《(8)拒绝服务及防范技术》由会员分享,可在线阅读,更多相关《(8)拒绝服务及防范技术(32页珍藏版)》请在金锄头文库上搜索。
1、信息安全研究中心,拒绝服务攻击及防范技术,DoS概述 案例、定义、特点、分类 DoS攻击技术 DoS攻击防范,信息安全研究中心,案例,政府网站 美国白宫的网站曾经遭受拒绝服务攻击 分布式拒绝服务 2000年2月发生的一次对某些高利润站点Yahoo、 eBay等的拒绝服务攻击,持续了近两天, 使这些公司遭受了很大的损失。,信息安全研究中心,信息安全的基本属性,保密性 完整性 防抵赖 可用性(availability) 可控性 DoS是针对可用性发起的攻击,信息安全研究中心,DoS的定义,DoS,Denial of Service 攻击网络协议实现的缺陷或通过各种手段耗尽被攻击对象的资源,以使得被
2、攻击计算机或网络无法提供正常的服务或者资源,合法用户的请求得不到及时的响应,信息安全研究中心,DoS攻击的特点,资源稀缺性 软件复杂性(6个/KLOC,6-30) 难确认,隐蔽性好(主观角度) 难防范,缺乏模型 有些DoS可以通过管理的手段防止; 受挫折,无法攻入目标系统,最后一招: DOS,信息安全研究中心,DoS类型,发送一些非法数据 包使系统死机或重起,造成系统或网络瘫痪 向系统发送大量信息,使系统或网络不能响 应,信息安全研究中心,DoS攻击技术分类(1),利用协议中的漏洞 SYN-Flood攻击 利用软件实现的缺陷 teardrop攻击、land攻击 发送大量无用突发数据攻击耗尽资源
3、 ICMP flood攻击、Connection flood 攻击 欺骗型攻击 IP Spoofing DoS攻击,信息安全研究中心,DoS攻击技术分类(2),利用TCP/IP协议进行的TCP DoS攻击 SYN flood攻击 Land攻击 Teardrop攻击 利用UDP服务进行的UDP DoS攻击 UDP Flood DoS攻击 利用ICMP协议进行的ICMP DoS攻击 Ping of Death攻击 Smurf攻击,信息安全研究中心,发展历史, 早期的Internet蠕虫病毒 消耗网络资源 分片装配,非法的TCP标志,SYN Flood等 利用系统实现上的缺陷,点对点形式 Ping
4、of Death, IP分片重叠 分布式DoS(DDoS)攻击 smurf攻击,信息安全研究中心,一些典型的DoS攻击, Ping of Death 发送异常的(长度超过IP包的最大值) Teardrop IP包的分片装配 UDP Flood Land 程序发送一个TCP SYN包,源地址与目的地址相同,源端口 与目的端口相同,从而产生DoS攻击 SYN Flood 快速发送多个SYN包 Smurf 给广播地址发送ICMP Echo包,造成网络阻塞 ,信息安全研究中心,Ping of Death,原理:直接利用ping包,即ICMP Echo包,有些系统 在收到大量比最大包还要长的数据包,会挂
5、起或者死 机 受影响的系统:许多操作系统受影响 攻击做法 直接利用ping工具,发送超大的ping数据包 防止措施 打补丁:现在所有的标准TCP/IP实现都已实现对付超大尺寸 的包,并且大多数防火墙能够自动过滤这些攻击,包括:从 windows98之后的windows,NT(service pack 3之后),linux、 Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。 防火墙阻止这样的ping包,信息安全研究中心,TCP/IP允许数据包的最大容量为65536 C:ping 162.105.30.200 Pinging 162.105.30.200 with
6、 32 bytes of data : Reply from 162.105.30.200: bytes=32 time=10ms TTL=255 Reply from 162.105.30.200: bytes=32 timeping -l 65570 162.105.30.200 Bad value for option -l, valid range is from 0 to 65500,信息安全研究中心,IP碎片, IP碎片攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自 己的攻击。IP分段含有指示该分段所包含的是 原包的哪一段的信息,某些TCP/IP
7、(包括 service pack 4以前的NT)在收到含有重叠偏 移的伪造分段时将崩溃 常见的IP碎片程序有jolt2、teardrop、newtear、syndrop、boink等。 防御措施:主要是服务器应用最新的服务包, 或者在设置防火墙时对分段进行重组,而不是 转发它们。,信息安全研究中心,Teardrop,原理:利用IP包的分片装配过程中,由于分片重叠, 计算过程出现长度为负值,在执行memcpy的时候导 致系统崩溃 受影响的系统:Linux/Windows NT/95,97年发现 攻击特征 攻击非常简单,发送一些IP分片异常的数据包 防止措施 加入条件判断,对这种异常的包特殊处理
8、打补丁,信息安全研究中心,UDP flood,原理:各种各样的假冒攻击利用简单的TCP/IP 服务,如chargen和Echo来传送毫无用处的占 满 带宽的 数据。通过伪造与某一主机的 chargen 服务之间的一次的UDP连接,回复地 址指向开着Echo服务的一台主机,这样就生成 在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽耗尽的服务攻击。 对策:关掉不必要的TCP/IP服务,或者对防火 墙进行配置阻断来自Internet的对这些服务的 UDP请求都可以防范UDP flood攻击。,信息安全研究中心,SYN Flood, 原理:利用TCP连接三次握手过程,打开大量的半开
