拒绝服务攻击(拒绝服务攻击原理、常见方法及防范)
网络安全原理与应用
系别:计算机科学与技术系
班级:网络信息与技术
姓名:x x x
学号:xxxxxxxxxxxxx
拒绝服务攻击原理、常见方法及防范
什么是DOS攻击
DOS:即Denial Of Service,拒绝服务的缩写,可不能认为是微软的dos操作系统了。DOS 攻击即攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。比如:
* 试图FLOOD服务器,阻止合法的网络通讯
* 破坏两个机器间的连接,阻止访问服务
* 阻止特殊用户访问服务
* 破坏服务器的服务或者导致服务器死机
不过,只有那些比较阴险的攻击者才单独使用DOS攻击,破坏服务器。通常,DOS攻击会被作为一次入侵的一部分,比如,绕过入侵检测系统的时候,通常从用大量的攻击出发,导致入侵检测系统日志过多或者反应迟钝,这样,入侵者就可以在潮水般的攻击中混骗过入侵检测系统。
DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。
这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。你理解了DoS攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
有关TCP协议的东西
TCP(transmission control protocol,传输控制协议),是用来在不可靠的因特网上提供可靠的、端到端的字节流通讯协议,在RFC793中有正式定义,还有一些解决错误的东西在RFC 1122中有记录,RFC 1323则有TCP的功能扩展。
我们常见到的TCP/IP协议中,IP层不保证将数据报正确传送到目的地,TCP则从本地机器接受用户的数据流,将其分成不超过64K字节的数据片段,将每个数据片段作为单独的IP
数据包发送出去,最后在目的地机器中再组合成完整的字节流,TCP协议必须保证可靠性。发送和接收方的TCP传输以数据段的形式交换数据,一个数据段包括一个固定的20字节头,加上可选部分,后面再跟上数据,TCP协议从发送方传送一个数据段的时候,还要启动计时器,当数据段到达目的地后,接收方还要发送回一个数据段,其中有一个确认序号,它等于希望收到的下一个数据段的顺序号,如果计时器在确认信息到达前超时了,发送方会重新发送这个数据段。
上面,我们总体上了解一点TCP协议,重要的是要熟悉TCP的数据头(header)。因为数据流的传输最重要的就是header里面的东西,至于发送的数据,只是header附带上的。客户端和服务端的服务响应就是同header里面的数据相关,两端的信息交流和交换是根据header中的内容实施的,因此,要实现DOS,就必须对header中的内容非常熟悉。
下面是TCP数据段头格式。
Source Port和 Destination Port :是本地端口和目标端口
Sequence Number 和 Acknowledgment Number :是顺序号和确认号,确认号是希望接收的字节号。这都是32位的,在TCP流中,每个数据字节都被编号。
Data offset :表明TCP头包含多少个32位字,用来确定头的长度,因为头中可选字段长度是不定的。
Reserved : 保留的6位,现在没用,都是0 接下来是6个1位的标志,这是两个计算机数据交流的信息标志。接收和发送断根据这些标志来确定信息流的种类。下面是一些介绍:URG:(Urgent Pointer field significant)紧急指针。用到的时候值为1,用来处理避免TCP数据流中断。
(Acknowledgment field significant)置1时表示确认号(Acknowledgment Number)ACK:
为合法,为0的时候表示数据段不包含确认信息,确认号被忽略。
PSH:(Push Function),PUSH标志的数据,置1时请求的数据段在接收方得到后就可直接送到应用程序,而不必等到缓冲区满时才传送。
RST:(Reset the connection)用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。如果接收到RST位时候,通常发生了某些错误。
SYN:(Synchronize sequence numbers)用来建立连接,在连接请求中,SYN=1,ACK=0,连接响应时,SYN=1,ACK=1。即,SYN和ACK来区分Connection Request和Connection Accepted。
