《拒绝服务攻击的原理》由会员分享,可在线阅读,更多相关《拒绝服务攻击的原理(9页珍藏版)》请在金锄头文库上搜索。
1、拒绝服务攻击的原理1SYN FooldSYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻 击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU 满负荷或内存不足)的攻击方式。SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake),而SYN Flood拒绝服务 攻击就是通过三次握手而实现的。(1)攻击者向被攻击服务器发送一个包含SYN标志的TCP报文,SYN(Synchronize)即同步报文。同步报 文会指明客户端
2、使用的端口以及TCP连接的初始序号。这时同被攻击服务器建立了第一次握手。(2)受害服务器在收到攻击者的 SYN 报文后,将返回一个 SYN+ACK 的报文,表示攻击者的请求被接受, 同时TCP序号被加一,ACK(Acknowledgment)即确认,这样就同被攻击服务器建立了第二次握手。(3)攻击者也返回一个确认报文ACK给受害服务器,同样TCP序列号被加一,到此一个TCP连接完成, 三次握手完成。具体原理是:TCP连接的三次握手中,假设一个用户向服务器发送了 SYN报文后突然死机或掉线,那么 服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下
3、 服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。这段时间 的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒2分钟);一个用户出现 异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种 情况(伪造IP地址),服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保 存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。 实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃一一即使服务器端的系统足够 强
4、大,服务器端也将忙于处理攻击者伪造的 TCP 连接请求而无暇理睬客户的正常请求(毕竟客户端的正常 请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况就称作:服务器端受到了 SYN Flood攻击(SYN洪水攻击)。2. IP欺骗DOS攻击这种攻击利用RST位来实现。假设现在有一个合法用户(61.61.61.61)已经同服务器建立了正常的连接,攻 击者构造攻击的TCP数据,伪装自己的IP为61.61.61.61,并向服务器发送一个带有RST位的TCP数据 段。服务器接收到这样的数据后,认为从61.61.61.61 发送的连接有错误,就会清空缓冲区中建立好的连 接。这时,如果合
5、法用户 61.61.61.61 再发送合法数据,服务器就已经没有这样的连接了,该用户就必须 从新开始建立连接。攻击时,攻击者会伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用 户服务,从而实现了对受害服务器的拒绝服务攻击。3. UDP 洪水攻击 攻击者利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某 一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成 在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。4. Ping 洪流攻击由于在早期的阶段,路由器对包的最大尺
6、寸都有限制。许多操作系统对TCP/IP栈的实现在ICMP包上都 是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲 区。当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内 存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机。5. 泪滴(teardrop)攻击泪滴攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分 段含有指明该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含 有重叠偏移的伪造分段时将崩溃。6.
7、 land攻击Land 攻击原理是:用一个特别打造的 SYN 包,它的原地址和目标地址都被设置成某一个服务器地址。此 举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连 接。被攻击的服务器每接收一个这样的连接都将保留,直到超时,对Land攻击反应不同,许多UNIX实现 将崩溃,NT变的极其缓慢(大约持续5分钟)。7. Smurf 攻击一个简单的Smurf攻击原理就是:通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping) 数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网 络阻塞。它比
8、ping of death洪水的流量高出1或2个数量级。更加复杂的Smurf将源地址改为第三方的受 害者,最终导致第三方崩溃。8. Fraggle 攻击原理:Fraggle攻击实际上就是对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP。拒绝服务攻击的属性分类法J.Mirkovic和P. Reiher MirkovicO4提出了拒绝服务攻击的属性分类法,即将攻击属性分为攻击静态属性、 攻击动态属性和攻击交互属性三类,根据DoS攻击的这些属性的不同,就可以对攻击进行详细的分类。凡 是在攻击开始前就已经确定,在一次连续的攻击中通常不会再发生改变的属性,称为攻击静态属性。攻击 静态属
