DoS攻擊原理和防御方法

1、DoS攻擊原理和防御方法TCP/IP協(xié)議的權限D(zhuǎn)oS（拒絕服務攻擊）-DenialofService該攻擊的原理是利用TCP報文頭來做的文章TCPlickerPomut（h?iioneIkkmarkreprc>cni>onehil卜面是TCP數(shù)據(jù)段頭格式SourcePort和DestinationPort:是本地端口和目標端口SequenceNumber和AcknowledgmentNumber:是順序號和確認號，確認號是希望接收的字節(jié)號。這都是32位的，在TCP流中，每個數(shù)據(jù)字節(jié)都被編號。Dataoffset:表明TCP頭包含多少個32位字，用來確定頭的長度，因為頭中可選字段長度

2、是不定的。Reserved:保留的我不是人，現(xiàn)在沒用，都是0接下來是6個1位的標志，這是兩個計算機數(shù)據(jù)交流的信息標志。接收和發(fā)送斷根據(jù)這些標志來確定信息流的種類。下面是一些介紹：URG:(UrgentPointerfieldsignificant)緊急指針。用到的時候值為1,用來處理避免TCP數(shù)據(jù)流中斷ACK:(Acknowledgmentfieldsignificant)置1時表示確認號(AcknowledgmentNumber)為合法，為0的時候表示數(shù)據(jù)段不包含確認信息，確認號被忽略。PSH:(PushFunction),PUSH標志的數(shù)據(jù)，置1時請求的數(shù)據(jù)段在接收方得到后就可直接送到應用

3、程序，而不必等到緩沖區(qū)滿時才傳送。RST：(Resettheconnection)用于復位因某種原因引起出現(xiàn)的錯誤連接，也用來拒絕非法數(shù)據(jù)和請求。如果接收到RST位時候，通常發(fā)生了某些錯誤。SYN：(Synchronizesequencenumbers)用來建立連接，在連接請求中，SYN=1,CK=0，連接響應時，SYN=1,ACK=1。即，SYN和ACK來區(qū)分ConnectionRequest和ConnectionAccepted。FIN:(Nomoredatafromsender)用來釋放連接，表明發(fā)送方已經(jīng)沒有數(shù)據(jù)發(fā)送。TCP三次握手模型:fl13OsiVdiUHH"心T*im

4、in«4iMiiABStHAtOHtACK-Mlfit-JUHEstablishmentofTCPsessions-Thethree-wayhandshake:$<n4sykxkISEo-MOItK-mm<IlmUUniWithintheTCPsegmentheader,therearesix1-bitfieldsthatcontaincontrolinformationusedtomanagetheTCPprocesses:RGACKPSHRSTSYNFIN5世仙川川我們進入比較重要的一部分：TCP連接握手過程。這個過程簡單地分為三步。在沒有連接中，接受方(我們針對服務

5、器)，服務器處丁LISTEN狀態(tài)，等待其他機器發(fā)送連接請求。第一步：客戶端發(fā)送一個帶SYN位的請求，向服務器表示需要連接，比如發(fā)送包假設請求序號為10,那么則為：SYN=10,ACK=0,然后等待服務器的響應。第二步：服務器接收到這樣的請求后，查看是否在LISTEN的是指定的端口，不然，就發(fā)送RST=1應答，拒絕建立連接。如果接收連接，那么服務器發(fā)送確認，SYN為服務器的一個碼，假設為100,ACK位則是客戶端的請求序號加1,本例中發(fā)送的數(shù)據(jù)是：SYN=100,ACK=11,用這樣的數(shù)據(jù)發(fā)送給客戶端。向客戶端表示，服務器連接已經(jīng)準備好了，等待客戶端的確認這時客戶端接收到消息后，分析得到的信息，

6、準備發(fā)送確認連接信號到服務器第三步：客戶端發(fā)送確認建立連接的消息給服務器。確認信息的SYN位是服務器發(fā)送的ACK位，ACK位是服務器發(fā)送的SYN位加1。即：SYN=11,ACK=101。這時，連接已經(jīng)建立起來了。然后發(fā)送數(shù)據(jù)，<SYN=11,ACK=101><DATA>。這是一個基本的請求和連接過程。需要注意的是這些標志位的關系，比如SYN、ACK。服務器不會在每次接收到SYN請求就立刻同客戶端建立連接，而是為連接請求分配存空間，建立會話，并放到一個等待隊列中。如果，這個等待的隊列已經(jīng)滿了，那么，服務器就不在為新的連接分配任何東西，直接丟棄新的請求。如果到了這樣的地步，