FIN:(No more data from sender)用来释放连接,表明发送方已经没有数据发送了。
知道这重要的6个指示标志后,我们继续来。
16位的WINDOW字段:表示确认了字节后还可以发送多少字节。可以为0,表示已经收到包括确认号减1(即已发送所有数据)在内的所有数据段。
接下来是16位的Checksum字段,用来确保可靠性的。
16位的Urgent Pointer,和下面的字段我们这里不解释了。不然太多了。呵呵,偷懒
啊。
我们进入比较重要的一部分:TCP连接握手过程。这个过程简单地分为三步。
在没有连接中,接受方(我们针对服务器),服务器处于LISTEN状态,等待其他机器发送连接请求。
第一步:客户端发送一个带SYN位的请求,向服务器表示需要连接,比如发送包假设请求序号为10,那么则为:SYN=10,ACK=0,
然后等待服务器的响应。
第二步:服务器接收到这样的请求后,查看是否在LISTEN的是指定的端口,不然,就发送RST=1应答,拒绝建立连接。如果接收
连接,那么服务器发送确认,SYN为服务器的一个内码,假设为100,ACK位则是客户端的请求序号加1,本例中发送的数据是:
SYN=100,ACK=11,用这样的数据发送给客户端。向客户端表示,服务器连接已经准备好了,等待客户端的确认
这时客户端接收到消息后,分析得到的信息,准备发送确认连接信号到服务器
第三步:客户端发送确认建立连接的消息给服务器。确认信息的SYN位是服务器发送的ACK位,ACK位是服务器发送的SYN位加1。
即:SYN=11,ACK=101。
这时,连接已经建立起来了。然后发送数据,。这是一个基本的请求和连接过程。需要注意的是这些标志位的关系,比如SYN、ACK。
上面的介绍,我们了解TCP协议,以及连接过程。要对SERVER实施拒绝服务攻击,实质上的方式就是有两个:
一,迫使服务器的缓冲区满,不接收新的请求。
二,使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接,这就是DOS攻击实施的基本思想。
被DDoS攻击时的现象:
·被攻击主机上有大量等待的TCP连接
·网络中充斥着大量的无用的数据包,源地址为假
·制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯
·利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,
使受害主机无法及时处理所有正常请求
·严重时会造成系统死机
攻击进行原理:
如图一,一个比较完善的DDoS攻击体系分成四大部分,先来看一下最重要的第2和第3部分:它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别,对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。
有的朋友也许会问道:"为什么黑客不直接去控制攻击傀儡机,而要从控制傀儡机上转一下呢?"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说,肯定不愿意被捉到(我在小时候向别人家的鸡窝扔石头的时候也晓得在第一时间逃掉,呵呵),而攻击者使用的傀儡机越多,他实际上提供给受害者的分析依据就越多。在占领一台机器后,
高水平的攻击者会首先做两件事:1. 考虑如何留好后门(我以后还要回来的哦)!2. 如何清理日志。这就是擦掉脚印,不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉,但这样的话网管员发现日志都没了就会知道有人干了坏事了,顶多无法再从日志发现是谁干的而已。相反,真正的好手会挑有关自己的日志项目删掉,让人看不到异常的情况。这样可以长时间地利用傀儡机。
但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程,即使在有很好的日志清理工具的帮助下,黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净,通过它上面的线索找到了控制它的上一级计算机,这上级的计算机如果是黑客自己的机器,那么他就会被揪出来了。但如果这是控制用的傀儡机的话,黑客自身还是安全的。控制傀儡机的数目相对很少,一般一台就可以控制几十台攻击机,清理一台计算机的日志对黑客来讲就轻松多了,这样从控制机再找到黑客的可能性也大大降低。
黑客是如何组织一次DDoS攻击的?
