第16講拒絕服務(wù)攻擊課件

第16講拒絕服務(wù)攻擊第16講拒絕服務(wù)攻擊拒絕服務(wù)攻擊的概念2023/8/72拒絕服務(wù)（DenialofService，簡稱DoS），是一種簡單的破壞性攻擊，通常是利用傳輸協(xié)議中的某個弱點(diǎn)、系統(tǒng)存在的漏洞、或服務(wù)的漏洞，對目標(biāo)系統(tǒng)發(fā)起大規(guī)模的進(jìn)攻，用超出目標(biāo)處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)資源、帶寬資源等，或造成程序緩沖區(qū)溢出錯誤，致使其無法處理合法用戶的正常請求，無法提供正常服務(wù)，最終致使網(wǎng)絡(luò)服務(wù)癱瘓，甚至系統(tǒng)死機(jī)。簡單的說，拒絕服務(wù)攻擊就是讓攻擊目標(biāo)癱瘓的一種“損人不利己”的攻擊手段。拒絕服務(wù)攻擊的概念2023/8/12拒絕服務(wù)（Denial拒絕服務(wù)攻擊的概念2023/8/73歷史上最著名的拒絕服務(wù)攻擊服務(wù)恐怕要數(shù)Morris蠕蟲事件，1988年11月，全球眾多連在因特網(wǎng)上的計算機(jī)在數(shù)小時內(nèi)無法正常工作，這次事件中遭受攻擊的包括５個計算機(jī)中心和12個地區(qū)結(jié)點(diǎn)，連接著政府、大學(xué)、研究所和擁有政府合同的25萬臺計算機(jī)。這次病毒事件，使計算機(jī)系統(tǒng)直接經(jīng)濟(jì)損失達(dá)9600萬美元。許多知名網(wǎng)站如Yahoo、eBay、CNN、百度、新浪等都曾遭受過DoS攻擊。拒絕服務(wù)攻擊的概念2023/8/13歷史上最著名的拒絕服務(wù)攻拒絕服務(wù)攻擊的概念2023/8/74拒絕服務(wù)攻擊可能是蓄意的，也可能是偶然的。當(dāng)未被授權(quán)的用戶過量使用資源時，攻擊是蓄意的；當(dāng)合法用戶無意地操作而使得資源不可用時，則是偶然的。應(yīng)該對兩種拒絕服務(wù)攻擊都采取預(yù)防措施。但是拒絕服務(wù)攻擊問題也一直得不到合理的解決，究其原因是因為這是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的。拒絕服務(wù)攻擊的概念2023/8/14拒絕服務(wù)攻擊可能是蓄意的拒絕服務(wù)攻擊的類型2023/8/75最常見的DoS攻擊是利用合理的服務(wù)請求來占用過多的服務(wù)資源，致使服務(wù)超載，無法響應(yīng)其他的請求。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬、文件系統(tǒng)空間容量、開放的進(jìn)程、向內(nèi)的連接等。這種攻擊會導(dǎo)致資源的匱乏，無論計算機(jī)的處理速度多么快，內(nèi)存容量多么大，互聯(lián)網(wǎng)帶寬多么大都無法避免這種攻擊帶來的后果。拒絕服務(wù)攻擊的類型2023/8/15最常見的DoS攻擊是利用拒絕服務(wù)攻擊的類型從實施DoS攻擊所用的思路來看，DoS攻擊可以分為：濫用合理的服務(wù)請求過度地請求系統(tǒng)的正常服務(wù)，占用過多服務(wù)資源，致使系統(tǒng)超載。這些服務(wù)資源通常包括網(wǎng)絡(luò)帶寬、文件系統(tǒng)空間容量、開放的進(jìn)程或者連接數(shù)等

制造高流量無用數(shù)據(jù)惡意地制造和發(fā)送大量各種隨機(jī)無用的數(shù)據(jù)包，用這種高流量的無用數(shù)據(jù)占據(jù)網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁塞利用傳輸協(xié)議缺陷

構(gòu)造畸形的數(shù)據(jù)包并發(fā)送，導(dǎo)致目標(biāo)主機(jī)無法處理，出現(xiàn)錯誤或崩潰，而拒絕服務(wù)

利用服務(wù)程序的漏洞

針對主機(jī)上的服務(wù)程序的特定漏洞，發(fā)送一些有針對性的特殊格式的數(shù)據(jù)，導(dǎo)致服務(wù)處理錯誤而拒絕服務(wù)

