第8章-拒絕服務攻擊

第八章拒絕服務攻擊2024/10/2網(wǎng)絡攻防技術(shù)2本章主要內(nèi)容8.1

概述8.2

典型拒絕服務攻擊8.3

分布式拒絕服務攻擊8.4

拒絕服務攻擊防御一、拒絕攻擊服務案例1988年，Morris蠕蟲爆發(fā)，其傳播機制是此后僵尸網(wǎng)絡構(gòu)建方法的雛形2024/10/2網(wǎng)絡攻防技術(shù)3一、拒絕攻擊服務案例2000年，MafiaBoy使用TFN2K對Yahoo、Ebay、Amazon實施了DDOS攻擊2024/10/2網(wǎng)絡攻防技術(shù)4一、拒絕攻擊服務案例2010年，Anonymous為支持Wikileak，對瑞士銀行、Paypal等發(fā)動DDOS攻擊2024/10/2網(wǎng)絡攻防技術(shù)5一、拒絕攻擊服務案例2016年，網(wǎng)絡服務提供商Dyn的域名服務受到Mirai僵尸網(wǎng)絡發(fā)動的分布式拒絕服務攻擊，Netflix、Twitter等著名網(wǎng)站受到攻擊影響而無法訪問。此次攻擊的峰值流量達到1.2Tbps2024/10/2網(wǎng)絡攻防技術(shù)6二、拒絕服務攻擊概念指攻擊者通過攻擊網(wǎng)絡節(jié)點、網(wǎng)絡鏈路或網(wǎng)絡應用，致使合法用戶無法得到正常服務響應的網(wǎng)絡攻擊行為廣義而言，拒絕服務攻擊可以泛指一切導致目標服務不可用的攻擊手段，包括物理環(huán)境、硬件、軟件等各個層面所實施的破壞。在網(wǎng)絡安全相關研究中，論及拒絕服務攻擊時多數(shù)指上述狹義的內(nèi)涵2024/10/2網(wǎng)絡攻防技術(shù)7三、拒絕服務攻擊分類1、漏洞型拒絕服務攻擊：指利用軟件實現(xiàn)中存在的漏洞，致使服務崩潰或者系統(tǒng)異常。具體如:PingofDeath;TearofDrop…2024/10/2網(wǎng)絡攻防技術(shù)8三、拒絕服務攻擊分類2、重定向型拒絕服務攻擊：指利用網(wǎng)絡協(xié)議的設計缺陷，使目標傳輸?shù)臄?shù)據(jù)被重定向至錯誤的網(wǎng)絡地址，從而無法進行正常的網(wǎng)絡通信。具體如:基于ARP欺騙、基于DNS欺騙等2024/10/2網(wǎng)絡攻防技術(shù)9三、拒絕服務攻擊分類3、資源消耗型拒絕服務攻擊：指通過大量的請求占用網(wǎng)絡帶寬或系統(tǒng)資源，從而導致服務可用性下降甚至喪失。具體如SYNFLOOD、UDPFLOOD、HTTPFLOOD等2024/10/2網(wǎng)絡攻防技術(shù)102024/10/2網(wǎng)絡攻防技術(shù)11本章主要內(nèi)容8.1

