1、拒絕服務攻擊及防御信息安全系列培訓之三1大綱拒絕服務攻擊原理典型的拒絕服務攻擊DoS工具與傀儡網絡蠕蟲攻擊及其對策拒絕服務攻擊防御拒絕服務攻擊檢測2拒絕服務攻擊原理3什么是拒絕服務攻擊DoS (Denial of Service)攻擊其中文含義是拒絕服務攻擊，這種攻擊行動使網站服務器充斥大量要求回復的信息，消耗網絡帶寬或系統資源，導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。黑客不正當地采用標準協議或連接方法，向攻擊的服務發出大量的訊息，占用及超越受攻擊服務器所能處理的能力，使它當(Down)機或不能正常地為用戶服務。4屬性分類法攻擊靜態屬性（Static）攻擊控制模式攻擊通信模式

2、攻擊技術原理攻擊協議和攻擊協議層攻擊動態屬性（Dynamic）攻擊源地址類型攻擊包數據生成模式攻擊目標類型交互屬性（Mutual）攻擊的可檢測程度攻擊影響5攻擊靜態屬性（1）攻擊控制方式（ControlMode）攻擊控制方式直接關系到攻擊源的隱蔽程度。根據攻擊者控制攻擊機的方式可以分為以下三個等級：直接控制方式（Direct）、間接控制方式（Indirect）和自動控制方式（Auto）。（2）攻擊通信方式（CommMode）在間接控制的攻擊中，控制者和攻擊機之間可以使用多種通信方式，它們之間使用的通信方式也是影響追蹤難度的重要因素之一。攻擊通信方式可以分為三種方式，分別是：雙向通信方式（bi）

3、、單向通信方式（mono）和間接通信方式（indirection）。6攻擊靜態屬性3）攻擊原理（Principle）DoS攻擊原理主要分為兩種，分別是：語義攻擊（Semantic）和暴力攻擊（Brute）。語義攻擊指的是利用目標系統實現時的缺陷和漏洞，對目標主機進行的拒絕服務攻擊，這種攻擊往往不需要攻擊者具有很高的攻擊帶寬，有時只需要發送1個數據包就可以達到攻擊目的，對這種攻擊的防范只需要修補系統中存在的缺陷即可。暴力攻擊指的是不需要目標系統存在漏洞或缺陷，而是僅僅靠發送超過目標系統服務能力的服務請求數量來達到攻擊的目的，也就是通常所說的風暴攻擊。7攻擊靜態屬性（4）攻擊協議層（ProLaye

4、r）攻擊所在的TCP/IP協議層可以分為以下四類：數據鏈路層、網絡層、傳輸層和應用層。數據鏈路層的拒絕服務攻擊受協議本身限制，只能發生在局域網內部，這種類型的攻擊比較少見。針對IP層的攻擊主要是針對目標系統處理IP包時所出現的漏洞進行的，如IP碎片攻擊Anderson01，針對傳輸層的攻擊在實際中出現較多，SYN風暴、ACK風暴等都是這類攻擊，面向應用層的攻擊也較多，劇毒包攻擊中很多利用應用程序漏洞的（例如緩沖區溢出的攻擊）都屬于此類型。（5）攻擊協議（ProName）攻擊所涉及的最高層的具體協議，如SMTP、ICMP、UDP、HTTP等。攻擊所涉及的協議層越高，則受害者對攻擊包進行分析所需消

5、耗的計算資源就越大。8攻擊動態屬性（Dynamic）（1）攻擊源地址類型（SourceIP）攻擊者在攻擊包中使用的源地址類型可以分為三種：真實地址（True）偽造合法地址（Forge Legal）偽造非法地址（Forge Illegal）（2）攻擊包數據生成模式（DataMode）攻擊包中包含的數據信息模式主要有5種：不需要生成數據（None）統一生成模式（Unique）隨機生成模式（Random）字典模式（Dictionary）生成函數模式（Function）9攻擊動態屬性（Dynamic）（3）攻擊目標類型（Target）攻擊目標類型可以分為以下6類：應用程序（Application）系統

6、（System）網絡關鍵資源（Critical）網絡（Network）網絡基礎設施（Infrastructure）因特網（Internet）10交互屬性（Mutual）（1）可檢測程度（Detective）根據能否對攻擊數據包進行檢測和過濾，受害者對攻擊數據的檢測能力從低到高分為以下三個等級：可過濾（Filterable）有特征但無法過濾（Unfilterable）無法識別（Noncharacterizable）（2）攻擊影響（Impact）根據攻擊對目標造成的破壞程度，攻擊影響自低向高可以分為：無效（None）服務降低（Degrade）可自恢復的服務破壞（Self-recoverable）可