2023/8/76拒絕服務(wù)攻擊的類型從實施DoS攻擊所用的思路來看，DoS攻擊拒絕服務(wù)攻擊的類型2023/8/77按漏洞利用方式分類，DoS攻擊可以分為：特定資源消耗類主要利用TCP/IP協(xié)議棧、操作系統(tǒng)或應(yīng)用程序設(shè)計上的缺陷，通過構(gòu)造并發(fā)送特定類型的數(shù)據(jù)包，使目標(biāo)系統(tǒng)的協(xié)議?？臻g飽和、操作系統(tǒng)或應(yīng)用程序資源耗盡或崩潰，從而達(dá)到DoS的目的。暴力攻擊類依靠發(fā)送大量的數(shù)據(jù)包占據(jù)目標(biāo)系統(tǒng)有限的網(wǎng)絡(luò)帶寬或應(yīng)用程序處理能力來達(dá)到攻擊的目的。通常暴力攻擊需要比特定資源消耗攻擊使用更大的數(shù)據(jù)流量才能達(dá)到目的。拒絕服務(wù)攻擊的類型2023/8/17按漏洞利用方式分類，Do拒絕服務(wù)攻擊的類型2023/8/78按攻擊數(shù)據(jù)包發(fā)送速率變化方式，DoS攻擊可分為：固定速率可變速率根據(jù)數(shù)據(jù)包發(fā)送速率變化模式，又可以分為震蕩變化型和持續(xù)增加型。震蕩變化型變速率發(fā)送方式間歇性地發(fā)送數(shù)據(jù)包，使入侵檢測系統(tǒng)難以發(fā)現(xiàn)持續(xù)的異常。持續(xù)增加型變速率發(fā)送方式可以使攻擊目標(biāo)的性能緩慢下降，并可以誤導(dǎo)基于學(xué)習(xí)的檢測系統(tǒng)產(chǎn)生錯誤的檢測規(guī)則。拒絕服務(wù)攻擊的類型2023/8/18按攻擊數(shù)據(jù)包發(fā)送速率變化拒絕服務(wù)攻擊的類型2023/8/79按攻擊可能產(chǎn)生的影響，DoS攻擊可以分為：系統(tǒng)或程序崩潰類根據(jù)可恢復(fù)的程度，系統(tǒng)或程序崩潰類又可以分為：自我恢復(fù)類、人工恢復(fù)類、不可恢復(fù)類等。自我恢復(fù)類是指當(dāng)攻擊停止后系統(tǒng)功能可自動恢復(fù)正常。人工恢復(fù)類是指系統(tǒng)或服務(wù)程序需要人工重新啟動才能恢復(fù)。不可恢復(fù)類是指攻擊給目標(biāo)系統(tǒng)的硬件設(shè)備、文件系統(tǒng)等造成了不可修復(fù)性的損壞。服務(wù)降級類系統(tǒng)對外提供服務(wù)的服務(wù)下降拒絕服務(wù)攻擊的類型2023/8/19按攻擊可能產(chǎn)生的影響，D典型案例：百度遭受大規(guī)模SYNFlooding攻擊2023/8/7102006年9月12日下午，百度遭受有史以來最大規(guī)模的不明身份黑客攻擊，導(dǎo)致百度搜索服務(wù)在全國各地出現(xiàn)了近30分鐘的故障，黑客所使用的手段是SynFlooding分布式拒絕服務(wù)攻擊。新華網(wǎng)報道：/newmedia/2006-09/14/content_5089683.htm下頁是新聞的部分截圖。典型案例：百度遭受大規(guī)模SYNFlooding攻擊20232023/8/7112023/8/111典型的拒絕服務(wù)攻擊PingofDeath淚滴（Teardrop）IP欺騙DoS攻擊UDP洪水SYN洪水Land攻擊Smurf攻擊Fraggle攻擊電子郵件炸彈畸形消息攻擊SlashdoteffectWinNuke攻擊2023/8/712典型的拒絕服務(wù)攻擊PingofDeath2023/8/1PingofDeath2023/8/713Ping是一個非常著名的程序，這個程序的目的是為了測試另一臺主機(jī)是否可達(dá)?，F(xiàn)在所有的操作系統(tǒng)上幾乎都有這個程序，它已經(jīng)成為系統(tǒng)的一部分。Ping程序的目的是為了查看網(wǎng)絡(luò)上的主機(jī)是否處于活動狀態(tài)。通過發(fā)送一份ICMP回顯請求報文給目的主機(jī)，并等待返回ICMP回顯應(yīng)答，根據(jù)回顯應(yīng)答的內(nèi)容判斷目的主機(jī)的狀況。PingofDeath2023/8/113Ping是一個PingofDeath2023/8/714Ping之所以會造成傷害是源于早期操作系統(tǒng)在處理ICMP協(xié)議數(shù)據(jù)包存在漏洞。ICMP協(xié)議的報文長度是固定的，大小為64KB，早期很多操作系統(tǒng)在接收ICMP數(shù)據(jù)報文的時候，只開辟64KB的緩存區(qū)用于存放接收到的數(shù)據(jù)包。一旦發(fā)送過來的ICMP數(shù)據(jù)包的實際尺寸超過64KB(65536B)，操作系統(tǒng)將收到的數(shù)據(jù)報文向緩存區(qū)填寫時，報文長度大于64KB，就會產(chǎn)生一個緩存溢出，結(jié)果將導(dǎo)致TCP/IP協(xié)議堆棧的崩潰，造成主機(jī)的重啟動或是死機(jī)。PingofDeath2023/8/114Ping之所以PingofDeath2023/8/715Ping程序有一個“-l”參數(shù)可指定發(fā)送數(shù)據(jù)包的尺寸，因此，使用Ping這個常用小程序就可以簡單地實現(xiàn)這種攻擊。例如通過這樣一個命令：

