DOS攻击类型及应对策略

《DOS攻击类型及应对策略》由会员分享，可在线阅读，更多相关《DOS攻击类型及应对策略（4页珍藏版）》请在金锄头文库上搜索。

1、DOS 攻击类型及应对策略DoS 攻击由于易于实施，在现实环境中比较常见，是目前很大的平安威逼。本文从DoS 攻击分类，以实例分析的方式，呈现 DoS 攻击的原理及技术特点，挂念平安相关人员更好地了解此类攻击，准时发觉网络中可能的DoS 攻击方法，并拓展防备思路。文/H3C 攻防团队一、什么是 DoS 攻击？拒绝服务（Denial of Service，DoS）攻击，是利用系统设计或实现上的漏洞使系统崩溃或资源耗尽无法供应服务的攻击手法，其中，攻击消耗的目标资源包括 CPU、内存、硬盘、网络带宽等等。DoS 攻击以网络攻击为主，攻击方式相对比较简洁，虽然不能窃取信息或运行恶意代码，但可影响被攻

2、击服务的全部用户使用，危害巨大。简洁的看，DoS 攻击只是一种破坏网络服务的黑客方式，虽然具体的方法变化多端，但都有一个共同点：其根本目的是使受害系统或网络无法接收或处理对指定服务的恳求，或者是处理完后无法准时回应此类恳求。DoS 攻击最早是由单机来完成的，随着服务器系统性能与网络带宽的提高及平安防备设备对同一攻击来源的 DoS 攻击的检测阻断力量提升，资源耗尽型的DoS 攻击向多攻击源方式进展，即分布式拒绝服务攻击（Distributed Denial of service，DDoS）。随着僵尸网络的消灭，DoS 攻击正向被操纵的大规模真实服务恳求进展，为攻击防备带来不小的挑战。在平安争辩领

3、域，广义上的 DoS 攻击不仅仅包含基于网络服务的远程DoS 攻击，本机或者网络客户端被攻击而不能正常供应功能且不能自动恢复也被称为DoS 攻击，如以恶意方式造成本机操作系统或应用程序崩溃。由于基于网络的拒绝服务攻击更为常见、危害更大， 本文将以远程拒绝服务攻击为主开放，引用并扩展A Taxonomy of DDoS Attack and DDoS Defense Mechanisms（Jelena Mirkovic 与 Peter Reiher 发表）对 DDoS 攻击的部分分类方法，并辅以实例，为读者全面呈现DoS 攻击技术的特点。二、按目标分类的 DoS 攻击1、 攻击应用服务程序针对特

4、定应用程序的攻击，受网络与攻击源性能规模的限制较小，是较为常见的攻击方式。 其中以漏洞利用型攻击较多，它包括针对特定程序的、引发应用程崩溃或挂起的漏洞利用， 以及针对一类应用程序的、应用层协议资源耗尽型漏洞的利用。前者的实例很多，多数是漏 洞不能被用来执行远程代码，转而用来使软件崩溃造成DoS 攻击，如各种缓冲区溢出、内存破坏漏洞等，都有可能只能用于 DoS 攻击。后者的实例如针对 Apache HTTP 服务器拒绝服务漏洞（CVE 编号为 2011-3192）的攻击，该漏洞源于 Apache HTTP 服务器处理 来自客户端的 HTTP 恳求中畸形的 Range 头选项时存在的问题，假如在R

5、ange 选项中设置了大量重叠的范围指定命令，则 Apache 会在构造回应数据时消耗大量内存和CPU 资源， 导致 Apache 失去响应，甚至造成操作系统资源耗尽。图1 为攻击报文的报文捕获截图， 此种攻击可能对其它实现不够完善的WEB 服务器同样有效。图 1 攻击 Apache HTTP 服务器拒绝服务漏洞的 HTTP 头2、 攻击操作系统操作系统负责向应用供应封装好的统一系统调用接口，网络报文的处理大部分是由操作系统进行初步处理，再把应用数据交给应用程序。对于基础协议如ARP、IP、TCP、UDP 等， 以及基础的网络应用服务都是由操作系统实现的，这些实现的相关模块可能隐蔽着引发系统崩