这里用"组织"这个词,是因为DDoS并不象入侵一台主机那样简单。一般来说,黑客进行DDoS 攻击时会经过这样的步骤:
1. 搜集了解目标的情况
下列情况是黑客非常关心的情报:
?被攻击目标主机数目、地址情况
?目标主机的配置、性能
?目标的带宽
对于DDoS攻击者来说,攻击互联网上的某个站点,如https://www.360docs.net/doc/4f1217737.html,,有一个重点就是确定到底有多少台主机在支持这个站点,一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例,一般会有下列地址都是提供https://www.360docs.net/doc/4f1217737.html,服务的:
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86
如果要进行DDoS攻击的话,应该攻击哪一个地址呢?使66.218.71.87这台机器瘫掉,但其他的主机还是能向外提供www服务,所以想让别人访问不到https://www.360docs.net/doc/4f1217737.html,的
话,要所有这些IP地址的机器都瘫掉才行。在实际的应用中,一个IP地址往往还代表着数台机器:网站维护者使用了四层或七层交换机来做负载均衡,把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了,他面对的任务可能是让几十台主机的服务都不正常。
所以说事先搜集情报对DDoS攻击者来说是非常重要的,这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下,在相同的条件下,攻击同一站点的2台主机需要2台傀儡机的话,攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好,不管你有多少台主机我都用尽量多的傀儡机来攻就是了,反正傀儡机超过了时候效果更好。
但在实际过程中,有很多黑客并不进行情报的搜集而直接进行DDoS的攻击,这时候攻击的盲目性就很大了,效果如何也要靠运气。其实做黑客也象网管员一样,是不能偷懒的。
一件事做得好与坏,态度最重要,水平还在其次。
2. 占领傀儡机
黑客最感兴趣的是有下列情况的主机:
?链路状态好的主机
?性能好的主机
?安全管理水平差的主机
这一部分实际上是使用了另一大类的攻击手段:利用形攻击。这是和DDoS并列的攻击方式。简单地说,就是占领和控制被攻击的主机。取得最高的管理权限,或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说,准备好一定数量的傀儡机是一个必要的条件,下面说一下他是如何攻击并占领它们的。
首先,黑客做的工作一般是扫描,随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器,象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊),都是黑客希望看到的扫描结果。随后就是尝试入侵了,具体的手段就不在这里多说了,感兴趣的话网上有很多关于这些内容的文章。
总之黑客现在占领了一台傀儡机了!然后他做什么呢?除了上面说过留后门擦脚印这些基本工作之外,他会把DDoS攻击用的程序上载过去,一般是利用ftp。在攻击机上,会有一个DDoS的发包程序,黑客就是利用它来向受害目标发送恶意攻击包的。
3. 实际攻击
经过前2个阶段的精心准备之后,黑客就开始瞄准目标准备发射了。前面的准备做得好的话,实际攻击过程反而是比较简单的。就象图示里的那样,黑客登录到做为控制台的傀儡机,向所有的攻击机发出命令:"预备~ ,瞄准~,开火!"。这时候埋伏在攻击机中的DDoS攻击程
序就会响应控制台的命令,一起向受害主机以高速度发送大量的数据包,导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击,他们不会"怜香惜玉"。
老到的攻击者一边攻击,还会用各种手段来监视攻击的效果,在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机,在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。
DDoS攻击实例:
●SYN Flood攻击
SYN-Flood是目前最流行的DDoS攻击手段,早先的DoS的手段在向分布式这一阶段发展的时候也经历了浪里淘沙的过程。SYN-Flood的攻击效果最好,应该是众黑客不约而同选择它的原因吧。那么我们一起来看看SYN-Flood的详细情况。
Syn Flood原理 - 三次握手
Syn Flood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是Syn Flood存在的基础。
TCP连接的三次握手
图二 TCP三次握手
如图二,在第一步中,客户端向服务端提出连接请求。这时TCP SYN标志置位。客户端告诉服务端序列号区域合法,需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段后,在第二步以自己的ISN回应(SYN标志置位),同时确认收到客户端的第一个TCP分段(ACK标志置位)。在第三步中,客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP连接,开始全双工模式的数据传输过程。
Syn Flood攻击者不会完成三次握手
图三 Syn Flood恶意地不完成三次握手
假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK 应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU 时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称做:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
●IP欺骗DOS攻击
这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。
攻击时,伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务。
●带宽DOS攻击
如果你的连接带宽足够大而服务器又不是很大,你可以发送请求,来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了,配合上SYN一起实施DOS,威力巨大。不过是初级DOS攻击。呵呵。Ping白宫??你发疯了啊!