Ping-l6554040如果對方主機(jī)存在這樣一個漏洞，就會形成一次拒絕服務(wù)攻擊。這種攻擊被稱為“死亡之Ping”。

PingofDeath2023/8/115Ping程序有2023/8/7網(wǎng)絡(luò)入侵與防范講義166.2.1PingofDeath現(xiàn)在的操作系統(tǒng)都已對這一漏洞進(jìn)行了修補(bǔ)。對可發(fā)送的數(shù)據(jù)包大小進(jìn)行了限制。在Windowsxpsp2操作系統(tǒng)中輸入這樣的命令：

Ping-l6553540

系統(tǒng)返回這樣的信息：

Badvalueforoption-l,validrangeisfrom0to65500.2023/8/1網(wǎng)絡(luò)入侵與防范講義166.2.1Ping2023/8/7網(wǎng)絡(luò)入侵與防范講義176.2.1PingofDeathPingOfDeath攻擊的攻擊特征、檢測方法和反攻擊方法總結(jié)如下：攻擊特征：該攻擊數(shù)據(jù)包大于65535個字節(jié)。由于部分操作系統(tǒng)接收到長度大于65535字節(jié)的數(shù)據(jù)包時，就會造成內(nèi)存溢出、系統(tǒng)崩潰、重啟、內(nèi)核失敗等后果，從而達(dá)到攻擊的目的。檢測方法：判斷數(shù)據(jù)包的大小是否大于65535個字節(jié)。反攻擊方法：使用新的補(bǔ)丁程序，當(dāng)收到大于65535個字節(jié)的數(shù)據(jù)包時，丟棄該數(shù)據(jù)包，并進(jìn)行系統(tǒng)審計。2023/8/1網(wǎng)絡(luò)入侵與防范講義176.2.1Ping2023/8/7網(wǎng)絡(luò)入侵與防范講義18淚滴（Teardrop）“淚滴”也被稱為分片攻擊，它是一種典型的利用TCP/IP協(xié)議的問題進(jìn)行拒絕服務(wù)攻擊的方式，由于第一個實現(xiàn)這種攻擊的程序名稱為Teardrop，所以這種攻擊也被稱為“淚滴”。2023/8/1網(wǎng)絡(luò)入侵與防范講義18淚滴（Teardrop2023/8/7網(wǎng)絡(luò)入侵與防范講義19淚滴（Teardrop）兩臺計算機(jī)在進(jìn)行通信時，如果傳輸?shù)臄?shù)據(jù)量較大，無法在一個數(shù)據(jù)報文中傳輸完成，就會將數(shù)據(jù)拆分成多個分片，傳送到目的計算機(jī)后再到堆棧中進(jìn)行重組，這一過程稱為“分片”。為了能在到達(dá)目標(biāo)主機(jī)后進(jìn)行數(shù)據(jù)重組，IP包的TCP首部中包含有信息（分片識別號、偏移量、數(shù)據(jù)長度、標(biāo)志位）說明該分段是原數(shù)據(jù)的哪一段，這樣，目標(biāo)主機(jī)在收到數(shù)據(jù)后，就能根據(jù)首部中的信息將各分片重新組合還原為數(shù)據(jù)。2023/8/1網(wǎng)絡(luò)入侵與防范講義19淚滴（Teardrop2023/8/7網(wǎng)絡(luò)入侵與防范講義20例子2023/8/1網(wǎng)絡(luò)入侵與防范講義20例子2023/8/7網(wǎng)絡(luò)入侵與防范講義21例子(2)如上圖所示，從客戶機(jī)向服務(wù)器發(fā)送一個數(shù)據(jù)報文無法發(fā)送完成的數(shù)據(jù)，這些數(shù)據(jù)會被分片發(fā)送。報文1、2、3是TCP連接的三次握手過程，接著4、5、6客戶機(jī)向服務(wù)器發(fā)送三個報文，在這三個數(shù)據(jù)報文首部信息中，有每個報文的分片信息。2023/8/1網(wǎng)絡(luò)入侵與防范講義21例子(2)如上圖所示，2023/8/7網(wǎng)絡(luò)入侵與防范講義22例子(3)這就是報文重組的信息:PSH1:1025(1024)ack1,win4096PSH1025:2049(1024)ack1,win4096PSH2049:3073(1024)ack1,win4096在這個報文中，可以看到在第4、5、6這三個報文中，第4個發(fā)送的數(shù)據(jù)報文中是原數(shù)據(jù)的第1～1025字節(jié)內(nèi)容，第5個發(fā)送的報文包含的是第1025～2048字節(jié)，第6個數(shù)據(jù)報文是第2049～3073個字節(jié)，接著后面是繼續(xù)發(fā)送的分片和服務(wù)器的確認(rèn)。當(dāng)這些分片數(shù)據(jù)被發(fā)送到目標(biāo)主機(jī)后，目標(biāo)主機(jī)就能夠根據(jù)報文中的信息將分片重組，還原出數(shù)據(jù)。2023/8/1網(wǎng)絡(luò)入侵與防范講義22例子(3)這就是報文重2023/8/7網(wǎng)絡(luò)入侵與防范講義23例子(4)如果入侵者偽造數(shù)據(jù)報文，向服務(wù)器發(fā)送含有重疊偏移信息的分段包到目標(biāo)主機(jī)，例如如下所列的分片信息：PSH1:1025(1024)ack1,win4096PSH1000:2049(1024)ack1,win4096PSH2049:3073(1024)ack1,win4096這樣的信息被目的主機(jī)收到后，在堆棧中重組時，由于畸形分片的存在，會導(dǎo)致重組出錯，這個錯誤并不僅僅是影響到重組的數(shù)據(jù)，由于協(xié)議重組算法，會導(dǎo)致內(nèi)存錯誤，引起協(xié)議棧的崩潰。2023/8/1網(wǎng)絡(luò)入侵與防范講義23例子(4)如果入侵者偽2023/8/7網(wǎng)絡(luò)入侵與防范講義24淚滴（teardrop）淚滴攻擊的攻擊特征、檢測方法和反攻擊方法總結(jié)如下：攻擊特征：Teardrop工作原理是向被攻擊者發(fā)送多個分片的IP包，某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。檢測方法：對接收到的分片數(shù)據(jù)包進(jìn)行分析，計算數(shù)據(jù)包的片偏移量（Offset）是否有誤。反攻擊方法：添加系統(tǒng)補(bǔ)丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對這種攻擊進(jìn)行審計。2023/8/1網(wǎng)絡(luò)入侵與防范講義24淚滴（teardrop2023/8/7網(wǎng)絡(luò)入侵與防范講義25IP欺騙DoS攻擊這種攻擊利用RST位來實現(xiàn)。假設(shè)現(xiàn)在有一個合法用戶(1)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為1，并向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為1發(fā)送的連接有錯誤，就會清空緩沖區(qū)中建立好的連接。這時，如果合法用戶1再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了，該用戶就必須從新開始建立連接。2023/8/1網(wǎng)絡(luò)入侵與防范講義25IP欺騙DoS攻擊這2023/8/7網(wǎng)絡(luò)入侵與防范講義26IP欺騙DoS攻擊攻擊時，攻擊者會偽造大量的IP地址，向目標(biāo)發(fā)送RST數(shù)據(jù)，使服務(wù)器不對合法用戶服務(wù)，從而實現(xiàn)了對受害服務(wù)器的拒絕服務(wù)攻擊。2023/8/1網(wǎng)絡(luò)入侵與防范講義26IP欺騙DoS攻擊攻2023/8/7網(wǎng)絡(luò)入侵與防范講義27UDP洪水UDP洪水（UDPflood）主要是利用主機(jī)能自動進(jìn)行回復(fù)的服務(wù)（例如使用UDP協(xié)議的chargen服務(wù)和echo服務(wù)）來進(jìn)行攻擊。很多提供WWW和Mail等服務(wù)設(shè)備通常是使用Unix的服務(wù)器，它們默認(rèn)打開一些被黑客惡意利用的UDP服務(wù)。如echo服務(wù)會顯示接收到的每一個數(shù)據(jù)包，而原本作為測試功能的chargen服務(wù)會在收到每一個數(shù)據(jù)包時隨機(jī)反饋一些字符。2023/8/1網(wǎng)絡(luò)入侵與防范講義27UDP洪水UDP洪水2023/8/7網(wǎng)絡(luò)入侵與防范講義28UDP洪水當(dāng)我們向echo服務(wù)的端口發(fā)送一個數(shù)據(jù)時，echo服務(wù)會將同樣的數(shù)據(jù)返回給發(fā)送方，而chargen服務(wù)則會隨機(jī)返回字符。當(dāng)兩個或兩個以上系統(tǒng)存在這樣的服務(wù)時，攻擊者利用其中一臺主機(jī)向另一臺主機(jī)的echo或者chargen服務(wù)端口發(fā)送數(shù)據(jù)，echo和chargen服務(wù)會自動進(jìn)行回復(fù)，這樣開啟echo和chargen服務(wù)的主機(jī)就會相互回復(fù)數(shù)據(jù)。由于這種做法使一方的輸出成為另一方的輸入，兩臺主機(jī)間會形成大量的UDP數(shù)據(jù)包。當(dāng)多個系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時，最終將導(dǎo)致整個網(wǎng)絡(luò)癱瘓。

