拒绝服务攻击.

《拒绝服务攻击.》由会员分享，可在线阅读，更多相关《拒绝服务攻击.（22页珍藏版）》请在文档大全上搜索。

1、拒绝服务攻击拒绝服务 DoS的英文全称是Denial of Service，也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问，破坏组织的正常运行，最终它会使你的部分Internet连接和网络系统失效。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务 基本过程 首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待

2、一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。 分布式拒绝服务 DDoS(分布式拒绝服务)，它的英文全称为Distributed Denial of Service，它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，象商业公司，搜索引擎和政府部门的站点。从图1我们可以看出DoS攻击只要一台单机和一个modem就可实现，与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。 DoS攻击简述攻击简述 DoS

3、攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。对它的总体了解，成为有效避免，查找原因，制订对策提供有用的帮助。 DoS（Denial of S ervice）拒绝服务攻击广义上可以指任何导致你的服务器不能正常提供服务的攻击。这种攻击可能就是泼到你服务器上的一杯水，或者网线被拔下，或者网络的交通堵塞等等，最终的结果是正常用户不能使用他所需要的服务了，不论本地或者是远程。我们这里比较关心远程的，通过网络进行的DoS攻击。利用软件实现的缺陷 OOB攻击（常用工具winnuke）， teardrop攻击（常用工具teardrop.c boink.c bonk.c），land攻

4、击，IGMP碎片包攻击，jolt攻击，Cisco 2600路由器IOS version 12.0(10) 远程拒绝服务攻击等等，这些攻击都是利用了被攻击软件的实现上的缺陷完成DoS攻击的。通常这些攻击工具向被攻击系统发送特定类型的一个或多个报文，这些攻击通常都是致命的，一般都是一击致死，而且很多攻击是可以伪造源地址的，所以即使通过IDS或者别的sniffer软件记录到攻击报文也不能找到谁发动的攻击，而且此类型的攻击多是特定类型的几个报文，非常短暂的少量的报文，如果伪造源IP地址的话，使追查工作几乎是不可能。OOB攻击 1997年5月7号有人发布了一个winnuke.c。首先建立一条到Win95

5、/NT主机的TCP连接，然后发送TCP紧急数据，导致对端系统崩溃。139/TCP是Win95/NT系统最常见的侦听端口，所以winnuke.c使用了该端口。之所以称呼这种攻击为OOB攻击，因为MSG_OOB标志，实际应该是TCP紧急数据攻击。 原始teardrop.c只构造了两种碎片包，每次同时发送这两种UDP碎片包。如果指定发送次数，将完全重复先前所发送出去的两种碎片包。它可以伪造源ip并跨越路由器进行远程攻击，影响的系统包括Linux/WinNT/Win95 。使用的方法是： teardrop 源ip 目的ip -s 源端口 -d 目的端口 -n 次数SMB攻击 比较新的一个DoS攻击是W

6、indows的SMB实现中的DoS攻击，2002年8月发布，只要允许匿名连接的windows系统就可以进行远程攻击，强烈建议Windows用户打相应的补丁。它的方法就是先和目标系统建立一个连接，然后发送一个特定的请求，目标系统就会兰屏。发布的测试工具SMBdie.exe是图形界面工具，输入目标地址NETBIOS名称即可。利用协议的漏洞 最经典的攻击是synflood攻击，它利用TCP/IP协议的漏洞完成攻击。通常一次TCP连接的建立包括3个步骤，客户端发送SYN包给服务器端，服务器分配一定的资源给这里连接并返回SYN/ACK包，并等待连接建立的最后的ACK包，最后客户端发送ACK报文，这样两者

7、之间的连接建立起来，并可以通过连接传送数据了。而攻击的过程就是疯狂发送SYN报文，而不返回ACK报文，服务器占用过多资源，而导致系统资源占用过多，没有能力响应别的操作，或者不能响应正常的网络请求。synflood攻击 这个攻击是经典的以小搏大的攻击，自己使用少量资源占用对方大量资源。一台P4的Linux系统大约能发到3040M的64字节的synflood报文，而一台普通的服务器20M的流量就基本没有任何响应了（包括鼠标、键盘）。而且synflood不仅可以远程进行，而且可以伪造源IP地址，给追查造成很大困难，要查找必须所有骨干网络运营商，一级一级路由器的向上查找。synflood攻击 由于TC