6、溃或资源耗尽的漏洞。对于这些漏洞的攻击，可以造成系统上的全部应用服务不能收到或处理客户端的恳求，甚至整个系统死机。早期的实例有泪滴攻击（Tear Drop），它是利用有漏洞的 TCP/IP 协议栈信任 IP 碎片包头所包含的信息来达到攻击目的。由于 IP 分片含有指明该分片所包含的是原包哪一部分的信息，某些 TCP/IP 协议栈实现（包括 Service Pack 4 以前的 NT)在收到含有重叠偏移的伪造分段时将崩溃。近期的实例是，针对Windows TCP/IP 栈 ICMP 处理拒绝服务漏洞（CVE 编号为 2011-1871)的攻击。Vista、Win7、Server 2008 等 W

7、indows 版本，在解析收到的 ICMP 消息时，TCP/IP 栈（Tcpip.sys)中存在错误，黑客可通过特制的 ICMP 消息序列造成系统停止响应或重启。3、 攻击网络协议二至四层的网络协议，为客户端与服务器供应的数据通信供应了基础，同时也成为了DoS 攻击的目标。一旦通信的协议受到了攻击，通过协议供应的连接就没有了保障，基于连接的服务当然也不行能正常供应了。IP 哄骗 DoS 攻击就是利用服务器对源 IP 的信任，伪造 TCP Reset 报文干扰客户端与服务器之间的TCP 连接，攻击者会大量伪造合法用户 IP 及可能使用的端口号向服务器发送 TCP Reset 报文，诱使服务器断开

8、与客户端已经建立好的连接， 导致无法与合法用户正常通信进而无法供应服务。SYN Flood 攻击则是利用了 TCP 无法区分合法用户的连接恳求与攻击者的恶意连接恳求，通过耗尽系统支持的TCP 连接资源而缓存那些没有下文的攻击性 TCP 连接，造成合法用户的 TCP 连接恳求只有很少一部分得到正常处理。ARP 哄骗则是一种适用于局域网的攻击协议方法，攻击者不断发送伪造的ARP 报文，使路由器或其它设备学习到错误的ARP 表项，从而使被攻击节点无法正常在以太网上通信。4、 攻击带宽或链路应用服务器的接入离不开链路，且一般都有带宽限制，即使在实行了负载均衡措施的状况下， 流量容量也是有限的，这些都是

9、DoS 攻击可以利用的地方。最直接的攻击链路的方法，是产生足够多没有拥塞把握的流量，使链路极度拥塞，合法用户流量的丢包率达到不行接受的 程度，造成链路不能支持上层协议及应用。链路的拥塞还有可能造成路由协议报文丢包，引 发路由转变或丢失，从而影响网络的功能与稳定，进而影响网络中的全部网络服务。攻击链 路的简洁实例是在没有配置生成树协议（STP）的交换机上连接产生环路，这会在整个广播 域内产生广播风暴，影响全部接入的设备。对带宽的攻击，与对链路的攻击相像，都以正常用户流量无法接收或丢包为目的，假如能把握大量傀儡主机发出流量全部占用被攻击服务器的接入带宽，让合法用户的服务恳求没有足够的带宽支持，Do

10、S 攻击就可以轻易实现，因此其关键是能通过木马、后门等手段把握足够多的傀儡主机。随着网络技术的进展，带宽相应得到了很大提高，依靠几台主机多线程发送流量的攻击基本已很难奏效。目前流行的攻击带宽的DoS 攻击工具都是分布式的。一般会分成两部分，执行部分需要在肯定数量的傀儡主机上运行，负责攻击流量的发送，把握部分运行在黑客主机，负责把握执行部分的攻击行为，如图2。图 2 DDoS 攻击示意图5、 攻击网络关键设施DNS 服务器、路由器、防火墙等都是网络的关键设施，它们要么是网络通信必需服务的供应者，要么位于网络的关键节点，一旦患病攻击，其中任何一个消灭问题都可能造成网络不 通，从而达到拒绝服务的效果