●自身消耗的DOS攻击
这是一种老式的攻击手法。说老式,是因为老式的系统有这样的自身BUG。比如Win95 (winsock v1), Cisco IOS v.10.x, 和其他过时的系统。
这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同,发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快把资源消耗光。直接导致当机。这中伪装对一些身份认证系统还是威胁巨大的。
上面这些实施DOS攻击的手段最主要的就是构造需要的TCP数据,充分利用TCP协议。这些攻击方法都是建立在TCP基础上的。还有其他的DOS攻击手段。
●塞满服务器的硬盘
通常,如果服务器可以没有限制地执行写操作,那么都能成为塞满硬盘造成DOS攻击的途径,比如:
发送垃圾邮件。一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。破坏者可以发送大量的垃圾邮件,这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中,直到邮箱被撑破或者把硬盘塞满。
让日志记录满。入侵者可以构造大量的错误信息发送出来,服务器记录这些错误,可能就造成日志文件非常庞大,甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志,甚至就不能发现入侵者真正的入侵途径。
向匿名FTP塞垃圾文件。这样也可以塞满硬盘空间。
●合理利用策略
一般服务器都有关于帐户锁定的安全策略,比如,某个帐户连续3次登陆失败,那么这个帐号将被锁定。这点也可以被破坏者利用,他们伪装一个帐号去错误登陆,这样使得这个帐号被锁定,而正常的合法用户就不能使用这个帐号去登陆系统了。
防范与抵御DDoS攻击
对DDoS攻击来说并没有100%有效的防御手段。但是由于攻击者必须付出比防御者大得多的资源和努力才能实现有效的攻击,所以只要我们更好地了解DDoS攻击,积极部署防御措施,还是能在很大程度上缓解和抵御这类安全威胁的。另外,加强用户的安全防范意识,提高网络系统的安全性也是很重要的措施。
监控骨干网络设备,减少骨干网主机的漏洞
加强对骨干网络设备的监控,常用的方法包括限制连接队列的长度以及减少处理延时等。前者可以缓解系统资源的耗尽,虽然不能完全避免拒绝服务的发生,但是至少在一定程度上降低了系统崩溃的可能性,而后者能够加强系统的处理能力。通过减少延时,我们能以更快
的速度抛弃队列里等待的连接,而不是任其堆满队列。不过这种方法也不是在所有的情况下都有效,因为很多DDoS的攻击机制并不是建立在类似SYN Flood这样以畸形连接淹没队列的方式之上的。
几乎所有的主机平台都有抵御DDoS的设置,基本的设置有四种:
1.关闭不必要的服务。确保从服务器相应的目录或文件数据库中删除未使用的服务,如FTP 或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统——甚至是受防火墙保护的系统。确保运行在Unix主机上的所有服务都有TCP封装程序,限制对主机的访问权限。
2.限制同时打开的Syn半连接数目。
3.缩短Syn半连接的time out 时间。
4.及时更新系统补丁。确保所有服务器采用最新系统,并打上安全补丁,计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。因此应当及早发现系统存在的攻击漏洞,及时安装系统补丁程序。
合理配置路由器及防火墙,实现IDS和防火墙的联动
企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是与外界的接口设备。需要注意的是防DDoS的设置是以牺牲效率为代价的。
路由器(以Cisco路由器为例)
1.Cisco Express Forwarding(CEF)。
2.使用 unicast reverse-path。
3.访问控制列表(ACL)过滤。
4.设置SYN数据包流量速率。
5.升级版本过低的ISO。
6.为路由器建立log server。
其中使用CEF和Unicast设置时要特别注意,使用不当会造成路由器工作效率严重下降,升级IOS也应谨慎。
在思科路由器上使用 ip verfy unicast reverse-path 网络接口命令,这个功能检查每一个经过路由器的数据包。在路由器的CEF表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP
地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。单一地址反向传输路径转发(Unicast Reverse Path Forwarding)在ISP(局端)实现阻止SMURF攻击和其他基于IP地址伪装的攻击,这能够保护网络和客户避免受来自互联网其他地方的侵扰。使用Unicast RPF需要打开路由器的“\CEF swithing\”或“\CEF distributed switching\”选项,不需要将输入接口配置为CEF交换(switching)。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其他交换(switching)模式。RPF(反向传输路径转发)属于在一个网络接口或
子接口上激活的输入端功能,处理路由器接收的数据包。
防火墙
1.禁止对主机的非开放服务的访问。
2.限制同时打开的SYN最大连接数。
3.限制特定IP地址的访问。
4.启用防火墙的防DDoS属性。
5.严格限制对外开放的服务器的向外访问。
要限制在防火墙外与网络文件共享,因为这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。
利用防火墙来加固网络的安全性,配置好这些设备的安全规则,过滤掉所有可能的伪造数据包。在受到攻击时,迅速确定来源地址,在路由器和防火墙上做一些屏蔽。
在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以一定要认真检查特权端口和非特权端口。
现在有很多防火墙产品集成了反DDoS功能,进一步提高了对常见DDoS攻击包的识别能力。这样的产品可以在很大程度上增强DDoS防御能力,并且可以做到不对数据包进行完全检查就可以发现“恶意行为”。这是非常有用的功能,因为如果判断DDoS攻击所耗费的处理越少,就越不容易被耗尽处理能力,从而极大地增加攻击者的成本。包括很多路由器产品在内的网络设备都具备一些防火墙功能,我们应该尽可能充分利用。
另外,实现IDS和防火墙的联动也是有效抵御DDoS攻击的有效手段。
加强网络管理,建立合理的应对策略
1.确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。
2.在网络管理方面,要经常检查系统的物理环境,禁止那些不必要的网络服务。建立边界安全界限,确保输出的包受到正确限制。经常检测系统配置信息,并注意查看每天的安全日志,检查所有网络设备和主机/服务器系统的日志,只要日志出现漏洞或时间出现变更,几乎可以肯定相关的主机安全受到了危胁。
3.与网络服务提供商协调工作,让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。
4.当用户发现自己正在遭受DDoS攻击时,应当启动自己的应付策略,尽可能快地追踪攻击包,并及时联系ISP和有关应急组织,分析受影响的系统,确定涉及的其他节点。
5.确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在运行什么?谁在使用主机?哪些人可以访问主机?不然,即使黑客侵犯了系统,也很难查明。
6.对一些重要的信息(例如系统配置信息)建立和完善备份机制。对一些特权账号(例如管理员账号)的密码设置要谨慎。
通过以上一系列的举措可以把攻击者的可乘之机降低到最小。
病毒预警
最近有一个病毒特别值得注意,它伪装成流行的网上聊天工具MSN 8的测试版本,通过MSN 进行传播。中毒电脑可被黑客远程控制,如:添加删除程序、盗取隐私信息等。
专家建议用户不要随便打开通过QQ、MSN等即时通信工具发来的网站地址或文件,要及时升级杀毒软件并打开文件监控功能来防范此类病毒。
实验4:拒绝式服务攻击与防范
实验4:拒绝式服务攻击与防范 【实验目的】 熟悉SYNflood的攻击原理与过程,及IPv4所存在的固有缺陷。 【实验准备】 准备xdos.exe拒绝服务工具。 【注意事项】 实验后将DoS黑客软件从机器彻底删除,避免恶意应用影响网络运行。 【实验步骤】 一、拒绝式服务攻击 拒绝服务攻击的英文意思是Denial of Service,简称DoS。这种攻击行动使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷直至瘫痪而停止提供正常的网络服务。 SYN-Flood是当前最常见的一种Dos攻击方式,它利用了TCP协议的缺陷进行攻击