2023/8/1網(wǎng)絡(luò)入侵與防范講義28UDP洪水當(dāng)我們向e2023/8/7網(wǎng)絡(luò)入侵與防范講義29UDP洪水實例（UDP-Flood）IP/hostname和port：輸入目標(biāo)主機(jī)的IP地址和端口號；Maxduration：設(shè)定最長的攻擊時間；Speed：設(shè)置UDP包發(fā)送速度；Data：指定發(fā)送的UDP數(shù)據(jù)包中包含的內(nèi)容。2023/8/1網(wǎng)絡(luò)入侵與防范講義29UDP洪水實例（UDP2023/8/7網(wǎng)絡(luò)入侵與防范講義30UDP洪水實例(2)對局域網(wǎng)網(wǎng)內(nèi)的一臺計算機(jī)4發(fā)起UDPFlood攻擊，發(fā)包速率為250PPS。2023/8/1網(wǎng)絡(luò)入侵與防范講義30UDP洪水實例(2)對2023/8/7網(wǎng)絡(luò)入侵與防范講義31UDP洪水實例(3)在被攻擊的計算機(jī)4上打開Sniffer工具，可以捕捉由攻擊者計算機(jī)發(fā)到本機(jī)的UDP數(shù)據(jù)包，可以看到內(nèi)容為“*****UDPFlood.Serverstresstest*****”的大量UDP數(shù)據(jù)包，如下頁圖所示。如果加大發(fā)包速率和增加攻擊機(jī)的數(shù)量，則目標(biāo)主機(jī)的處理能力將會明顯下降。2023/8/1網(wǎng)絡(luò)入侵與防范講義31UDP洪水實例(3)在2023/8/7網(wǎng)絡(luò)入侵與防范講義32UDP“洪水”實例2023/8/1網(wǎng)絡(luò)入侵與防范講義32UDP“洪水”實例2023/8/7網(wǎng)絡(luò)入侵與防范講義33SYN洪水SYNFlood是當(dāng)前最流行的拒絕服務(wù)攻擊方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。SYNFlood是利用TCP連接的三次握手過程的特性實現(xiàn)的。2023/8/1網(wǎng)絡(luò)入侵與防范講義33SYN洪水SYNF2023/8/7網(wǎng)絡(luò)入侵與防范講義34SYN洪水在TCP連接的三次握手過程中，假設(shè)一個客戶端向服務(wù)器發(fā)送了SYN報文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN/ACK應(yīng)答報文后是無法收到客戶端的ACK報文的，這種情況下服務(wù)器端一般會重試，并等待一段時間后丟棄這個未完成的連接。這段時間的長度我們稱為SYNTimeout。一般來說這個時間是分鐘的數(shù)量級。一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況(偽造IP地址)，服務(wù)器端將為了維護(hù)一個非常大的半連接列表而消耗非常多的資源。2023/8/1網(wǎng)絡(luò)入侵與防范講義34SYN洪水在TCP連2023/8/7網(wǎng)絡(luò)入侵與防范講義35SYN洪水即使是簡單的保存并遍歷半連接列表也會消耗非常多的CPU時間和內(nèi)存，何況還要不斷對這個列表中的IP進(jìn)行SYN+ACK的重試。實際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰——既使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求，此時從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況就稱作：服務(wù)器端受到了SYNFlood攻擊(SYN洪水攻擊)。2023/8/1網(wǎng)絡(luò)入侵與防范講義35SYN洪水即使是簡單2023/8/7網(wǎng)絡(luò)入侵與防范講義36SYN“洪水”攻擊示意圖