11、。例如2009 年 5 月发生的暴风影音 DNS DoS 攻击，用户使用暴风影音产品时主机需要对 域名进行解析，会将恳求信息发送给自己所填写的或自动猎取的 DNS 服务器地址。这是一个递归的查询，即以后的解析工作全部由该域名服务器完成，假如该服务器没有缓存查询的域名，会在根域名服务器、顶级域名服务器、 权限域名服务器之间进行迭代查询，最终将相关解析结果返回给主机。由于暴风的域名系统 受到了黑客攻击，使用暴风影音的大量用户积聚的域名查询转向电信运营商的域名服务器， 产生了对电信运营商 DNS 服务器的变相 DDoS 攻击，发送到电信域名系统的正常恳求不能得到响应，正常用户的域名恳求无法解析，导致

12、多省用户无法上网或速度很慢。三、按原理分类的 DoS 攻击1、 语义攻击语义 DoS 攻击指的是利用目标系统实现时的缺陷和漏洞，对目标主机进行的拒绝服务攻击。这种攻击一般不需要攻击者具有很多的傀儡主机或很高的攻击带宽，大部分状况下只需要发 送关键性的少量数据包就可以达到攻击目的，如前面提到的针对Windows TCP/IP栈ICMP 处理拒绝服务漏洞的攻击。这类攻击都需要服务器处理攻击报文，解析报文中协议的相关字 段或数据内容，即协议或数据的语义。2、 暴力攻击暴力 DoS 攻击是通过发送大量的服务会话恳求或者是无意义的能够到达服务器的数据包， 通过这种方式消耗服务器的 CPU、内存、带宽等资

13、源，造成合法用户的服务恳求无法被处理。由于语义攻击所需的漏洞不易挖掘，且很简洁被服务器管理员修补，因此目前大部分的DoS 攻击黑客工具都属于暴力攻击类型，这是服务器防备的重点之一。四、DoS 攻击带来的挑战DoS 攻击始终威逼着众多通过网络从事业务的公司、组织，尽管防备措施提高了，但它变 得更强大、更具有针对性，也更加简单，而且，一些业余黑客也能够发动该攻击，或者利用 僵尸网络为其工作，给网络平安带来了持续的挑战。目前常用的防备措施主要有：准时修复 漏洞优化系统、供应额外带宽、部署防火墙、IPS 等。供应额外带宽是最常见的对抗DDoS 的措施之一，但事实上，这样做既无成本效益也不高效。对于网络

14、服务供应者来说，供应高 于其需要处理峰值负载的很大额外带宽是很少见的，而且无法抵挡超过额外带宽上限的攻击。此外，供应过度的额外带宽仅能提高对暴力DoS 攻击的容忍度，而不能应对语义攻击。传统防火墙虽然对暴力攻击有肯定的效果，但对 DDoS 及语义攻击的防备效果相当差。而 IPS 对语义攻击的防备效果相当明显，优秀的IPS 产品对暴力 DoS 攻击也有肯定防备力量，但由于其受限于自身的处理力量，应对大流量的攻击会比较困难。防备大流量 DDoS 攻击时， 部署专业的 DDoS 流量清洗设备是不错的选择，它与IPS 的组合防备效果格外抱负，但是对于预算不富有的公司或组织，IPS 加专业 DDoS 流量清洗设备的成本开销难以接受。结束语目前网上流传了很多黑客开发出来的 DoS 攻击软件工具，进一步降低了攻击的技术门槛， 使得一般网络用户也可以发动 DoS 攻击。不少中小网站饱受 DoS 攻击带来的困扰，DoS 攻击带来的挑战将是长期的，将来网络服务供应者与平安厂商的技术、人力、财力投入还将 不断增加，对现有的攻击方法进行归纳总结，有助于提高平安相关人员对DoS 攻击的了解程度，更好地进行应对。