服务的性能受损 甚至导致服务中断 DoS攻击的原理 是首先攻击者向服务器发送众多的带有虚假地址的请求 服务器发送回复信息后等待回传信息 由于地址是伪造的 所以服务器一直等不到回传的消息 分配给这次请求的资源就始终没有被释放 当服务器等待一定的时间后 连接会因超时而被切断 攻击者会再度传送一批新的请求 在这种反复发送伪地址请求的情况下 服务器资源最终会被耗尽 而导致服务中断 如图3 1所示 DoS攻击的基本过程 图3 1DoS攻击的基本过程 3 1 2拒绝服务攻击的分类 1 按攻击的对象分类拒绝服务攻击可以是 物理的 又称 硬件的 也可以是 逻辑的 又称 软件的 物理形式的攻击 如偷窃 破坏物理设备 破坏电源等 逻辑的攻击 如通过软件破坏网络 系统资源和服务 如邮件服务 DNS服务 CPU资源等 2 按攻击的目标分类 按攻击的目标拒绝服务攻击又可分为节点型和网络连接型 节点型 旨在消耗节点 主机Host 资源 节点型又可以进一步细分为主机型和应用型 主机型攻击 其目标主要是主机中的公共资源 如CPU 磁盘等 使得主机对所有的服务都不能响应 应用型攻击 其目标是网络中特定的应用 如邮件服务 DNS服务 Web服务等 受攻击时 受害者上的其他服务可能不受影响或者受影响的程度较小 与受攻击的服务相比而言 网络连接型 旨在消耗网络连接和带宽 3 按攻击方式分类 按照攻击方式拒绝服务攻击可以分为资源消耗 服务中止和物理破坏 资源消耗 指攻击者试图消耗目标的合法资源 如网络带宽 内存和磁盘空间 CPU使用率等 根据资源类型的不同 资源消耗可分为带宽耗尽和系统资源耗尽两类 带宽耗尽攻击 其本质是攻击者通过放大等技巧 消耗掉目标网络的所有可用带宽 系统资源耗尽攻击 指对系统内存 CPU或程序中的其他资源进行消耗 使其无法满足正常提供服务的需求 著名的SynFlood攻击即是通过向目标服务发送大量的数据包 造成服务的连接队列耗尽 无法再为其他正常的连接请求提供服务 服务中止 指攻击者利用服务中的某些缺陷导致服务崩溃或中止 物理破坏 指雷击 电流 水 火等以物理接触的方式导致的拒绝服务攻击 4 按受害者类型分类 按受害者类型拒绝服务攻击可以分为服务器端拒绝服务攻击和客户端拒绝服务攻击 服务器端拒绝服务攻击 指攻击的目标是特定的服务器 使之不能提供服务 或者不能向某些客户端提供某种服务 如攻击一个Web服务器使之不能访问 客户端拒绝服务攻击 针对特定的客户端 使之不能使用某种服务 如游戏 聊天室中的 踢人 也就是使某个特定的用户不能登录游戏系统或聊天室中 使之不能使用系统的服务 5 按攻击是否针对受害者分类直接和间接拒绝服务攻击6 按攻击地点分类本地攻击和远程攻击 Land原是一段C程序 其向受害者发送TCPSYN包 而这些包的源IP地址和目的IP地址被伪造成相同的 即受害者的IP地址 源端口和目的端口也是相同的 此将导致接受服务器向它自己的地址发送SYN ACK消息 结果这个地址又发回ACK消息并创建一个空连接 被攻击的服务器每接收一个这样的连接都将保留 直到超时 目标系统在收到这样的包以后可能会崩溃或者重启 3 1 3常见DoS攻击 1 Land程序攻击 G MarkHardy LAND攻击 IP包欺骗 源地址204 241 161 12Port139目的地址204 241 161 12Port139包被送回它自己 攻击者172 18 1 1 目标204 241 161 12 LAND攻击 Land攻击 防御有针对性地更改协议算法 打最新的相关的安全补丁 在防火墙上进行配置 将那些在外部接口上进入的含有内部源地址的包过滤掉 包括10域 127域 192 168域 172 16到172 31域 对剧毒包进行识别 如 由于Land攻击主要是构造IP包 使源IP和目标IP相同 源端口和目的端口相同 可以对此类包进行单独辨别 处理 2 SYNFlood攻击 攻击者向被攻击服务器发送一个包含SYN标志的TCP报文 SYN Synchronize 同步报文 会指明客户端使用的端口以及TCP连接的初始序号 这时同被攻击服务器建立了第1次握手 受害服务器在收到攻击者的SYN后 将返回一个SYN ACK的报文 表示攻击者的请求被接受 同时TCP序号被加1 ACK Acknowledgement 即确认 这样就同被攻击服务器建立了第2次握手 攻击者也返回一个确认报文ACK给受害服务器 同样TCP序列号被加1 到此一个TCP连接完成 第3次握手完成 攻击过程 SYNFlood原理 TCP连接的三次握手 SYNFlood原理 SynFlood攻击者不会完成三次握手 我没发过请求 SYNFlood SYN RECV状态半开连接队列遍历 消耗CPU和内存SYN ACK重试SYNTimeout 30秒 2分钟无暇理睬正常的连接请求 拒绝服务 SYN 我可以连接吗 ACK 可以 SYN 请确认 攻击者 受害者 伪造地址进行SYN请求 不能建立正常的连接 SYNFlood攻击原理 攻击表象 SYNFlood原理 假设一个客户向服务器发送了SYN报文段后突然掉线 那么服务器在发出SYN