2023/8/1網(wǎng)絡(luò)入侵與防范講義36SYN“洪水”攻擊示意2023/8/7網(wǎng)絡(luò)入侵與防范講義37SYN“洪水”攻擊實例局域網(wǎng)環(huán)境，有一臺攻擊機(jī)（PIII667/128/mandrake），被攻擊的是一臺Solaris8.0的主機(jī)，網(wǎng)絡(luò)設(shè)備是Cisco的百兆交換機(jī)。后面將顯示在Solaris上進(jìn)行snoop抓包的記錄。注：snoop與tcpdump等網(wǎng)絡(luò)監(jiān)聽工具一樣，是一個網(wǎng)絡(luò)抓包與分析工具。2023/8/1網(wǎng)絡(luò)入侵與防范講義37SYN“洪水”攻擊實例2023/8/7網(wǎng)絡(luò)入侵與防范講義38SYN“洪水”攻擊實例(2)

攻擊示意圖：2023/8/1網(wǎng)絡(luò)入侵與防范講義38SYN“洪水”攻擊實例2023/8/7網(wǎng)絡(luò)入侵與防范講義39SYN“洪水”攻擊實例(3)攻擊機(jī)開始發(fā)包，DoS開始了…，突然間Solaris主機(jī)上的snoop窗口開始飛速地翻屏，顯示出接到數(shù)量巨大的Syn請求。這時的屏幕就好象是時速300公里的列車上的一扇車窗。SynFlood攻擊時的snoop輸出結(jié)果如下頁圖所示。2023/8/1網(wǎng)絡(luò)入侵與防范講義39SYN“洪水”攻擊實例2023/8/7網(wǎng)絡(luò)入侵與防范講義40SYN“洪水”攻擊實例(4)2023/8/1網(wǎng)絡(luò)入侵與防范講義40SYN“洪水”攻擊實例2023/8/7網(wǎng)絡(luò)入侵與防范講義41SYN“洪水”攻擊實例(4)此時，目標(biāo)主機(jī)再也收不到剛才那些正常的網(wǎng)絡(luò)包，只有DoS包。大家注意一下，這里所有的SynFlood攻擊包的源地址都是偽造的，給追查工作帶來很大困難。這時在被攻擊主機(jī)上積累了多少Syn的半連接呢？用netstat來看一下：

#netstat-an|grepSYN。 結(jié)果如下頁圖所示。2023/8/1網(wǎng)絡(luò)入侵與防范講義41SYN“洪水”攻擊實例2023/8/7網(wǎng)絡(luò)入侵與防范講義422023/8/1網(wǎng)絡(luò)入侵與防范講義422023/8/7網(wǎng)絡(luò)入侵與防范講義43SYN“洪水”攻擊實例(5)

其中SYN_RCVD表示當(dāng)前未完成的TCPSYN隊列，統(tǒng)計一下（wc是文件內(nèi)容統(tǒng)計命令，-l選項表示統(tǒng)計行數(shù)）：

#netstat-an|grepSYN|wc-l

5273

#netstat-an|grepSYN|wc-l

5154

#netstat-an|grepSYN|wc-l

5267

…..