用黑客软件xdos.exe对目标计算机进行拒绝服务攻击并运行测试。(1)计算机a登录到windows 2000,打开sniffer pro,在sniffer pro中配置好捕捉从任意 主机发送给本机的ip数据包,并启动捕捉进程。
(2)在计算机B上登录Windows 2000,打开命令提示窗口,运行xdos.exe,命令的格式:‖xdos<目标主机IP>端口号–t 线程数[-s <插入随机IP>’]‖(也可以用―xdos?‖命令查看使用方法)。输入命令:xdos 192.168.19.42 80 –t 200 –s* 确定即可进行攻击,192.168.19.42 是计 算机A的地址。
(3)在A端可以看到电脑的处理速度明显下降,甚至瘫痪死机,在Sniffer Pro的Traffic Map 中看到最大伪造IP的主机请求与A的电脑建立连接。 (4)B停止攻击后,A的电脑恢复快速响应。打开捕捉的数据包,可以看到有大量伪造IP地址的主机请求与A的电脑连接的数据包,且都是只请求不应答。以至于A的电脑保持有大量的半开连接。运行速度下降直至瘫痪死机,拒绝为合法的请求服务。 二、拒绝式服务防范 几乎所有的主机平台都有抵御DoS的设置,常见的有以下几种。(1)关闭不必要的服务。 Windows XP系统步骤如下:
拒绝服务与攻击防范
拒绝服务与攻击防范 拒绝服务攻击与防范 拒绝服务,攻击,DoS,DDoS,DRoS。 一、一般的拒绝服务攻击与防范 我们先来看看DoS的英文是什么-----DenialofService所以中文译过来就是拒绝服务了,因为Internet本身的弱点及Internet总体上的不安全性使入侵者利用了TCP/IP协议的一些不足来发动攻击,这样黑客们就容易攻击成功,因为拒绝服务攻击是一种技术含量低的攻击,所以大多人都可容易掌握,一般来说是攻击者在用其它办法不能攻击得呈时,他极有可能采用这种攻击方法,但是拒绝服务可以说是一种高消耗的方法,是一种损人不利已的行为,虽然攻击时使受攻击目标不能正常的提供服务的同时,也会浪费掉攻击者的大量代价。由于攻击就是主要使服务器的服务能力下降,所以当你发现你的CPU占用是100%时,一定要仔细看看Ri志,最常见的是查看防火墙的记录,如果常见的黑客攻击是征对WEB服务攻击。那么你还可从你的WEBRi志中得到一些收获的,从中仔细地分析出是什么原因造成的。下面我来说说最常见的,也是最早的一些拒绝服务。 1、报文洪水攻击(FloodDoS) 这个是根据TCP/IP协议的规定,要完成一个TCP连接时,需要三次握手。首先客户端发一个有SYN标志的包给服务器,请求服务,然后服务端返回一个SYN+1的ACT响应包。客户端收到后再发一个确认包给服务端。这时,客户端与服务端建立连接成功,这样就为进行以后的通信作好了准备工作。进行攻击时,攻击者就会利用只发伪造的包而不接收响应(这里实质是收不到,因为IP是假的),从而让服务器产生大量的“半开连接”,由于每个包服务器有一定的等待响应时间,而且当一定时间没有收到响应时,还会多次重发。因此服务器在重发与等待过程中形成大
拒绝服务攻击原理及解决方法
拒绝服务攻击原理及解决方法 Internet给全世界的人们带来了无限的生机,真正实现了无国界的全球村。但是还有很多困绕我们的因素,象IP地址的短缺,大量带宽的损耗,以及政府规章的限制和编程技术的不足。现在,由于多年来网络系统累积下了无数的漏洞,我们将面临着更大的威胁,网络中潜伏的好事者将会以此作为缺口来对系统进行攻击,我们也不得不为以前的疏忽付出更大的努力。虽然大多的网络系统产品都标榜着安全的旗号,但就我们现在的网络协议和残缺的技术来看,危险无处不在。 拒绝服务攻击是一种遍布全球的系统漏洞,黑客们正醉心于对它的研究,而无数的网络用户将成为这种攻击的受害者。Tribe Flood Network, tfn2k, smurf, targa…还有许多的程序都在被不断的开发出来。这些程序想瘟疫一样在网络中散布开来,使得我们的村落更为薄弱,我们不得不找出一套简单易用的安全解决方案来应付黑暗中的攻击。 在这篇文章中我们将会提供: ·对当今网络中的拒绝服务攻击的讨论。 ·安全环境中的一些非技术性因素以及我们必须克服的一些障碍问题。 ·如何认清产品推销商所提供的一些谎言。 在我们正式步入对这些问题的技术性讨论之前,让我们先从现实的生活中的实际角度来看一下这些困绕我们的问题。 当前的技术概况 在我们进入更为详细的解决方案之前,让我们首先对问题做一下更深入的了解。 