ACK应答报文后是无法收到客户端的ACK报文的 第三次握手无法完成 这种情况下服务器端一般会重试 再次发送SYN ACK给客户端 并等待一段时间后丢弃这个未完成的连接 这段时间的长度称为SYNTimeout 一般来说这个时间大约为30秒 2分钟 同时 对于每个连接 双方都要为这个连接分配必要的内存资源 用来存放所使用的协议 地址 端口 时钟以及初始序号等信息 这些内存资源大约占用280字节 SYNFlood原理 当一个服务器收到大量连续的SYN包时 就会为这些连接分配必要的内存资源 这些半连接将耗尽系统的内存资源和CPU时间 从而拒绝为合法的用户提供服务 此时从正常客户的角度看来 服务器失去响应 这种情况我们称做 服务器端受到了SYNFlood攻击 SYN洪水攻击 以windows为例SYN攻击 SYNFlood防护策略 优化系统配置缩短超时时间 使无效的半连接尽快释放 也可能导致某些合法连接失败 增加半连接队列长度 使系统能够处理更多的半连接 关闭不必要或不重要的服务 减少被攻击的机会 优化路由器配置丢弃那些来自内网而源地址具有外网IP地址的包 加强监测在网络的关键点上安装监测软件 持续监视TCP IP流量 分析通信状态 辨别攻击行为 SYNFlood防护策略 防火墙有些防火墙具有SYNProxy功能 这种方法设置每秒通过指定对象 目标地址和端口 仅目标地址或仅源地址 的SYN片段数的阈值 当来自相同源地址或发往相同目标地址的SYN片段数达到这些阈值之一时 防火墙就开始截取连接请求和代理回复SYN ACK片段 并将不完全的连接请求存储到连接队列中直到连接完成或请求超时 当防火墙中代理连接的队列被填满时 防火墙拒绝来自相同区域中所有地址的新SYN片段 避免网络主机遭受不完整的三次握手的攻击 这种方法在攻击流量较大的时候 连接出现较大的延迟 网络的负载较高 很多情况下反而成为整个网络的瓶颈 这种攻击利用RST Resettheconnection 位来实现 假设现在有一个合法用户 61 61 61 61 已经同服务器建立了正常的连接 攻击者构造攻击的TCP数据 伪装自己的IP为61 61 61 61 并向服务器发送一个带有RST位的TCP数据段 服务器接收到这样的数据后 认为从61 61 61 61发送的连接有错误 就会清空缓冲区中建立好的连接 这时 如果合法用户61 61 61 61再发送合法数据 服务器就已经没有这样的连接了 该用户就必须从新开始建立连接 攻击时 攻击者会伪造大量的IP地址 向目标发送RST数据 使服务器不对合法用户服务 从而实现了对受害服务器的拒绝服务攻击 3 IP欺骗DoS攻击 4 Smurf攻击 这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统 引起目标系统拒绝为正常系统进行服务 Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求 ping 数据包 来淹没受害主机 最终导致该网络的所有主机都对此ICMP应答请求做出答复 导致网络阻塞 更加复杂的Smurf将源地址改为第三方的受害者 最终导致第三方崩溃 第一步 攻击者向被利用网络A的广播地址发送一个ICMP协议的 echo 请求数据报 该数据报源地址被伪造成10 254 8 9 第二步 网络A上的所有主机都向该伪造的源地址返回一个 echo 响应 造成该主机服务中断 Smuff攻击 Smurf攻击 攻击通常分为以下五步 黑客锁定一个被攻击的主机 通常是一些Web服务器 黑客寻找中间代理 路由器 用来对攻击实施放大 黑客给中间代理站点的广播地址发送大量的ICMP包 主要是指Ping命令的ECHO包 这些数据包全都以被攻击的主机的IP地址做为IP包的源地址 中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包 中间代理子网主机对被攻击的网络进行响应 分析和对抗 首先 防止让你的网络里的人发起这样的攻击 在Smurf攻击中 大量源欺骗的IP数据包离开了第一个网络 通过在路由器上使用输出过滤 滤掉这样的包 从而阻止从你的网络中发起的Smurf攻击 其次 防止你的网络做为中间代理 如果没有必须要向外发送广播数据包的情况 就可以在路由器的每个接口上设置禁止直接广播 配置主机的操作系统 使其不响应ICMP广播包 5 PingofDeath 发送长度超过65535字节的ICMPEchoRequest数据包导致目标机TCP IP协议栈崩溃 系统死机或重启现有的操作系统基本上都能正确处理这种异常数据包 不会出现问题 6 Teardrop攻击 发送特别构造的IP数据包导致目标机TCP IP协议栈崩溃 系统死锁现有的操作系统基本上都能正确处理这种异常数据包 不会出现问题 7 WinNuke攻击 发送特别构造的TCP包 使得Windows机器蓝屏 3 1 4分布式拒绝服务 分布式拒绝服务 DistributedDenialofService DDoS 是一种基于DoS的特殊形式的拒绝服务攻击 是一种分布 