7、人工恢復的服務破壞（Manu-recoverable）不可恢復的服務破壞（Non-recoverable）11舞廳分類法12舞廳分類法主干節點1-2舞伴類節點3-7風暴類節點8-16陷阱類節點18-22介入類節點23-3713DDOS攻擊的典型過程信息收集占領傀儡機攻擊實施獲取目標信息信息收集WhoisNslookup網上公開信息搜索引擎網絡刺探Tracerouter網絡掃描漏洞掃描14DDOS攻擊的典型過程占領傀儡機實施攻擊信息收集占領傀儡機攻擊實施15拒絕服務攻擊原理16典型的拒絕服務攻擊17劇毒包型DoS攻擊WinNuke攻擊碎片（Teardrop）攻擊Land攻擊Ping of dea

8、th攻擊18WinNuke攻擊攻擊特征：WinNuke攻擊又稱帶外傳輸攻擊，它的特征是攻擊目標端口，被攻擊的目標端口通常是139、138、137、113、53，而且URG位設為“1”，即緊急模式。檢測方法：判斷數據包目標端口是否為139、138、137等，并判斷URG位是否為“1”。反攻擊方法：適當配置防火墻設備或過濾路由器就可以防止這種攻擊手段（丟棄該數據包），并對這種攻擊進行審計（記錄事件發生的時間，源主機和目標主機的MAC地址和IP地址MAC）。19碎片(Teardrop)攻擊攻擊特征：Teardrop是基于UDP的病態分片數據包的攻擊方法，其工作原理是向被攻擊者發送多個分片的IP包（I

9、P分片數據包中包括該分片數據包屬于哪個數據包以及在數據包中的位置等信息），某些操作系統收到含有重疊偏移的偽造分片數據包時將會出現系統崩潰、重啟等現象。檢測方法：對接收到的分片數據包進行分析，計算數據包的片偏移量（Offset）是否有誤。反攻擊方法：添加系統補丁程序，丟棄收到的病態分片數據包并對這種攻擊進行審計。20Land攻擊攻擊特征：用于Land攻擊的數據包中的源地址和目標地址是相同的，因為當操作系統接收到這類數據包時，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或者循環發送和接收該數據包，消耗大量的系統資源，從而有可能造成系統崩潰或死機等現象。檢測方法：判斷網絡數據包的源地址

10、和目標地址是否相同。反攻擊方法：適當配置防火墻設備或過濾路由器的過濾規則就可以防止這種攻擊行為（一般是丟棄該數據包），并對這種攻擊進行審計（記錄事件發生的時間，源主機和目標主機的MAC地址和IP地址）。21Ping of death攻擊攻擊特征：該攻擊數據包大于65535個字節。由于部分操作系統接收到長度大于65535字節的數據包時，就會造成內存溢出、系統崩潰、重啟、內核失敗等后果，從而達到攻擊的目的。檢測方法：判斷數據包的大小是否大于65535個字節。反攻擊方法：使用新的補丁程序，當收到大于65535個字節的數據包時，丟棄該數據包，并進行系統審計。22風暴型DoS攻擊直接風暴型攻擊Ping風

11、暴攻擊SYN風暴攻擊TCP連接耗盡攻擊UDP風暴攻擊對郵件系統的拒絕服務攻擊HTTP風暴攻擊反射攻擊一般意義的反射攻擊放大式反射攻擊23直接風暴攻擊Ping風暴攻擊單純向受害者發送大量ICMP回應請求消息SYN風暴攻擊TCP連接耗盡攻擊UDP風暴攻擊占用網絡帶寬對郵件系統的拒絕服務攻擊郵件炸彈垃圾郵件HTTP風暴攻擊24反射攻擊一般意義的反射攻擊攻擊者利用了反射器會響應一個消息的要求而自行產生一個回應消息的特征或能力凡是支持“自動消息生成”的協議,包括TCP、UDP、各種ICMP消息，應用協議等，都可能被用于反射攻擊與其它的分布式拒絕服務攻擊不同，分布式反射攻擊不依賴于系統漏洞，任何系統都可能

12、成為反射攻擊的“幫兇”SYN-ACK消息或者RST消息是攻擊者常利用的消息類型當使用SYN-ACK進行攻擊時，反射器就像SYN風暴攻擊的受害者。25反射攻擊26放大式放大攻擊Smurf攻擊通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求(ping)數據包，來淹沒受害主機，最終導致該網絡的所有主機都對此ICMP應答請求做出答復，導致網絡阻塞。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方崩潰。27放大式攻擊Fraggle攻擊Fraggle攻擊對Smurf攻擊作了簡單的修改，使用的是UDP應答消息而非ICMP。防御：在防火墻上過濾掉UDP應答消息。以CISCO的ASA為

13、例class-map fraggle -定義端口號和協議號match port udp eq echopolicy-map fraggle -策略匹配,設置最大連接數為1class fraggleset connection conn-max 1service-policy fraggle interface inside -在接口上應用28放大攻擊Fraggle攻擊29DoS工具與傀儡網絡30DoS工具分析TrinooTFNStacheldrahtShaftTFN2K31傀儡網絡什么是傀儡網絡傀儡網絡的危害傀儡網絡工作原理傀儡網絡攻擊實現32什么是傀儡網絡BotNet，也稱僵尸網絡，指攻擊者

