《拒绝服务攻击ppt课件》由会员分享,可在线阅读,更多相关《拒绝服务攻击ppt课件(46页珍藏版)》请在金锄头文库上搜索。
1、网络与系统攻击技术,第三章 拒绝服务攻击,本章主要内容,拒绝服务攻击DoS概念 DoS原理及分类 分布式拒绝服务攻击(DDoS) DoS发展趋势,2,国内僵尸网络起源和发展,早在2001年,国内一些安全爱好者就开始研究僵尸程序(只作为研究) 。 2003年3月8日,在我国首先发现的口令蠕虫(国外称之为“Deloader”或“Deloder”)就可以视为僵尸网络 。 2004年末爆发的一场浩荡的僵尸网络攻击事件,就将这个埋藏在中国数年之久的隐患释放 。,3,僵尸网络飞速发展,2009年5月1日至31日,CNCERT/CC对僵尸网络的活动状况进行了抽样监测,发现国内外1212个IP地址对应的主机被
2、利用作为僵尸网络控制服务器 。 就全球感染情况来说,目前,英国是感染Bot最多的国家。如表所示,已知感染Bot 的计算机中有32%来自英国,19%来自美国,7%来自中国,我国的Bot感染率赫然名列第三。,4,全球僵尸网络增长情况表,网络信息安全,5,DoS概念,DoS的英文全称是Denial of Service即“拒绝服务”的意思。 DoS攻击是指利用网络协议漏洞或其他系统以及应用软件的漏洞耗尽被攻击目标资源,使得被攻击的计算机或网络无法正常提供服务,直至系统停止响应甚至崩溃的攻击方式。即攻击者通过某种手段,导致目标机器或网络停止向合法用户提供正常的服务或资源访问。,6,DoS原理及分类,D
3、oS原理:,7,DoS原理,攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息。 由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。 当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。,8,DoS的基本模式,(1) 资源耗尽型,9,DoS的基本模式, 消耗网络带宽。 攻击者有意制造大量的数据报或传输大量文件以占用有限的网络带宽,致使合法用户无法正常使用网络资源。 消耗磁盘空间。 攻击者利用磁盘空间的有限性或存储空间大小控制的缺陷,短时间内制造大量
4、的垃圾信息,使系统或用户因没有磁盘空间而停止工作。 消耗CPU和内存资源。 操作系统需要提供CPU和内存资源给许多进程共用,攻击者利用系统中存在的缺陷,有意使用大量的CPU和内存资源,导致系统服务性能下降甚至造成系统崩溃。例如:,UNIX系统中,编制下面的C程序可以实现消耗CPU资源和内存资源的攻击。 main() fork(); main(); ,10,DoS的基本模式,(2) 配置修改型,改变路由信息; 修改 Windows NT注册表; 修改UNIX系统的各种配置文件,如/etc目录下的各种文件。,11,DoS的基本模式,(3) 基于系统缺陷型 攻击者利用目标系统和通信协议的漏洞实现拒绝
5、服务攻击。 例如一些系统出于安全考虑,限制用户试探口令次数和注册等待时间。当用户口令输入次数超过若干次,或注册等待时间超过某个时间值,系统就会停止该用户的使用权。攻击者利用系统这个安全特点,有意输错口令导致系统锁定该用户帐号,致使该用户得不到应有的服务。 (4) 物理实体破坏型 这种拒绝服务攻击针对物理设备。攻击者通过破坏或改变网络部件实现拒绝服务攻击,其攻击的目标包括: 计算机、路由器、网络配线室、网络主干段、电源、冷却设备。,12,DoS攻击的基本形式,(1) 服务过载 当大量的服务请求发向一台计算机中的服务守护进程时,就会发生服务过载。 计算机忙碌地处理不断到来的服务请求,以至于无法处理
6、常规的任务。同时,许多新到来的请求被丢弃。 如果攻击的是一个基于TCP协议的服务,那么这些请求的包还会被重发,结果更加重了网络的负担。,13,DoS攻击的基本形式,(2) 消息流 消息流发生于用户向一台网络上的目标主机发送大量的数据报,来延缓目标主机的处理速度,阻止它处理正常任务的这种情况。 这些请求可能是请求文件服务,要求登录或者仅仅是简单的要求响应数据报。 (3) 信号接地 物理方法也可以关闭一个网络。将网络的电缆接地,引入一些其他信号或者将以太网上的端接器拿走,都可以有效地阻止客户发送或者接收消息。,“广播风暴”,14,(4) 粘住攻击 可以使用TCP的半连接耗尽资源。 如果攻击者发出多
7、个连接请求。初步建立了连接,但又没有完成其后的连接步骤,接收者便会保留许多这种半连接,占据有限的资源。 通常这些连接请求使用的是伪造的源地址表明连接来自于一台不存在的主机或者一台无法访问的主机。,DoS攻击的基本形式,15,DoS攻击分类,DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。 SYN Flood 死ping(ping of death) 泪滴(teardrop) Smurf攻击 Land攻击 分布式拒绝服务攻击 ,16,SYN Flood攻击,17,SYN Flood攻击,对Windows NT攻击很有效 利用IP
8、欺骗技术。 例:Windows NT3.5和4.0中缺省设置为可重复发送SYNACK答复5次。要等待3+6+12+24+48+96=189秒之后,才释放资源。,18,SYN Flood攻击,SYN Flood远程拒绝服务攻击具有以下特点: 针对TCP/IP协议的薄弱环节进行攻击; 发动攻击时,只要很少的数据流量就可以产生显著的效果; 攻击来源无法定位; 在服务端无法区分TCP连接请求是否合法。 防御措施: 在防火墙上过滤来自同一主机的后续连接。SYN洪水威胁很大,由于释放洪流的主机并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。,19,死ping(ping of death),在早期版