共有五千多個Syn的半連接存儲在內(nèi)存中。這時候被攻擊機(jī)已經(jīng)不能響應(yīng)新的服務(wù)請求了，系統(tǒng)運(yùn)行非常慢，也無法ping通。而這只是在攻擊發(fā)起后僅僅70秒鐘左右時的情況。2023/8/1網(wǎng)絡(luò)入侵與防范講義43SYN“洪水”攻擊實例2023/8/7網(wǎng)絡(luò)入侵與防范講義44SYN“洪水”的防御SYN洪水攻擊比較難以防御，以下是幾種解決方法：縮短SYNTimeout時間設(shè)置SYNCookie負(fù)反饋策略退讓策略分布式DNS負(fù)載均衡防火墻2023/8/1網(wǎng)絡(luò)入侵與防范講義44SYN“洪水”的防御S2023/8/7網(wǎng)絡(luò)入侵與防范講義45縮短SYNTimeout時間由于SYNFlood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個值=SYN攻擊的頻度xSYNTimeout，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄該連接的時間，可以成倍的降低服務(wù)器的負(fù)荷。2023/8/1網(wǎng)絡(luò)入侵與防范講義45縮短SYNTimeo2023/8/7網(wǎng)絡(luò)入侵與防范講義46設(shè)置SYNCookie就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN報文，就認(rèn)定是受到了攻擊，以后從這個IP地址來的包會被丟棄。2023/8/1網(wǎng)絡(luò)入侵與防范講義46設(shè)置SYNCooki2023/8/7網(wǎng)絡(luò)入侵與防范講義47負(fù)反饋策略正常情況下，OS對TCP連接的一些重要參數(shù)有一個常規(guī)的設(shè)置：SYNTimeout時間、SYN-ACK的重試次數(shù)、SYN報文從路由器到系統(tǒng)再到Winsock的延時等等。這個常規(guī)設(shè)置針對系統(tǒng)優(yōu)化，可以給用戶提供方便快捷的服務(wù)；一旦服務(wù)器受到攻擊，SYNHalflink的數(shù)量超過系統(tǒng)中TCP活動Halflink最大連接數(shù)的設(shè)置，系統(tǒng)將會認(rèn)為自己受到了SYNFlood攻擊，并將根據(jù)攻擊的判斷情況作出反應(yīng)：減短SYNTimeout時間、減少SYN-ACK的重試次數(shù)、自動對緩沖區(qū)中的報文進(jìn)行延時等等措施，力圖將攻擊危害減到最低。2023/8/1網(wǎng)絡(luò)入侵與防范講義47負(fù)反饋策略正常情況下，2023/8/7網(wǎng)絡(luò)入侵與防范講義48退讓策略退讓策略是基于SYNFlood攻擊代碼的一個缺陷：SYNFlood一旦攻擊開始，將不會再進(jìn)行域名解析。切入點(diǎn)：假設(shè)一臺服務(wù)器在受到SYNFlood攻擊后迅速更換自己的IP地址，那么攻擊者仍在不斷攻擊的只是一個空的IP地址，并沒有任何主機(jī)，而防御方只要將DNS解析更改到新的IP地址就能在很短的時間內(nèi)恢復(fù)用戶通過域名進(jìn)行的正常訪問。為了迷惑攻擊者，我們甚至可以放置一臺“犧牲”服務(wù)器讓攻擊者滿足于攻擊的“效果”。2023/8/1網(wǎng)絡(luò)入侵與防范講義48退讓策略退讓策略是基于2023/8/7網(wǎng)絡(luò)入侵與防范講義49分布式DNS負(fù)載均衡在眾多的負(fù)載均衡架構(gòu)中，基于DNS解析的負(fù)載均衡本身就擁有對SYNFlood的免疫力?；贒NS解析的負(fù)載均衡能將用戶的請求分配到不同IP的服務(wù)器主機(jī)上，攻擊者攻擊的永遠(yuǎn)只是其中一臺服務(wù)器，一來這樣增加了攻擊者的成本，二來過多的DNS請求可以幫助我們追查攻擊者的真正蹤跡。2023/8/1網(wǎng)絡(luò)入侵與防范講義49分布式DNS負(fù)載均衡在2023/8/7網(wǎng)絡(luò)入侵與防范講義50防火墻在防火墻設(shè)置了正確的規(guī)則后，可以識別SYNFlood攻擊所采用的攻擊方法，并將攻擊包阻擋在外。2023/8/1網(wǎng)絡(luò)入侵與防范講義50防火墻在防火墻設(shè)置了正2023/8/7網(wǎng)絡(luò)入侵與防范講義51Land攻擊Land是因特網(wǎng)上最常見的拒絕服務(wù)攻擊類型，它是由著名黑客組織rootshell發(fā)現(xiàn)的。原理很簡單，向目標(biāo)機(jī)發(fā)送大量的源地址和目標(biāo)地址相同的包，造成目標(biāo)機(jī)解析Land包時占用大量的系統(tǒng)資源，從而使網(wǎng)絡(luò)功能完全癱瘓。2023/8/1網(wǎng)絡(luò)入侵與防范講義51Land攻擊Land2023/8/7網(wǎng)絡(luò)入侵與防范講義52Land攻擊Land攻擊也是利用TCP的三次握手過程的缺陷進(jìn)行攻擊。Land攻擊是向目標(biāo)主機(jī)發(fā)送一個特殊的SYN包，包中的源地址和目標(biāo)地址都是目標(biāo)主機(jī)的地址。目標(biāo)主機(jī)收到這樣的連接請求時會向自己發(fā)送SYN/ACK數(shù)據(jù)包，結(jié)果導(dǎo)致目標(biāo)主機(jī)向自己發(fā)回ACK數(shù)據(jù)包并創(chuàng)建一個連接。大量的這樣的數(shù)據(jù)包將使目標(biāo)主機(jī)建立很多無效的連接，系統(tǒng)資源被大量的占用。2023/8/1網(wǎng)絡(luò)入侵與防范講義52Land攻擊Land2023/8/7網(wǎng)絡(luò)入侵與防范講義53Land攻擊Land攻擊示意圖：2023/8/1網(wǎng)絡(luò)入侵與防范講義53Land攻擊Land2023/8/7網(wǎng)絡(luò)入侵與防范講義54Land攻擊Land攻擊可簡要概括如下：攻擊特征：用于Land攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的。操作系統(tǒng)接收到這類數(shù)據(jù)包時，不知道該如何處理堆棧中的這種情況，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。