国家计算机网络入侵防范中心拒绝服务攻击及防范技术•DoS概述案例、定义、特点、分类•DoS攻击技术•DoS攻击防范国家计算机网络入侵防范中心案例•政府网站美国白宫的网站曾经遭受拒绝服务攻击•分布式拒绝服务2000年2月发生的一次对某些高利润站点Yahoo、eBay等的拒绝服务攻击,持续了近两天,使这些公司遭受了很大的损失。国家计算机网络入侵防范中心信息安全的基本属性•保密性•完整性•防抵赖•可用性(availability)•可控性DoS是针对可用性发起的攻击国家计算机网络入侵防范中心的定义•DoS,DenialofService•攻击网络协议实现的缺陷或通过各种手段耗尽被攻击对象的资源,以使得被攻击计算机或网络无法提供正常的服务或者资源,合法用户的请求得不到及时的响应国家计算机网络入侵防范中心攻击的特点•资源稀缺性•软件复杂性(6个/KLOC,6-30)•难确认,隐蔽性好(主观角度)•难防范,缺乏模型有些DoS可以通过管理的手段防止;受挫折,无法攻入目标系统,最后一招:DOS国家计算机网络入侵防范中心类型•发送一些非法数据包使系统死机或重起,造成系统或网络瘫痪•向系统发送大量信息,使系统或网络不能响应国家计算机网络入侵防范中心攻击技术分类(1)•利用协议中的漏洞SYN-Flood攻击•利用软件实现的缺陷teardrop攻击、land攻击•发送大量无用突发数据攻击耗尽资源ICMPflood攻击、Connectionflood攻击•欺骗型攻击IPSpoofingDoS攻击国家计算机网络入侵防范中心攻击技术分类(2)•利用TCP/IP协议进行的TCPDoS攻击–SYNflood攻击–Land攻击–Teardrop攻击•利用UDP服务进行的UDPDoS攻击–UDPFloodDoS攻击•利用ICMP协议进行的ICMPDoS攻击–PingofDeath攻击–Smurf攻击国家计算机网络入侵防范中心发展历史•早期的Internet蠕虫病毒•消耗网络资源分片装配,非法的TCP标志,SYNFlood等•利用系统实现上的缺陷,点对点形式PingofDeath,IP分片重叠•分布式DoS(DDoS)攻击smurf攻击国家计算机网络入侵防范中心一些典型的DoS攻击•PingofDeath–发送异常的(长度超过IP包的最大值)•Teardrop–IP包的分片装配•UDPFlood•Land–程序发送一个TCPSYN包,源地址与目的地址相同,源端口与目的端口相同,从而产生DoS攻击•SYNFlood–快速发送多个SYN包•Smurf–给广播地址发送ICMPEcho包,造成网络阻塞•……国家计算机网络入侵防范中心原理:直接利用ping包,即ICMPEcho包,有些系统在收到大量比最大包还要长的数据包,会挂起或者死机•受影响的系统:许多操作系统受影响•攻击做法直接利用ping工具,发送超大的ping数据包•防止措施打补丁:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(servicepack3之后),linux、Solaris、和MacOS都具有抵抗一般pingofdeath攻击的能力。防火墙阻止这样的ping包国家计算机网络入侵防范中心允许数据包的最大容量为65536C:\ping162.105.30.200Pinging162.105.30.200with32bytesofdata:Replyfrom162.105.30.200:bytes=32time=10msTTL=255Replyfrom162.105.30.200:bytes=32time10msTTL=255Replyfrom162.105.30.200:bytes=32time10msTTL=255Replyfrom162.105.30.200:bytes=32time10msTTL=255Pingstatisticsfor162.105.30.200:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=10ms,Average=C:\ping-l65570162.105.30.200Badvalueforoption-l,validrangeisfrom0to65500国家计算机网络入侵防范中心碎片•IP碎片攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃•常见的IP碎片程序有jolt2、teardrop、newtear、syndrop、boink等。•防御措施:主要是服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。