与安全相关的这些小问题如果详细来讲的话都能成为一个大的章节,但限于篇幅的原因,我们只能先作一下大体的了解。 ·软件弱点是包含在操作系统或应用程序中与安全相关的系统缺陷,这些缺陷大多是由于错误的程序编制,粗心的源代码审核,无心的副效应或一些不适当的绑定所造成的。根据错误信息所带来的对系统无限制或者未经许可的访问程度,这些漏洞可以被分为不同的等级。 ·典型的拒绝服务攻击有如下两种形式:资源耗尽和资源过载。当一个对资源的合理请求大大超过资源的支付能力时就会造成拒绝服务攻击(例如,对已经满载的Web服务器进行过多的请求。)拒绝服务攻击还有可能是由于软件的弱点或者对程序的错误配置造成的。区分恶意的拒绝服务攻击和非恶意的服务超载依赖于请求发起者对资源的请求是否过份,从而使得其他的用户无法享用该服务资源。 ·错误配置也会成为系统的安全隐患。这些错误配置通常发生在硬件装置,系统或者应用程序中。如果对网络中的路由器,防火墙,交换机以及其他网络连接设备都进行正确的配置会减小这些错误发生的可能性。如果发现了这种漏洞应当请教专业的技术人员来修理这些问题。 如果换个角度,也可以说是如下原因造成的: ·错误配置。错误配置大多是由于一些没经验的,无责任员工或者错误的理论所导致的。开发商一般会通过对您进行简单的询问来提取一些主要的配置信息,然后在由经过专业培训并相当内行的专业人士来解决问题。 ·软件弱点。由于使用的软件几乎完全依赖于开发商,所以对于由软件引起的漏洞只能依靠打补丁,安装hot fixes和Service packs来弥补。当某个应用程序被发现有漏洞存在,开发商会立即发布一个更新的版本来修正这个漏洞。 ·拒绝服务攻击。拒绝服务攻击大多是由于错误配置或者软件弱点导致的。某些DoS
浅析分布式拒绝服务攻击原理及防范
龙源期刊网 https://www.360docs.net/doc/4f1217737.html, 浅析分布式拒绝服务攻击原理及防范 作者:夏良荣 来源:《科技经济市场》2008年第10期 摘要:在网络安全中,分布式拒绝服务攻击已经成为最大的威胁之一,由于破坏性大,而且难于防御成为黑客经常采用的攻击手段。本文简要分析了分布式拒绝服务攻击的原理和基本实施方法,并介绍了发生此类攻击时的防范和应对措施。 关键词:拒绝服务;分布式拒绝服务;网络安全;防火墙;数据包 1DDoS概念 DoS是Denial of Service的简称,中文译为拒绝服务,也就是有计划的破坏一台计算机或者网络,使主机或计算机网络无法提供正常的服务。DoS攻击发生在访问一台计算机时,或者网络资源被有意的封锁或者降级时。这类攻击不需要直接或者永久的破坏数据,但是它们故意破坏资源的可用性。最普通的DoS攻击的目标是计算机网络带宽或者是网络的连通性。带宽 攻击是用很大的流量来淹没可用的网络资源,从而合法用户的请求得不到响应,导致可用性下降。网络连通性攻击是用大量的连接请求来耗尽计算机可用的操作系统资源,导致计算机不能够再处理正常的用户请求。 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击,是在传统的拒绝服务攻击 的基础上发展起来的网络攻击手段,具有危害巨大,难以预防等特点,是目前比较典型的一种黑客攻击手段。这种攻击主要借助于客户/服务器(C/S)技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。 高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。通常,攻击者通过入侵主机将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理主机通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千个代理程序。 2受到攻击时的现象
对拒绝服务攻击的认识
作业一:对拒绝服务攻击的了解 网络攻击的形式多种多样,比如有口令窃取,欺骗攻击,缺陷和后门攻击,认证失效,协议缺陷,拒绝服务攻击,指数攻击,信息泄露等。通过查看资料,在这里,我主要谈一谈我对拒绝服务的了解,与认识。其重点谈一下分布式拒绝服务攻击! 拒绝服务攻击从字面上顾名思义即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。 危害就主要有,过度使用服务,使软件、硬件过度运行,是网络链接超出其容量。还有就是会造成关机或系统瘫痪,或者降低服务质量。单一的DoS 攻击一般是采用一对一方式的,当攻击目标CPU 速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS 攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。这时候分布式的拒绝服务攻击手段(DDoS )就应运而生了。 而分布式拒绝服务(DDoS )的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,分布式拒绝服务攻击又被称之为“洪水式攻击”。其运行原理示意图如下:3 控制42 分布式拒绝服务攻击体系结构 黑客傀儡机 傀儡机 傀儡机 -----受害者傀儡机