7、服務器就是拒絕服務了。如果服務器接收到一個RST位信息，那么就認為這是一個有錯誤的數(shù)據(jù)段，會根據(jù)客戶端IP,把這樣的連接在緩沖區(qū)隊列中活除掉。這對IP欺騙有影響，也能被利用來做DOS攻擊。有了TCP的基礎和三次握手協(xié)商流程，那么DoS就是利用這其中的漏洞進行攻擊的.下面就是DOS的攻擊原理了：上面的介紹，我們了解TCP協(xié)議，以與連接過程。要對SERVER實施拒絕服務攻擊，實質(zhì)上的方式就是有兩個：一，迫使服務器的緩沖區(qū)滿，不接收新的請求。二，使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接這就是DOS攻擊實施的基本思想。具體實現(xiàn)有這樣的方法：1、SYNFLOOD利用服務器的連接緩

8、沖區(qū)(BacklogQueue)，利用特殊的程序，設置TCP的Header,向服務器端不斷地成倍發(fā)送只有SYN標志的TCP連接請求。當服務器接收的時候,都認為是沒有建立起來的連接請求,于是為這些請求建立會話，排到緩沖區(qū)隊列中。如果你的SYN請求超過了服務器能容納的限度，緩沖區(qū)隊列滿，那么服務器就不再接收新的請求了。其他合法用戶的連接都被拒絕掉。可以持續(xù)你的SYN請求發(fā)送，直到緩沖區(qū)中都是你的只有SYN標記的請求?，F(xiàn)在有很多實施SYNFLOOD的工具，呵呵，自己找去吧。對于SYNflood攻擊，防護原理是：現(xiàn)在很多動態(tài)防火墻都可以提供SYN代理功能，具體的原理框架如下：2、IP欺騙DOS攻擊這種

9、攻擊利用RST位來實現(xiàn)。假設現(xiàn)在有一個合法用戶()已經(jīng)同服務器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為,并向服務器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務器接收到這樣的數(shù)據(jù)后，認為從發(fā)送的連接有錯誤，就會活空緩沖區(qū)中建立好的連接。這時，如果合法用戶再發(fā)送合法數(shù)據(jù)，服務器就已經(jīng)沒有這樣的連接了，該用戶就必須從新開始建立連接。攻擊時，偽造大量的IP地址，向目標發(fā)送RST數(shù)據(jù),使服務器不對合法用戶服務。3、帶寬DOS攻擊如果你的連接帶寬足夠大而服務器乂不是很大，你可以發(fā)送請求，來消耗服務器的緩沖區(qū)消耗服務器的帶寬。這種攻擊

10、就是人多力量大了，配合上SYN一起實施DOS,威力巨大。不過是初級DOS攻擊。呵呵。Ping白宮？你發(fā)瘋了?。?、自身消耗的DOS攻擊這是一種老式的攻擊手法。說老式，是因為老式的系統(tǒng)有這樣的自身BUGc比如Win95(winsockv1),CiscoIOSv.10.x,和其他過時的系統(tǒng)。這種DOS攻擊就是把請求客戶端IP和端口弄成主機的IP端口相同，發(fā)送給主機。使得主機給自己發(fā)送TCP請求和連接。這種主機的漏洞會很快把資源消耗光。直接導致當機。這中偽裝對一些身份認證系統(tǒng)還是威脅巨大的。上面這些實施DOS攻擊的手段最主要的就是構(gòu)造需要的TCP數(shù)據(jù)，充分利用TCP協(xié)議。這些攻擊方法都是建立在TCP

11、基礎上的。還有其他的DOS攻擊手段。5、塞滿服務器的硬盤通常，如果服務器可以沒有限制地執(zhí)行寫操作，那么都能成為塞滿硬盤造成DOS攻擊的途徑，比如：發(fā)送垃圾。一般公司的服務器可能把服務器和WEB服務器都放在一起。破壞者可以發(fā)送大量的垃圾，這些可能都塞在一個隊列中或者就是壞隊列中，直到被撐破或者把硬盤塞滿。讓日志記錄滿。入侵者可以構(gòu)造大量的錯誤信息發(fā)送出來，服務器記錄這些錯誤，可能就造成日志文件非常龐大，甚至會塞滿硬盤。同時會讓管理員癰苦地面對大量的日志，甚至就不能發(fā)現(xiàn)入侵者真正的入侵途徑。向匿名FTP塞垃圾文件。這樣也可以塞滿硬盤空間。6、合理利用策略一般服務器都有關于鎖定的安全策略，比如，某個

12、連續(xù)3次登陸失敗，那么這個將被鎖定。這點也可以被破壞者利用，他們偽裝一個去錯誤登陸，這樣使得這個被鎖定，而正常的合法用戶就不能使用這個去登陸系統(tǒng)了我司的設備支持下面的攻擊防：針對常見的網(wǎng)絡攻擊手段，如IPSourceAddressspoofing（偽源地址攻擊）、LAND攻擊、SYNFlood攻擊、Smurf攻擊、PingFlood攻擊，進行檢測和防。ipsource-route源路由包：源路由包除了在網(wǎng)絡測試工具中被正常使用外，往往也是黑客的一大工具，會話劫持時往往會用到此手段，因此，是否允許源路由包通過被設置成一個可選項；如果不被允許，此類包將一律被否決。iprecord-route記錄路