8、P/IP协议相信报文的源地址，另一种攻击方式是反射拒绝服务攻击，另外可以利用还有广播地址，和组播协议辅助反射拒绝服务攻击效果更好。不过大多数路由器都禁止广播地址和组播协议的地址。 另一类攻击方式是使用大量符合协议的正常服务请求，由于每个请求耗费很大系统资源，导致正常服务请求不能成功。如HTTP协议是无状态协议，攻击者构造大量搜索请求，这些请求耗费大量服务器资源，导致DoS。这种方式攻击比较好处理，由于是正常请求，暴露了正常的源IP地址，禁止这些IP就可以了。进行资源比拼 这种攻击方式属于无赖打法，我凭借着手中的资源丰富，发送大量的垃圾数据侵占完你的资源，导致DoS。比如，ICMP flood，

9、mstream flood ，Connection flood。为了获得比目标系统更多资源，通常攻击者会发动DDoS（Distributed Dos 分布式拒绝服务）攻击者控制多个攻击傀儡发动攻击，这样才能产生预期的效果。前两类攻击是可以伪造IP地址的，追查也是非常困难，第3种攻击由于需要建立连接，可能会暴露攻击傀儡的IP地址，通过防火墙禁止这些IP就可以了。对于难于追查，禁止的攻击行为，我们只能期望专用的抗拒绝服务产品了。smurf 攻击 Smurf是一种简单但有效的 DDoS 攻击技术，它利用了ICMP (Internet控制信息协议)。ICMP在Internet上用于错误处理和传递控制信

10、息。它的功能之一是与主机联系，通过发送一个“回音请求”（echo request）信息包看看主机是否“活着”。最普通的ping程序就使用了这个功能。Smurf是用一个偷来的帐号安装到一个计算机上的，然后用一个伪造的源地址连续ping一个或多个计算机网络，这就导致所有计算机所响应的那个计算机并不是实际发送这个信息包的那个计算机。这个伪造的源地址，实际上就是攻击的目，它将被极大数量的响应信息息量所淹没。对这个伪造信包做出响应的计算机网络就成为攻击的不知情的同谋。基本特性及抵御策略 Smurf的攻击平台：smurf为了能工作，必须要找到攻击平台，这个平台就是：其路由器上启动了 IP广播功能。这个功能

11、允许 smurf 发送一个伪造的ping信息包，然后将它传播到整个计算机网络中。 为防止系统成为 smurf攻击的平台，要将所有路由器上IP的广播功能都禁止。一般来讲，IP广播功能并不需要。 攻击者也有可能从LAN内部发动一个smurf攻击，在这种情况下，禁止路由器上的IP 广播功能就没有用了。为了避免这样一个攻击，许多操作系统都提供了相应设置，防止计算机对IP广播请求做出响应。基本特性及抵御策略 如果攻击者要成功地利用你成为攻击平台，你的路由器必须要允许信息包以不是从你的内网中产生的源地址离开网络。配置路由器，让它将不是由你的内网中生成的信息包过滤出去，这是有可能做到的。这就是所谓的网络出口

12、过滤器功能。 ISP则应使用网络入口过滤器，以丢掉那些不是来自一个已知范围内IP地址的信息包。 挫败一个smurf攻击的最简单方法对边界路由器的回音应答(echo reply)信息包进行过滤，然后丢弃它们，这样就能阻止“命中”Web服务器和内网。对于那些使用Cisco路由器的人，另一个选择是CAR (Committed Access Rate，承诺访问速率)。CAR 丢弃所有的回音应答信息包能使网络避免被淹没，但是它不能防止来自上游供应者通道的交通堵塞。如果你成为了攻击的目标，就要请求ISP对回音应答信息包进行过滤并丢弃。如果不想完全禁止回音应答，那么可以有选择地丢弃那些指向你的公用Web 服