协作的大规模攻击方式 主要瞄准比较大的站点 像商业公司 搜索引擎或政府部门的站点 分布式拒绝服务如图3 2所示 DoS攻击只要一台单机和一个Modem就可实现 与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击 这样来势迅猛的攻击令人难以防备 因此具有较大的破坏性 图3 2分布式拒绝服务 Internet DDoS攻击原理图 HACKER Create 感染 潜伏 扩散 攻击破坏 拒绝服务 利用系统后门感染 DDOS DDOS DDOS DDOS DDOS DDOS DDOS Activate100 300or600threadstoattackrandomIPaddressservers DDoS攻击过程 扫描程序 非安全主机 黑客 Internet Wu ftpd RPCservice 黑客 Zombies 黑客在非安全主机上安装类似 后门 的代理程序 2 DDoSAttackIllustrated Internet 黑客 黑客选择主控主机 用来向 僵尸 发送命令 3 Zombies 主控主机 Internet DDoSAttackIllustrated Hacker 通过客户端程序 黑客发送命令给主控端 并通过主控主机启动 僵尸 程序对目标系统发动攻击 4 Zombies TargetedSystem MasterServer Internet DDoSAttackIllustrated 目标系统System Hacker 主控端向 僵尸 发送攻击信号 对目标发动攻击 5 MasterServer Internet Zombies DDoSAttackIllustrated 目标 黑客 目标主机被 淹没 无法提供正常服务 甚至系统崩溃 6 主控主机 合法用户 Internet 僵尸 DDoSAttackIllustrated DDoS攻击分为3层 攻击者 主控端和代理端 三者在攻击中扮演着不同的角色 攻击者主控端代理端 1 TrinooTrinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包 在处理这些超出其处理能力的垃圾数据包的过程中 被攻击主机的网络性能不断下降 直到不能提供正常服务 乃至崩溃 它对IP地址不进行修改 采用的通信端口如下 攻击者主机到主控端主机 27665 TCP 主控端主机到代理端主机 27444 UDP 代理端主机到主服务器主机 31335 UDP 常见的DDoS工具 2 TFN TFN由主控端程序和代理端程序两部分组成 它主要采取的攻击方法为SYN风暴 Ping风暴 UDP炸弹和SMURF 具有伪造数据包的能力 3 TFN2K TFN2K是由TFN发展而来的 在TFN所具有的特性上 TFN2K又新增一些特性 它的主控端和代理端的网络通信是经过加密的 中间还可能混杂了许多虚假数据包 而TFN对ICMP的通信没有加密 4 Stacheldraht 检测DDoS攻击的主要方法有以下几种 根据异常情况分析使用DDoS检测工具 3 1 5拒绝服务攻击的防护 通常建议用户可以采取以下手段来保障网络能够抵御拒绝服务攻击 增加网络核心设备的冗余性 提高对网络流量的处理能力和负载均衡能力 通过路由器配置访问列表 过滤掉非法流量 部署防火墙 提高网络抵御网络攻击的能力 部署入侵检测设备 提高对不断更新的DoS攻击的识别和控制能力 3 2SQL数据库安全 3 2 1数据库系统概述3 2 2SQL服务器的发展 3 2 3数据库技术的基本概念 数据 Data 数据库 DB 数据库管理系统 DBMS 数据库系统 DBS 数据库技术 数据模型 3 2 4SQL安全原理 1 第一级安全层次为方便服务器管理 每个SQLServer有多个内置的服务器角色 允许系统管理员给可信的实体授予一些功能 而不必使他们成为完全的管理员 服务器中的一些角色如表3 1所示 表3 1服务器角色及其主要功能 2 第二级安全层次3 第三级安全层次 1 用户定义的角色 2 固定数据库角色 表3 2数据库角色及其主要功能 3 3SQLServer攻击的防护 微软的SQLServer是一种广泛使用的数据库 很多电子商务网站 企业内部信息化平台等都是基于SQLServer的 但是数据库的安全性还没有和系统的安全性等同起来 多数管理员认为只要把网络和操作系统的安全做好了 那么所有的应用程序也就安全了 3 3 1信息资源的收集 在讨论如何防守攻击者之前 必须要了解攻击者如何查找和渗透SQLServer或基于SQLServer的应用程序 攻击者可能有许多原因来选择潜在的目标 包括报复 利益或恶意 永远不要假定自己的服务器 飞 得太低 以至于不能显示在别人的雷达屏幕上 许多攻击者只是因为高兴而扫描IP范围 假定自己的ISP或内部网络被这些人骚扰了 那就要做最坏的打算 现在评估SQLServer被发现的方法 可以通过网络 也可以通过企业内部 攻击者无论是把某些IP范围作为目标 还是随机扫描 他们发现SQLServer所使用的工具都是一样的 3 3