9、性是由攻击者和攻击本身所确定的,是攻击基本的属性。那些在攻击过程中可以进行动态改变的属 性,如攻击的目标选取、时间选择、使用源地址的方式,称为攻击动态属性。而那些不仅与攻击者相关而 且与具体受害者的配置、检测与服务能力也有关系的属性,称为攻击交互属性。1 攻击静态属性(Static) 攻击静态属性主要包括攻击控制模式、攻击通信模式、攻击技术原理、攻击协议和攻击协议层等。( 1 )攻击控制方式( ControlMode)攻击控制方式直接关系到攻击源的隐蔽程度。根据攻击者控制攻击机的方式可以分为以下三个等级:直接 控制方式(Direct)、间接控制方式(Indirect )和自动控制方式(Auto
10、)。最早的拒绝服务攻击通常是手工直接进行的,即对目标的确定、攻击的发起和中止都是由用户直接在攻击 主机上进行手工操作的。这种攻击追踪起来相对容易,如果能对攻击包进行准确的追踪,通常就能找到攻 击者所在的位置。由于直接控制方式存在的缺点和攻击者想要控制大量攻击机发起更大规模攻击的需求, 攻击者开始构建多层结构的攻击网络。多层结构的攻击网络给针对这种攻击的追踪带来很大困难,受害者 在追踪到攻击机之后,还需要从攻击机出发继续追踪控制器,如果攻击者到最后一层控制器之间存在多重 跳板时,还需要进行多次追踪才能最终找到攻击者,这种追踪不仅需要人工进行操作,耗费时间长,而且 对技术也有很高的要求。这种攻击模
11、式,是目前最常用的一种攻击模式。自动攻击方式,是在释放的蠕虫 或攻击程序中预先设定了攻击模式,使其在特定时刻对指定目标发起攻击。这种方式的攻击,从攻击机往 往难以对攻击者进行追踪,但是这种控制方式的攻击对技术要求也很高。Mydoom蠕虫对SCO网站和 Microsoft网站的攻击就属于第三种类型TA04-028A。( 2)攻击通信方式( CommMode)在间接控制的攻击中,控制者和攻击机之间可以使用多种通信方式,它们之间使用的通信方式也是影响追 踪难度的重要因素之一。攻击通信方式可以分为三种方式,分别是:双向通信方式(bi)、单向通信方式 (mono)和间接通信方式(indirection
12、)。双向通信方式是指根据攻击端接收到的控制数据包中包含了控制者的真实IP地址,例如当控制器使用TCP 与攻击机连接时,该通信方式就是双向通信。这种通信方式,可以很容易地从攻击机查找到其上一级的控 制器。单向通信方式指的是攻击者向攻击机发送指令时的数据包并不包含发送者的真实地址信息,例如用伪造IP 地址的UDP包向攻击机发送指令。这一类的攻击很难从攻击机查找到控制器,只有通过包标记等IP追踪 手段,才有可能查找到给攻击机发送指令的机器的真实地址。但是,这种通信方式在控制上存在若干局限 性,例如控制者难以得到攻击机的信息反馈和状态。间接通信方式是一种通过第三者进行交换的双向通信方式,这种通信方式具
13、有隐蔽性强、难以追踪、难以 监控和过滤等特点,对攻击机的审计和追踪往往只能追溯到某个被用于通信中介的公用服务器上就再难以 继续进行。这种通信方式目前已发现的主要是通过IRC(Internet Relay Chat)进行通信Jose Nazario, 从 2000 年 8 月出现的名为 Trinity 的 DDoS 攻击工具开始,已经有多种 DDoS 攻击工具及蠕虫采纳了这种 通信方式。在基于IRC的傀儡网络中,若干攻击者连接到Internet上的某个IRC服务器上,并通过服务器 的聊天程序向傀儡主机发送指令。(3)攻击原理(Principle)DoS攻击原理主要分为两种,分别是:语义攻击(Se
14、mantic)和暴力攻击(Brute)。语义攻击指的是利用目标系统实现时的缺陷和漏洞,对目标主机进行的拒绝服务攻击,这种攻击往往不需 要攻击者具有很高的攻击带宽,有时只需要发送 1 个数据包就可以达到攻击目的,对这种攻击的防范只需 要修补系统中存在的缺陷即可。暴力攻击指的是不需要目标系统存在漏洞或缺陷,而是仅仅靠发送超过目 标系统服务能力的服务请求数量来达到攻击的目的,也就是通常所说的风暴攻击。所以防御这类攻击必须 借助于受害者上游路由器等的帮助,对攻击数据进行过滤或分流。某些攻击方式,兼具语义和暴力两种攻 击的特征,比如SYN风暴攻击,虽然利用了 TCP协议本身的缺陷,但仍然需要攻击者发送大
15、量的攻击请 求,用户要防御这种攻击,不仅需要对系统本身进行增强,而且也需要增大资源的服务能力。还有一些攻 击方式,是利用系统设计缺陷,产生比攻击者带宽更高的通信数据来进行暴力攻击的,如DNS请求攻击和Smurf攻击,参见4.2.3节以及文献IN-2000-04和CA-1998-01。这些攻击方式在对协议和系统进行改进 后可以消除或减轻危害,所以可把它们归于语义攻击的范畴。( 4)攻击协议层( ProLayer)攻击所在的TCP/IP协议层可以分为以下四类:数据链路层、网络层、传输层和应用层数据链路层的拒绝服务攻击Convery FischbachO1FischbachO2受协议本身限制,只能发
16、生在局域网内 部,这种类型的攻击比较少见。针对IP层的攻击主要是针对目标系统处理IP包时所出现的漏洞进行的, 如IP碎片攻击Anderson01,针对传输层的攻击在实际中出现较多,SYN风暴、ACK风暴等都是这类攻 击,面向应用层的攻击也较多,剧毒包攻击中很多利用应用程序漏洞的(例如缓冲区溢出的攻击)都属于 此类型。(5)攻击协议(ProName)攻击所涉及的最高层的具体协议,如SMTP、ICMP、UDP、HTTP等。攻击所涉及的协议层越高,则受害 者对攻击包进行分析所需消耗的计算资源就越大。2.攻击动态属性(Dynamic)攻击动态属性主要包括攻击源地址类型、攻击包数据生成模式和攻击目标类型。(1)攻击源地址类型(SourceIP)攻击者在攻击包中使用的源地址类型可以分为三种:真实地址(True)、伪造合法地址(Forge Legal)和 伪造非法地址(Forge