概述8.2

典型拒絕服務攻擊8.3

分布式拒絕服務攻擊8.4

拒絕服務攻擊防御一、傳統(tǒng)拒絕服務攻擊傳統(tǒng)拒絕服務型攻擊多數(shù)是一些較早時間出現(xiàn)的漏洞利用型拒絕服務攻擊技術(shù)。雖然這些漏洞利用型攻擊可以通過更新相關安全補丁即可防范，但導致攻擊的漏洞有時會變換形式再度出現(xiàn)在其它系統(tǒng)或軟件中，使得這些看似“古老”的攻擊技術(shù)會如同“幽靈”般再次浮現(xiàn)。2024/10/2網(wǎng)絡攻防技術(shù)12一、傳統(tǒng)拒絕服務攻擊1、PingofDeath：針對存在漏洞的Windows95、WinNT、Linux2.0.x等系統(tǒng)，通過向其發(fā)送超長的IP數(shù)據(jù)包導致目標系統(tǒng)拒絕服務。2024/10/2網(wǎng)絡攻防技術(shù)13一、傳統(tǒng)拒絕服務攻擊2、TearDrop：利用IP包的分片重組在多個操作系統(tǒng)協(xié)議棧中實現(xiàn)時存在的漏洞，主要影響Windows3.1x，Windows95和WindowsNT，以及早于2.0.32和2.1.63版本的Linux操作系統(tǒng)。2024/10/2網(wǎng)絡攻防技術(shù)14一、傳統(tǒng)拒絕服務攻擊3、Land攻擊：發(fā)送一個偽造的TCPSYN報文，源地址和目的地址設置均為目標IP地址，源端口和目標端口設置為目標某個開放的TCP端口，可以導致目標主機死鎖。Windows95、WindowsNT、FreeBSD2.2.5、SunOS4.1.3，甚至多款Cisco路由器在接收到此報文后，均會產(chǎn)生拒絕服務。2024/10/2網(wǎng)絡攻防技術(shù)15二、洪泛攻擊洪泛攻擊的共同特征是發(fā)送大量的數(shù)據(jù)包，迫使目標服務消耗大量資源來處理無用請求。根據(jù)攻擊發(fā)生的協(xié)議層次，洪泛攻擊可以分為網(wǎng)絡層洪泛、傳輸層洪泛和應用層洪泛等，具體的常見洪泛攻擊包括TCP洪泛、UDP洪泛、HTTP洪泛。2024/10/2網(wǎng)絡攻防技術(shù)16二、洪泛攻擊1、TCP洪泛（TCPFlood）又稱為SYN洪泛（SYNFlood），是一種通過發(fā)送大量偽造的TCP連接請求，致使目標服務TCP連接資源被耗盡的拒絕服務攻擊。2024/10/2網(wǎng)絡攻防技術(shù)17二、洪泛攻擊攻擊者向服務器某個開放端口發(fā)送大量SYN連接請求并忽略服務器SYN/ACK響應，導致服務器消耗可觀的資源用于維護大量未完成的TCP半連接，最終使合法的服務請求者無法得到正常響應。2024/10/2網(wǎng)絡攻防技術(shù)18二、洪泛攻擊2、UDP洪泛（UDPFlood）是一種通過發(fā)送大量的UDP報文，消耗目標服務器帶寬資源的一種拒絕服務攻擊。2024/10/2網(wǎng)絡攻防技術(shù)19二、洪泛攻擊UDP洪泛是一類拒絕服務攻擊的統(tǒng)稱，最早出現(xiàn)的UDP洪泛攻擊是前文提到的Echo/Chargen攻擊，后文將討論的目前廣泛流行的反射型分布式拒絕服務攻擊實際上也多為UDP洪泛攻擊。2024/10/2網(wǎng)絡攻防技術(shù)20二、洪泛攻擊3、HTTP洪泛（HTTPFlood）利用大量看似合法的HTTPGET或POST請求消耗Web服務器資源，最終導致其無法響應真正合法的請求。2024/10/2網(wǎng)絡攻防技術(shù)21二、洪泛攻擊HTTP洪泛并不以流量“取勝”。攻擊者通常會對針對性地對目標Web服務器進行分析，選擇可以更多消耗目標服務器資源的Web請求實施洪泛。2024/10/2網(wǎng)絡攻防技術(shù)22三、低速率拒絕服務攻擊低速率拒絕服務（LDoS,Low-rateDenial-of-Service）攻擊，是利用網(wǎng)絡協(xié)議或應用服務協(xié)議中的自適應機制存在的安全問題，通過周期性地發(fā)送高速脈沖攻擊數(shù)據(jù)包，達到降低被攻擊主機服務性能的目的。2024/10/2網(wǎng)絡攻防技術(shù)23三、低速率拒絕服務攻擊1、TCP擁塞控制-RTO發(fā)送端為發(fā)送的每個報文設置一個定時器，若收到報文的確認之前定時器超時將重新發(fā)送該報文，這里設置的定時器就是RTO2024/10/2網(wǎng)絡攻防技術(shù)24三、低速率拒絕服務攻擊1、TCP擁塞控制-AIMD發(fā)送端在收到3個重復的ACK數(shù)據(jù)包時就開啟重傳，啟動AIMD算法調(diào)整擁塞窗口大小。2024/10/2網(wǎng)絡攻防技術(shù)25三、低速率拒絕服務攻擊2024/10/2網(wǎng)絡攻防技術(shù)26在多數(shù)TCP協(xié)議實現(xiàn)中，擁塞控制綜合使用多種機制來調(diào)整源端的發(fā)送速率在鏈路輕度擁塞的情況下，表現(xiàn)為發(fā)送端重復收到3個相同的確認報文，主要是采用AIMD策略實現(xiàn)擁塞控制而當網(wǎng)絡重度擁塞的時候，表現(xiàn)為在超時重傳時間內(nèi)沒有收到確認，此時使用RTO機制三、低速率拒絕服務攻擊2、低速率拒絕服務攻擊原理