14、利用互聯網用戶的計算機建立的可以集中控制的用于其險惡用途的計算機群，包括控制手段等。33傀儡網絡的危害蠕蟲擴散分布式拒絕服務攻擊發送垃圾郵件竊取秘密信息竊取資源作為跳板34傀儡網絡工作原理IRC協議應用層協議C/S模式默認端口：TCP 666735傀儡網絡攻擊實現發動大規模分布式拒絕服務攻擊（DDOS）利用傀儡網絡進行釣魚（Phishing）攻擊利用傀儡網絡開設HTTP代理利用傀儡網絡發送垃圾郵件利用傀儡進行漏洞掃描安裝間諜軟件36蠕蟲攻擊及其對策37蠕蟲常見傳播策略選擇性隨機掃描順序掃描基于目標列表的掃描基于路由的掃描基于DNS掃描分治掃描掃描策略評價目標地址空間選擇是否采用多線程搜索易感染

15、主機是否有易感染主機列表傳播途徑的多樣化38蠕蟲的攻擊手段緩沖區溢出攻擊基于堆棧的緩沖區溢出基于堆的緩沖區溢出基于LIB C庫的緩沖區溢出攻擊格式化字符串攻擊拒絕服務攻擊弱口令攻擊默認設置脆弱性攻擊社會工程攻擊39蠕蟲的檢測與防范基于單機的蠕蟲檢測基于網絡的蠕蟲檢測其他40基于單機的蠕蟲檢測基于特征的檢測技術基于網絡負載的特征匹配基于日志分析的特征匹配基于文件內容的特征匹配基于黑洞檢測技術對所有掃描全網的蠕蟲都適用對于采用隊列掃描和基于目標列表的掃描蠕蟲不適用基于流量檢測校驗和技術沙箱技術安全操作系統對網絡蠕蟲的防范41基于網絡的蠕蟲檢測基于GrIDS的網絡蠕蟲檢測通過與預定義的行為模式進行匹

16、配，檢測網絡蠕蟲是否存在?；赑LD硬件的檢測和防御采用特征匹配技術，存在誤報，無法檢測未知網絡蠕蟲，只能進行事后處理基于蜜罐的檢測和防御基于控制中心的檢測、防御和阻斷42其他加強個人安全意識提高軟件產品的安全性安全編碼非可執行的緩沖區數組邊界檢查加強對返回地址的保護及時打補丁或者升級43拒絕服務攻擊防御44終端防御最終受害處攻擊為主機時-受害者主機和受害者所在網絡攻擊為帶寬時-目標網絡防御策略增強容忍性提高主機系統或網絡安全性入口過濾45增強容忍性隨機釋放當Syn Flood時，隨機釋放一些未完成的半打開連接SYN CookiesSYN Cookie功能一般是在發現、懷疑有攻擊存在或者當前連

17、接請求較多的時候才啟用SYN Cache通過全局表建立連接表提高了攻擊者進行Syn風暴攻擊成功的難度，但受到系統整體資源的限制TCP代理服務器46提高主機系統或網絡安全性流量控制冗余備份關閉不需要的服務和端口實行嚴格的補丁管理經常進行端口掃描主機安全加固攻擊測試（Pen-test）病毒防護47入口過濾端口與協議過濾地址過濾合理編寫、排列防火墻規則和路由器的訪問控制列表，合理過濾數據流正確配置邊界路由，禁止轉發指向廣播地址的數據包對于ICMP數據包，只允許必需的類型和代碼進出網絡如果網絡中不需要使用IRC、P2P服務以及即時消息，則阻止向外發出這類連接48源端防御發出攻擊性數據包的源端源端防御優

18、點避免擁塞較小的副作用更易追蹤可以使用更為復雜的檢測算法防御策略出口過濾D-WARDCOSSACK49出口過濾（Egress Filtering）用戶網絡或者其ISP網絡的比邊界路由被配置成在其轉發外出的數據包時，阻塞（過濾）源IP地址明顯是非法的數據包，以免其外出到外網。50出口過濾不足不能防止攻擊者偽造地址為同一網段內的其他IP地址可能會妨礙一些特殊應用，如動態IP服務好處防止成為“中間人”攻擊者容易被識別，降低攻擊者對其多次利用的可能性減輕蠕蟲對自身網絡的危害降低被作為僵尸網絡的可能通過出口過濾審計日志，識別真正的攻擊者提高自身的安全性，作一個好鄰居51D-WARD源端DDOS防御系統 ，檢測和限制向外發出的拒絕服務攻擊，同時對合法用戶的影響要盡量小。部署在源路由器檢查從兩個方向通過路由器的通信并進行融合分析，檢測異?，F象。52中端防御在攻擊性數據包的發送途中采取的防范措施該方法只能限制IP偽造的空間,而不能杜絕IP偽造,無法阻止沒有偽造的DDOS攻擊.攻擊檢測源端防火墻門限異常檢測雙向數據動態分析偽造包檢測連接語義分析攻擊響應限流53COSSACK分布式DDOS檢測與響應機制，部署于因特網的邊界網絡中信息獲取方式SNMP統計Cisc