9、 TCP连接,使得目标机器不能进一步接受TCP连接。 每个机器都需要为这种半开连接分配一定的资源,并 且,这种半开连接的数量是有限制的,达到最大数量 时,机器就不再接受进来的连接请求。 受影响的系统:大多数操作系统 攻击细节 连接请求是正常的,但是,源IP地址往往是伪造的,并且是 一台不可达的机器的IP地址,否则,被伪造地址的机器会重 置这些半开连接 一般,半开连接超时之后,会自动被清除,所以,攻击者的 系统发出SYN包的速度要比目标机器清除半开连接的速度要 快 任何连接到Internet上并提供基于TCP的网络服务,都有可能 成为攻击的目标 这样的攻击很难跟踪,因为源地址往往不可信,而且不在
10、线,信息安全研究中心,SYN Flood, 攻击特征 目标主机的网络上出现大量的SYN包,而没有相应 的应答包 SYN包的源地址可能是伪造的,甚至无规律可循 防止措施 针对网络 防火墙或者路由器可以在给定时间内只允许有限数量的半 开连接 入侵检测,可以发现这样的DoS攻击行为 打补丁 Linux和Solaris使用了一种被称为SYN cookie的技术来解 决SYN Flood攻击:在半开连接队列之外另设置了一套机 制,使得合法连接得以正常继续,信息安全研究中心,Smurf, 原理:向广播地址发送伪造地址的ICMP Echo数据包。 攻击者向一个广播地址发送ICMP Echo请求,并且用 受害
11、者的IP地址作为源地址,于是,广播地址网络上 的每台机器响应这些Echo请求,同时向受害者主机发 送ICMP Echo-Reply应答。于是,受害者主机会被这 些大量的应答包淹没 受影响的系统:大多数操作系统和路由器 变种:fraggle,使用UDP包,或称为udpsmurf 比如,7号端口(echo),如果目标机器的端口开着,则送回应 答,否则,产生ICM端口不可达消息 技术细节 两个主要的特点:使用伪造的数据包,使用广播地址。 不仅被伪造地址的机器受害,目标网络本身也是受害者,它 们要发送大量的应答数据包,信息安全研究中心,Smurf,信息安全研究中心,Smurf, 攻击特征 涉及到三方:
12、攻击者,中间目标网络,受害者 以较小的网络带宽资源,通过放大作用,吃掉较大 带宽的受害者系统 Smurf放大器 Smurf放大器网络:不仅允许ICMP Echo请求发给网络的 广播地址,并且允许ICMP Echo-Reply发送回去 这样的公司越多,对Internet的危害就越大 实施Smurf攻击 需要长期的准备,首先找到足够多的中间网络 集中向这些中间网络发出ICMP Echo包,信息安全研究中心,Smurf攻击的防止措施, 针对最终受害者 没有直接的方法可以阻止自己接收ICMP Echo Reply消息 在路由器上阻止这样的应答消息,但结果是路由器本身遭受了DoS攻击 与中间目标网络联系
13、 针对中间网络 关闭外来的IP广播消息,但是,如果攻击者从内部 机器发起攻击,仍然不能阻止smurf攻击 配置操作系统,对于广播地址的ICMP包不响应 在每个路由节点上都记录log,以备查 流量大的路由节点上能够记录所有的流量吗,信息安全研究中心,Land, 原理: 这是一种比较老的攻击,目前大部分操作系统都能避免。在Land攻击中,构造一个特别的SYN包,它的原地址和目标地址都被设置成某一个服务器地址, 此举将导致接受服务器向它自己的地址发送SYN-ACK 消息,结果这个地址又发回ACK消息并创建一个空连 接,每一个这样的连接都将保留直到超时掉,对Land 攻击反应同许多UNIX实现将崩溃,
14、NT变得极其 缓慢(大约持续五分钟)。 对策:打最新的补丁,或者在防火墙进行配置,将那 些在外部接口上入站的含有内部源地址滤掉(包括 10 域、127域、192.168域、172.16到172.31域)都比较有 效的防范Land攻击。,信息安全研究中心,电子邮件炸弹, 原理: 电子邮件炸弹是最古老的匿名攻击之一, 通过设置一台机器不断大量地向同一地址发送 电子邮件,攻击者能够耗尽接受者网络的带宽。 对策:对付这种攻击最简单的方法就是对邮件 地址进行配置,自动删除来自同一主机的过量 或重复的消息。,信息安全研究中心,DDOS, 分布式拒绝服务,Distributed Denial of Serv
15、ice attack 传统的拒绝服务是一台机器向受害者发 起攻击,DDOS不是仅仅一台机器而是多 台主机合作,同时向一个目标发起攻击。,信息安全研究中心,信息安全研究中心,DDOS, 攻击者:攻击者所用的计算机是攻击主控台,可以是 网络上的任何一台主机,甚至可以是一个活动的便携 机。攻击者操纵整个攻击过程,它向主控端发送攻击 命令。 主控端:主控端是攻击者非法侵入并控制的一些主机, 这些主机还分别控制大量的客户主机。主控端主机的 上面安装了特定的程序,因此它们可以接受攻击者发 来的特殊指令,并且可以把这些命令发送到代理主机 上。 代理端:代理端同样也是攻击者侵入并控制的一批主 机,它们上面运行
16、攻击器程序,接受和运行主控端发 来的命令。代理端主机是攻击的执行者,真正向受害 者主机发送攻击。,信息安全研究中心,DDOS的攻击过程,(1)攻击者寻找在Internet上有漏洞的主机,进 入系统后在其上面安装后门程序,攻击者入侵 的主机越多,他的攻击队伍就越壮大。 (2)攻击者在入侵主机上安装攻击程序,其中一 部分主机充当攻击的主控端,一部分主机充当 攻击的代理端。 (3)最后各部分主机各司其职,在攻击者的调遣 下对攻击对象发起攻击。由于攻击者在幕后操 纵,所以在攻击时不会受到监控系统的跟踪, 身份不容易被发现。,信息安全研究中心,常用工具,a TFN(Tribe Flood Network)和TFN2K bTrinoo C. Stacheldrah