LDoS攻擊利用TCP擁塞控制機制，故意制造網(wǎng)絡擁塞狀況，使擁塞控制一直處于調(diào)整狀態(tài)，發(fā)送端的發(fā)送速率會迅速變小，導致被攻擊主機的服務性能顯著降低2024/10/2網(wǎng)絡攻防技術(shù)272024/10/2網(wǎng)絡攻防技術(shù)28本章主要內(nèi)容8.1

概述8.2

典型拒絕服務攻擊8.3

分布式拒絕服務攻擊8.4

拒絕服務攻擊防御分布式拒絕服務攻擊分布式拒絕服務攻擊指采用協(xié)作的方式，利用網(wǎng)絡中位置分布的大量主機向目標發(fā)起的拒絕服務攻擊。按照協(xié)同方式的不同分為：僵尸網(wǎng)絡的分布式拒絕服務攻擊反射型分布式拒絕服務攻擊2024/10/2網(wǎng)絡攻防技術(shù)29一、基于僵尸網(wǎng)絡的DDoS1、僵尸網(wǎng)絡基本概念僵尸網(wǎng)絡：是攻擊者出于惡意目的，傳播僵尸程序控制大量主機，并通過一對多的命令與控制信道所組成的網(wǎng)絡。僵尸主機：又稱為傀儡機，指被攻擊者控制，接受并執(zhí)行攻擊者指令的計算機，往往被控制者用來發(fā)起大規(guī)模的網(wǎng)絡攻擊，也就是安裝了僵尸程序的計算機。2024/10/2網(wǎng)絡攻防技術(shù)30一、基于僵尸網(wǎng)絡的DDoS1、僵尸網(wǎng)絡基本概念僵尸程序：又稱為傀儡程序，由英文單詞Robot派生而來，通常指秘密運行在被他人控制的計算機中，可以接收預定義命令和執(zhí)行預定義功能的程序。命令控制機制：指攻擊者用來操縱僵尸網(wǎng)絡的命令語言及控制協(xié)議。命令控制機制是僵尸網(wǎng)絡區(qū)別于其它惡意代碼形態(tài)最為本質(zhì)的屬性。2024/10/2網(wǎng)絡攻防技術(shù)31一、基于僵尸網(wǎng)絡的DDoS2、集中式命令控制機制僵尸節(jié)點通過連接到一個或多個控制服務器來獲取控制信息或命令。基于IRC協(xié)議的僵尸網(wǎng)絡和基于HTTP協(xié)議的僵尸網(wǎng)絡都屬于集中式命令控制機制的僵尸網(wǎng)絡。2024/10/2網(wǎng)絡攻防技術(shù)32一、基于僵尸網(wǎng)絡的DDoS3、分布式命令控制機制在使用分布式命令控制機制時，攻擊者通常會任意地連接到某個僵尸節(jié)點，在該節(jié)點上發(fā)布命令控制信息，命令會采用Push或Pull的方式在整個僵尸網(wǎng)絡中傳遞。2024/10/2網(wǎng)絡攻防技術(shù)33一、基于僵尸網(wǎng)絡的DDoS4、利用僵尸網(wǎng)絡發(fā)動拒絕服務攻擊2024/10/2網(wǎng)絡攻防技術(shù)34一、基于僵尸網(wǎng)絡的DDoS4、利用僵尸網(wǎng)絡發(fā)動拒絕服務攻擊攻擊者借助僵尸網(wǎng)絡發(fā)動DDoS攻擊通常需要經(jīng)過以下幾個階段：構(gòu)建僵尸網(wǎng)絡收集目標信息實施DDoS攻擊2024/10/2網(wǎng)絡攻防技術(shù)35二、反射型DDoS反射型分布式拒絕服務攻擊是從基于僵尸網(wǎng)絡的分布式拒絕服務攻擊衍生而來。在RDDoS攻擊中，攻擊者利用反射器將大量的響應包匯集到受害者主機，導致拒絕服務。2024/10/2網(wǎng)絡攻防技術(shù)36二、反射型DDoS1、DNS反射攻擊通過向DNS服務器發(fā)送偽造源地址的查詢請求將應答流量導向攻擊目標，亦稱為DNS放大攻擊。利用LDAP服務器可將攻擊流量平均放大46倍，最高可放大55倍。2024/10/2網(wǎng)絡攻防技術(shù)37二、反射型DDoS2、LDAP放大攻擊通過向LDAP（LightweightDirectoryAccessProtocol，輕量目錄訪問協(xié)議）服務器發(fā)送偽造源地址的查詢請求來將應答流量導向攻擊目標。利用LDAP服務器可將攻擊流量平均放大46倍，最高可放大55倍。2024/10/2網(wǎng)絡攻防技術(shù)38二、反射型DDoS2、NTP放大攻擊通過向NTP（NetworkTimeProtocol，網(wǎng)絡時間協(xié)議）服務器發(fā)送偽造源地址的查詢請求將應答流量導向攻擊目標。2024/10/2網(wǎng)絡攻防技術(shù)392024/10/2網(wǎng)絡攻防技術(shù)40本章主要內(nèi)容8.1