13、由：該選項既能用于網(wǎng)絡測試，也可被黑客用來掌握網(wǎng)絡動態(tài)，此項也是可選的。ipfragment不合理的分片：是利用系統(tǒng)缺陷使系統(tǒng)紊亂的攻擊，該攻擊是利用這樣一種分片：分片重組后該IP數(shù)據(jù)包的長度大于最大包長度（65535）,而有些操作系統(tǒng)不知道如何處理此種異常包，導致系統(tǒng)掛起或死機。這種攻擊中則至少存在這樣一個分片：該分片的IP包數(shù)據(jù)段長度（IP長度減去IP首部長度）加上分片偏移值的結(jié)果，必定會大于最大包長度。因此，只要拒絕這樣的報文，目的系統(tǒng)就能避免受到攻擊。該功能是可選的。ipsmall-packet太小的包：太短的IP包也可能被用來進行攻擊，是否允許這樣的包通過，可以由用戶配置進行選擇（缺

14、省為32字節(jié)）ipinterceptipeq源IP地址等于目的IP地址的IP報文，可被黑客用來進行攻擊。是否允許這樣的包通過，可以由用戶配置進行選擇。ipicmpinterceptfragment分片的ICMP報文，是否允許這樣的包通過，可以由用戶配置進行選擇。攻擊檢測功能對ICMPflood、Smurf、Fraggle、SYNflood、LAND等幾種攻擊包的檢測（或監(jiān)控）。ipicmpinterceptICMPflood，該攻擊通過向目標IP發(fā)送大量ICMP包，占用帶寬，從而導致合法報文無法到達目的地，達到攻擊目的；檢測時，對于發(fā)向目的地址為路由器接口地址的ICMP報文進行記數(shù)，一旦報文的

15、接收頻率高出正常圍，則懷疑存在攻擊行為，嚴格控制報文的流經(jīng)頻率；直到頻率低出圍，乂開始放行；此處理方式有一定的局限性：即當拒絕過量包時也拒絕了合法的包，但在綜合考慮系統(tǒng)自身的承受能力的前提下，此方法是最合理的。ipsmurfinterceptSmurf也是一種這種類型的攻擊，攻擊者先使用該受害主機的地址，向一個廣播地址發(fā)送ICMP回響請求，在此廣播網(wǎng)絡上，潛在的數(shù)以千計的計算機將會做出響應，大量響應將發(fā)送到受害主機，此攻擊后果同ICMPflood,但比之更為隱秘；此類包可通過兩種方式攔截，如果偽源地址檢測能夠檢測出來，直接拒絕該包，另外，可打開smurf檢測開關，如果源地址是受保護的目的服務器

16、地址，而目的地址是一個廣播地址，則攔截這樣的包；smurf自身利用的是ICMP_ECHO包，但考慮到其它的ICMP請求包也將導致同樣的后果，因此，將檢測擴展到類型ICMP_TSTAMP、ICMP_IREQ、ICMP_MASKREQ。ipfraggleintercept攻擊fraggle嚴格說來，是一個smurf的變種，它針對許多防火墻對于ICMP包檢查比較嚴格的前提，不再向廣播地址發(fā)ICMP請求包，而是改為發(fā)送UDP包，當目的網(wǎng)段的計算機收到該包并檢查到目的端口不可達時，將發(fā)給受害主機一個“目的端口不可達”的差錯報文，大量的報文同時涌向受害主機，因而達到攻擊目的；此檢測與smurf檢測小異，僅

17、僅類型不同而已。iptcpinterceptlandLAND攻擊則利用了系統(tǒng)的另一個弱點：許多系統(tǒng)不知道如何處理源地址與端口號等同于目的地址與端口號的SYN建連請求，導致系統(tǒng)紊亂或死機；因此,如果檢測到了某個報文的源地址等于目的地址、源端口等于目的端口，當即扔掉這樣的包。iptcpinterceptlist消耗系統(tǒng)有限資源的攻擊，最有名的當屆SYN泛洪，這是一種蓄意侵入三次握手并打開大量半開TCP/IP連接而進行的攻擊，該攻擊利用IP欺騙，向受害者的系統(tǒng)發(fā)送看起來合法的SYN請求，而事實上該源地址不存在或當時不在線，因而回應的ACK消息無法到達目的，而受害者的系統(tǒng)最后被大量的這種半開連接充滿，資源耗盡，而合法的連接無法被響應；對于此攻擊，我們采用一種簡單的攔截方式：閥值攔截，一旦某服務器收到的SYN請求的報文頻率超過閥值限度則對多余的進行攔截