9、本中许多操作系统对网络数据包的最大尺寸有限制,对TCP/IP栈的实现在ICMP包上规定为64KB。在读取包的报头后,要根据该报头里包含的信息来为有效载荷生成缓冲区。 当发送ping请求的数据包声称自己的尺寸超过ICMP上限,也就是加载的尺寸超过64K上限时,就会使ping请求接收方出现内存分配错误,导致TCP/IP堆栈崩溃致使接受方当机。,20,死ping(ping of death),防御: 现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括从windows98之后的windows,NT(service pack 3之后) linux, Sol
10、aris 和Mac OS都具有抵抗一般ping of death攻击的能力。 此外对防火墙进行配置,阻断ICMP以及任何未知协议都将防止此类攻击。,21,泪滴(teardrop),泪滴攻击利用那些在TCP/IP堆栈实现中,信任IP碎片中的包的标题头所包含的信息来实现攻击。 IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP 包括service pack 4以前的NT 在收到含有重叠偏移的伪造分段时将崩溃。 例如一个40个字节的数据报被分为两片,第一片数据发送036个字节,而第二片发送2427字节,在某些情况下会破坏整个IP协议栈,必须重新启动计算机才能恢复。,22,补充:IP
11、数据包格式,23,泪滴(teardrop),防御: 服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。,24,特别打造一个SYN包,其源地址和目标地址都被设置成某一个服务器地址; 导致接收服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接; 每一个这样的连接都将保留直到超时; 许多UNIX将崩溃,NT变的极其缓慢(大约持续五分钟)。,Land攻击,25,通过采用ICMP技术进行攻击。 (a)攻击者找出网络上有哪些路由器会回应ICMP请求。 (b)用一个虚假的IP源地址向路由器的广播地址发出讯息,路由器会把这些讯息广播到网络上所连接的
12、每一台设备。 (c)这些设备马上回应,同时产生大量讯息流量,从而占用所有设备的资源及网络带宽,而回应的地址就是受攻击的目标。,Smurf攻击,26,Smurf攻击示意图,27,Fraggle攻击与Smurf攻击类似,但它使用的不是ICMP,而是 UDP Echo。 防范 :在防火墙上过滤UDP应答消息,Fraggle攻击,28,基本原理是利用工具软件,集中在一段时间内,向目标机发送大量垃圾信息,或是发送超出系统接收范围的信息,使对方出现负载过重、网络堵塞等状况,从而造成目标的系统崩溃及拒绝服务。 常见的炸弹攻击有邮件炸弹、聊天室炸弹等。 防御:对邮件地址进行配置,自动删除来自同一主机的过量或重
13、复的消息。,炸弹攻击,29,分布式拒绝服务攻击(DDoS),拒绝服务攻击的发展趋势: DDoS(分布式拒绝服务),它的英文全称为Distributed Denial of Service,它是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,如商业公司,搜索引擎和政府部门的站点。 我们可以看出DoS攻击只要一台单机和一个modem就可实现,与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。,30,DDoS,DDoS攻击分为3层:攻击者、主控端、代理端,三者在攻击中扮演着不同的角色
14、。 攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。,31,DDoS,主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。 代理端:代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令。代理端主机是攻击的执行者,真正向受害者主机发送攻击。,32,DDoS攻击体系结构图,33,DDoS攻击,最重要的第2和第3部分:它们分别用做
15、控制和实际发起攻击。 第4部分的受害者:DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。,34,攻击的流向是这样的攻击者-master-分布端-目标主机。 从分布端向受害者目标主机发送的DDoS都是UDP报文,每一个包含4个空字符,这些报文都从一个端口发出,但随机袭击目标主机上的不同端口。目标主机对每一个报文回复一个ICMP Port Unreachable的信息,大量不同主机发来的这些洪水般的报文源源不断目标主机将很快慢下来,直至剩余带宽变为0。,用工具软件实现DDoS攻击,35,应付DDoS攻击的策略,(1)IDS的检测方法是:分析一系列的
16、UDP报文,寻找那些针对不同目标端口,但来自于相同源端口的UDP报文。或者取10个左右的UDP报文分析那些来自于相同的源IP、相同的目标IP、相同的源端口,但不同的目标端口的报文。这样可以逐一识别攻击的来源。 (2)寻找那些相同的源地址和相同的目标地址的ICMP Port Unreachable的信息。 (3)由于DDoS攻击的主要目的是消耗主机的带宽,所以很难抵挡。,36,僵尸网络(Botnet),基本概念 Bot: 机器人(Robot)的缩写,是一段可以自动执行预先设定功能,可以被控制,具有一定人工智能的程序。通常带有恶意代码的Bot被秘密植入受控计算机,主动连接服务器接受控制指令,并依照指令完成相应功能。 Zombie: 被包含恶意代码的Bot感染或能被远程控制的计算机,又名僵尸计算机。,37,僵尸网络(Botnet),IRC Bot: 利用IRC (Internet Relay Chat)协议进行通信和控制的Bot。 Command & Control Server: IRC Bot连接的IRC服务器称为命令和控制服务器,控制者通过该服务器发送命令,进行控制。