檢測方法：判斷網(wǎng)絡(luò)數(shù)據(jù)包的源/目標(biāo)地址是否相同。反攻擊方法：適當(dāng)配置防火墻設(shè)備或過濾路由器的過濾規(guī)則可以防止這種攻擊行為，并對這種攻擊進(jìn)行審計。2023/8/1網(wǎng)絡(luò)入侵與防范講義54Land攻擊Land2023/8/7網(wǎng)絡(luò)入侵與防范講義55Smurf攻擊Smurf攻擊是利用IP欺騙和ICMP回應(yīng)包引起目標(biāo)主機(jī)網(wǎng)絡(luò)阻塞，實現(xiàn)DoS攻擊。Smurf攻擊原理：在構(gòu)造數(shù)據(jù)包時將源地址設(shè)置為被攻擊主機(jī)的地址，而將目的地址設(shè)置為廣播地址，于是，大量的ICMPecho回應(yīng)包被發(fā)送給被攻擊主機(jī)，使其因網(wǎng)絡(luò)阻塞而無法提供服務(wù)。比PingofDeath洪水的流量高出1或2個數(shù)量級。2023/8/1網(wǎng)絡(luò)入侵與防范講義55Smurf攻擊Smu2023/8/7網(wǎng)絡(luò)入侵與防范講義56Smurf攻擊Smurf攻擊示意圖：2023/8/1網(wǎng)絡(luò)入侵與防范講義56Smurf攻擊Smu2023/8/7網(wǎng)絡(luò)入侵與防范講義57Smurf攻擊如上例所示，入侵者的主機(jī)發(fā)送了一個數(shù)據(jù)包，而目標(biāo)主機(jī)就收到了三個回復(fù)數(shù)據(jù)包。如果目標(biāo)網(wǎng)絡(luò)是一個很大的以太網(wǎng)，有200臺主機(jī)，那么在這種情況下，入侵者每發(fā)送一個ICMP數(shù)據(jù)包，目標(biāo)主機(jī)就會收到200個數(shù)據(jù)包，因此目標(biāo)主機(jī)很快就會被大量的回復(fù)信息吞沒，無法處理其他的任何網(wǎng)絡(luò)傳輸。這種攻擊不僅影響目標(biāo)主機(jī)，還能影響目標(biāo)主機(jī)的整個網(wǎng)絡(luò)系統(tǒng)。2023/8/1網(wǎng)絡(luò)入侵與防范講義57Smurf攻擊如上例2023/8/7網(wǎng)絡(luò)入侵與防范講義58Smurf攻擊例子B類網(wǎng)絡(luò)攻擊者冒充服務(wù)器向一個B類網(wǎng)絡(luò)的廣播地址發(fā)送ICMPecho包整個B類網(wǎng)絡(luò)的所有系統(tǒng)都向此服務(wù)器回應(yīng)一個icmpreply包2023/8/1網(wǎng)絡(luò)入侵與防范講義58Smurf攻擊例子B類2023/8/7網(wǎng)絡(luò)入侵與防范講義59Fraggle攻擊Fraggle攻擊原理與Smurf一樣，也是采用向廣播地址發(fā)送數(shù)據(jù)包，利用廣播地址的特性將攻擊放大以使目標(biāo)主機(jī)拒絕服務(wù)。不同的是，F(xiàn)raggle使用的是UDP應(yīng)答消息而非ICMP。2023/8/1網(wǎng)絡(luò)入侵與防范講義59Fraggle攻擊F2023/8/7網(wǎng)絡(luò)入侵與防范講義60電子郵件炸彈電子郵件炸彈是最古老的匿名攻擊之一，由于這種攻擊方式簡單易用，互聯(lián)網(wǎng)上也很容易找到這些發(fā)送匿名郵件的工具，并且入侵者只需要知道對方的電子郵件地址就可以進(jìn)行攻擊了。傳統(tǒng)的電子郵件炸彈只是簡單的往你的郵箱里發(fā)送大量的郵件，入侵者的目的是要用垃圾郵件填滿你的郵箱后，正常的郵件就會因空間不夠而被服務(wù)器拒收。2023/8/1網(wǎng)絡(luò)入侵與防范講義60電子郵件炸彈電子郵件2023/8/7網(wǎng)絡(luò)入侵與防范講義61電子郵件炸彈如果用戶的郵箱使用空間不受限制，那么電子郵件炸彈攻擊就有可能影響到服務(wù)器的正常工作了。最有可能的情況是入侵者不斷發(fā)送大量的電子郵件，由于用戶的郵箱空間不受限制，服務(wù)器會接收全部的郵件并保存在硬盤上。大量到來的郵件將不斷吞噬服務(wù)器上的硬盤空間，最終將耗盡服務(wù)器上的所有硬盤空間，使得服務(wù)器無法再對外服務(wù)。還有一種可能是通過設(shè)置一臺機(jī)器不斷地大量向同一地址發(fā)送電子郵件，入侵者能夠耗盡接收者網(wǎng)絡(luò)的帶寬。2023/8/1網(wǎng)絡(luò)入侵與防范講義61電子郵件炸彈如果用戶2023/8/7網(wǎng)絡(luò)入侵與防范講義62電子郵件炸彈電子郵件是通過SMTP協(xié)議進(jìn)行發(fā)送的，最初的SMTP協(xié)議服務(wù)是不需要進(jìn)行身份認(rèn)證的，在發(fā)送電子郵件的過程中不對用戶進(jìn)行身份認(rèn)證。SMTP不會進(jìn)行認(rèn)證，郵件的發(fā)送人可以偽造任何郵件地址，甚至可以不寫發(fā)件人的信息。這就是能發(fā)送匿名郵件的原因。針對SMTP的問題，新的SMTP協(xié)議規(guī)范新增了2個命令，對發(fā)送郵件的發(fā)件人進(jìn)行身份認(rèn)證，在一定程度上降低了匿名電子郵件的風(fēng)險。2023/8/1網(wǎng)絡(luò)入侵與防范講義62電子郵件炸彈電子郵件2023/8/7網(wǎng)絡(luò)入侵與防范講義63畸形消息攻擊畸形消息攻擊是一種有針對性的攻擊方式，它利用目標(biāo)主機(jī)或者特定服務(wù)存在的安全漏洞進(jìn)行攻擊。目前無論是Windows、Unix、Linux等各類操作系統(tǒng)上的許多服務(wù)都存在安全漏洞，由于這些服務(wù)在處理信息之前沒有進(jìn)行適當(dāng)正確的錯誤校驗，所以一旦收到畸形的信息就有可能會崩潰。2023/8/1網(wǎng)絡(luò)入侵與防范講義63畸形消息攻擊畸形消息2023/8/7網(wǎng)絡(luò)入侵與防范講義64畸形消息攻擊例如，在IIS5沒有安裝相應(yīng)的修補(bǔ)包以及沒有相應(yīng)的安全措施時，向IIS5服務(wù)器遞交如下的URL會導(dǎo)致IIS5停止服務(wù)：http://testIP/...[25kbof‘.’]...ida