概述8.2

典型拒絕服務攻擊8.3

分布式拒絕服務攻擊8.4

拒絕服務攻擊防御拒絕服務攻擊防御從部署位置的角度可以分為源端防御、目標端防御、中間網(wǎng)絡防御和混合防御2024/10/2網(wǎng)絡攻防技術(shù)41拒絕服務攻擊防御從技術(shù)的角度，拒絕服務攻擊的防御可以分為預防、檢測、響應與容忍：預防著眼于在攻擊發(fā)生前消除拒絕服務攻擊的可能性檢測是檢測拒絕服務攻擊的發(fā)生，區(qū)分攻擊流量和正常流量，為后續(xù)的響應提供依據(jù)響應關注于在拒絕服務攻擊發(fā)生后降低乃至消除攻擊的危害與影響容忍致力于在拒絕服務攻擊發(fā)生后保持服務的可用性2024/10/2網(wǎng)絡攻防技術(shù)42一、預防拒絕服務攻擊的預防是在攻擊發(fā)生前阻止攻擊，具體措施包括：抑制僵尸網(wǎng)絡規(guī)模過濾偽造源地址報文減少可用反射/放大器2024/10/2網(wǎng)絡攻防技術(shù)43二、檢測拒絕服務攻擊檢測是在攻擊過程發(fā)現(xiàn)攻擊，并區(qū)分攻擊流量與正常流量，具體方法包括：特征檢測：通過分析得到攻擊行為區(qū)別于其它正常用戶訪問行為的唯一特征，并據(jù)此建立已知攻擊的特征庫異常檢測：攻擊會導致當前的網(wǎng)絡狀態(tài)與正常網(wǎng)絡狀態(tài)模型產(chǎn)生顯著的不同。異常檢測通過對比兩者檢測出攻擊的發(fā)生2024/10/2網(wǎng)絡攻防技術(shù)44三、響應拒絕服務攻擊響應是指在拒絕服務攻擊發(fā)生后降低乃至消除攻擊的危害與影響，目前的主要方法稱為：“流量清洗”：對攻擊流量進行過濾，設法將惡意的網(wǎng)絡流量剔除掉，只將合法的網(wǎng)絡流量交付服務器2024/10/2網(wǎng)絡攻防技術(shù)45四、容忍拒絕服務攻擊容忍是指通過提高處理請求的能力來消除攻擊的影響：CDN（內(nèi)容分發(fā)網(wǎng)絡）AnyCast（任播）2024/10/2網(wǎng)絡攻防技術(shù)46四、容忍1、CDN在互聯(lián)網(wǎng)范圍內(nèi)廣泛設置多