13、务器的回音应答信息包。 CAR 技术由Cisco 开发，它能够规定出各种信息包类型使用的带宽的最大值。例如，使用CAR，我们就可以精确地规定回音应答信息包所使用的带宽的最大值。trinoo trinoo 是复杂的DDoS 攻击程序，它使用“master”程序对实际实施攻击的任何数量的“代理”程序实现自动控制。攻击者连接到安装了master程序的计算机和所有master程序的计算机，启动master程序，然后根据一个IP地址的列表，由master程序负责启动所有的代理程序。接着，代理程序用UDP 信息包冲击网络，从而攻击目标。在攻击之前，侵入者为了安装软件，已经控制了装有装有代理程序的计算机。基

14、本特性及抵御策略 在master程序与代理程序的所有通讯中，trinoo都使用了UDP协议。入侵检测软件能够寻找使用UDP协议的数据流(类型17)。Trinoo master程序的监听端口是27655，攻击者一般借助telnet通过TCP连接到master程序所在计算机。入侵检测软件能够搜索到使用TCP (类型6)并连接到端口27655的数据流。所有从master程序到代理程序的通讯都包含字符串“l44”，并且被引导到代理的UDP 端口27444。入侵检测软件检查到UDP 端口27444的连接，如果有包含字符串l44的信息包被发送过去，那么接受这个信息包的计算机可能就是DDoS代理。Maste

15、r和代理之间通讯受到口令的保护，但是口令不是以加密格式发送的，因此它可以被“嗅探”到并被检测出来。使用这个口令以及来自Dave Dittrich的trinot脚本http:/staff.washington. edu/dittrich/misc/trinoo.analysis，要准确地验证出trinoo代理的存在是很可能的。拆除 在代理daemon上使用“strings”命令，将master的IP地址暴露出来。 与所有作为trinoo master的机器管理者联系，通知它们这一事件。在master计算机上，识别含有代理IP地址列表的文件(默认名“.”)，得到这些计算机的IP地址列表。向代理发送

16、一个伪造“trinoo”命令来禁止代理。通过crontab 文件(在UNIX系统中)的一个条目，代理可以有规律地重新启动， 因此，代理计算机需要一遍一遍地被关闭，直到代理系统的管理者修复了crontab文件为止。检查master程序的活动TCP连接，这能显示攻击者与trinoo master程序之间存在的实时连接。如果网络正在遭受trinoo攻击，那么系统就会被UDP 信息包所淹没。Trinoo从同一源地址向目标主机上的任意端口发送信息包。探测trinoo就是要找到多个UDP信息包，它们使用同一来源IP地址、同一目的IP地址、同一源端口，但是不同的目的端口。在http:/www.fbi.gov

17、/nipc/trinoo.htm上有一个检测和根除trinoo的自动程序。 Tribe Flood Network Tribe Flood Network与trinoo一样，使用一个master程序与位于多个网络上的攻击代理进行通讯。TFN可以并行发动数不胜数的DoS攻击，类型多种多样，而且还可建立带有伪装源IP地址的信息包。 可以由TFN发动的攻击包括：UDP冲击、TCP SYN 冲击、ICMP回音请求冲击以及 ICMP 广播。基本特性及抵御策略 发动TFN时，攻击者要访问master程序并向它发送一个或多个目标IP地址，然后Master程序继续与所有代理程序通讯，指示它们发动攻击。 TFN

18、 Master程序与代理程序之间通讯使用ICMP回音应答信息包，实际要执行的指示以二进制形式包含在16位ID域中。ICMP (Internet控制信息协议)使信息包协议过滤成为可能。通过配置路由器或入侵检测系统，不允许所有的ICMP回音或回音应答信息包进入网络，就可以达到挫败TFN代理的目的。但是这样会影响所有使用这些功能的Internet程序，比如ping。 TFN Master程序读取一个IP地址列表，其中包含代理程序的位置。这个列表可能使用如Blowfish的加密程序进行了加密。如果没有加密的话，就可以从这个列表方便地识别出代理信息。基本特性及抵御策略 用于发现系统上TFN 代理程序的程序是td，发现系统上master程序的程序是tfn 。TFN 代理并不查看ICMP回音应答信息包来自哪里，因此使用伪装ICMP 信息包冲刷掉这些过程是可能的。