而向IIS5遞交如下的HTTP請求會導(dǎo)致IIS系統(tǒng)的崩潰，需要重啟動才能恢復(fù)：

“GET/......[3k].......htrHTTP/1.0”這兩者都是向服務(wù)器提交正常情況下不會出現(xiàn)的請求，導(dǎo)致服務(wù)器處理錯誤而崩潰，是典型的畸形消息攻擊。2023/8/1網(wǎng)絡(luò)入侵與防范講義64畸形消息攻擊例如，在2023/8/7網(wǎng)絡(luò)入侵與防范講義65SlashdoteffectSlashdoteffect來自S這個網(wǎng)站，這曾是十分知名而且瀏覽人數(shù)十分龐大的IT、電子、娛樂網(wǎng)站，也是blog網(wǎng)站的開宗始祖之一。由于S的知名度和瀏覽人數(shù)的影響，在S上的文章中放入的網(wǎng)站鏈接，有可能一瞬間被點(diǎn)入上千次，甚至上萬次，造成這個被鏈接的網(wǎng)站承受不住突然增加的連接請求，出現(xiàn)響應(yīng)變慢、崩潰、拒絕服務(wù)。這種現(xiàn)象就稱為Slashdoteffect，這種瞬間產(chǎn)生的大量進(jìn)入某網(wǎng)站的動作，也稱作Slashdotting。2023/8/1網(wǎng)絡(luò)入侵與防范講義65Slashdote2023/8/7網(wǎng)絡(luò)入侵與防范講義66Slashdoteffect這種攻擊手法使web服務(wù)器或其他類型的服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過載，一般這些網(wǎng)絡(luò)流量是針對某一個頁面或一個鏈接而產(chǎn)生的。當(dāng)然這種現(xiàn)象也會在訪問量較大的網(wǎng)站上正常的發(fā)生，但一定要把這些正?，F(xiàn)象和攻擊區(qū)分開來。如果您的服務(wù)器突然變得擁