国家计算机网络入侵防范中心•原理:利用IP包的分片装配过程中,由于分片重叠,计算过程出现长度为负值,在执行memcpy的时候导致系统崩溃•受影响的系统:Linux/WindowsNT/95,97年发现•攻击特征攻击非常简单,发送一些IP分片异常的数据包•防止措施加入条件判断,对这种异常的包特殊处理打补丁国家计算机网络入侵防范中心•原理:各种各样的假冒攻击利用简单的TCP/IP服务,如chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽耗尽的服务攻击。•对策:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的对这些服务的UDP请求都可以防范UDPflood攻击。国家计算机网络入侵防范中心•原理:利用TCP连接三次握手过程,打开大量的半开TCP连接,使得目标机器不能进一步接受TCP连接。每个机器都需要为这种半开连接分配一定的资源,并且,这种半开连接的数量是有限制的,达到最大数量时,机器就不再接受进来的连接请求。•受影响的系统:大多数操作系统•攻击细节–连接请求是正常的,但是,源IP地址往往是伪造的,并且是一台不可达的机器的IP地址,否则,被伪造地址的机器会重置这些半开连接–一般,半开连接超时之后,会自动被清除,所以,攻击者的系统发出SYN包的速度要比目标机器清除半开连接的速度要快–任何连接到Internet上并提供基于TCP的网络服务,都有可能成为攻击的目标–这样的攻击很难跟踪,因为源地址往往不可信,而且不在线国家计算机网络入侵防范中心•攻击特征目标主机的网络上出现大量的SYN包,而没有相应的应答包SYN包的源地址可能是伪造的,甚至无规律可循•防止措施针对网络•防火墙或者路由器可以在给定时间内只允许有限数量的半开连接•入侵检测,可以发现这样的DoS攻击行为打补丁•Linux和Solaris使用了一种被称为SYNcookie的技术来解决SYNFlood攻击:在半开连接队列之外另设置了一套机制,使得合法连接得以正常继续国家计算机网络入侵防范中心•原理:向广播地址发送伪造地址的ICMPEcho数据包。攻击者向一个广播地址发送ICMPEcho请求,并且用受害者的IP地址作为源地址,于是,广播地址网络上的每台机器响应这些Echo请求,同时向受害者主机发送ICMPEcho-Reply应答。于是,受害者主机会被这些大量的应答包淹没•受影响的系统:大多数操作系统和路由器•变种:fraggle,使用UDP包,或称为udpsmurf比如,7号端口(echo),如果目标机器的端口开着,则送回应答,否则,产生ICM端口不可达消息•技术细节两个主要的特点:使用伪造的数据包,使用广播地址。不仅被伪造地址的机器受害,目标网络本身也是受害者,它们要发送大量的应答数据包国家计算机网络入侵防范中心国家计算机网络入侵防范中心•攻击特征–涉及到三方:攻击者,中间目标网络,受害者–以较小的网络带宽资源,通过放大作用,吃掉较大带宽的受害者系统–Smurf放大器•Smurf放大器网络:不仅允许ICMPEcho请求发给网络的广播地址,并且允许ICMPEcho-Reply发送回去•这样的公司越多,对Internet的危害就越大•实施Smurf攻击–需要长期的准备,首先找到足够多的中间网络–集中向这些中间网络发出ICMPEcho包国家计算机网络入侵防范中心攻击的防止措施•针对最终受害者–没有直接的方法可以阻止自己接收ICMPEchoReply消息–在路由器上阻止这样的应答消息,但结果是路由器本身遭受了DoS攻击–与中间目标网络联系•针对中间网络–关闭外来的IP广播消息,但是,如果攻击者从内部机器发起攻击,仍然不能阻止smurf攻击–配置操作系统,对于广播地址的ICMP包不响应•在每个路由节点上都记录log,以备查–流量大的路由节点上能够记录所有的流量吗国家计算机网络入侵防范中心•原理:这是一种比较老的攻击,目前大部分操作系统都能避免。在Land攻击中,构造一个特别的SYN包,它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应同许多UNIX实现将崩溃,NT变得极其缓慢(大约持续五分钟)。•对策:打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉(包括10域、127域、192.168域、172.16到172.31域)都比较有效的防范Land攻击。国家计算机网络入侵防范中心电子邮件炸弹•原理:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断大量地向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。•对策:对付这种攻击最简单的方法就是对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。国家计算机网络入侵防范中心•分布式拒绝服务,DistributedDenialofServiceattack•传统的拒绝服务是一台机器向受害者发起攻击,DDOS不是仅仅一台机器而是多台主机合作,同时向一个目标发起攻击。国家计算机网络入侵防范中心国家计算机网