如图所示,一个比较完善的DDoS攻击体系分成四大部分,先来看一下最重要的第2和第3部分:它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别,对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。 DDoS的体系结构,以及具体描述是从网上了解到的。在这里我就有一个疑问。为什么不直接攻击傀儡机而是要先控制再攻击?然而通过找资料得知,原来黑客是为了保护自己。如果利用控制的傀儡机的话,先要找到黑客的概率就大大减少了。 那么黑客是如何组织一次DDoS的呢? 一,要搜集了解目标的情况。黑客一般会关心1,被攻击者的主机数目、地址情况。这关系到有多少傀儡机才能达到想要的效果的问题。2,目标主机的配置、性能。3,目标的带宽。二,就是要占领傀儡机。黑客一般最感兴趣的是链路状态好的主机,性能好的主机,安全管理水平差的主机。黑客做的工作就是扫描,随机或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器,随后就是尝试入侵。当黑客占领了一台傀儡机后,会吧DDoS攻击用的程序下载过去,一般是利用ftp。在攻击机上,会有一个DDoS的发包程序,黑客就是利用它来向受害者目标发送恶意攻击包的。三,实际攻击。向所有的攻击机发出命令:预备,瞄准,开火。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令,一起向受害主机以高速度发送大量的数据包,导致它死机或者是无法响应正常的请求。比较精明的攻击者一边攻击,一边还会用各种手段来监视攻击的效果,在需要的时候进行一些调整。这就是大体攻击的原理。 下面我们来了解一下拒绝服务的发展趋势。从以下几个方面来了解。 一,攻击程序的安装。如今,攻击方法渐趋复杂,渐趋自动化,目标也有目的地或随意地选取基于windows的系统或者路由器。从一个漏洞的首次发现到
拒绝服务攻击(拒绝服务攻击原理、常见方法及防范)
网络安全原理与应用 系别:计算机科学与技术系 班级:网络信息与技术 姓名:x x x 学号:xxxxxxxxxxxxx
拒绝服务攻击原理、常见方法及防范 什么是DOS攻击 DOS:即Denial Of Service,拒绝服务的缩写,可不能认为是微软的dos操作系统了。DOS 攻击即攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。比如: * 试图FLOOD服务器,阻止合法的网络通讯 * 破坏两个机器间的连接,阻止访问服务 * 阻止特殊用户访问服务 * 破坏服务器的服务或者导致服务器死机 不过,只有那些比较阴险的攻击者才单独使用DOS攻击,破坏服务器。通常,DOS攻击会被作为一次入侵的一部分,比如,绕过入侵检测系统的时候,通常从用大量的攻击出发,导致入侵检测系统日志过多或者反应迟钝,这样,入侵者就可以在潮水般的攻击中混骗过入侵检测系统。 DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。 DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。 这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。你理解了DoS攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。 高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。 有关TCP协议的东西 TCP(transmission control protocol,传输控制协议),是用来在不可靠的因特网上提供可靠的、端到端的字节流通讯协议,在RFC793中有正式定义,还有一些解决错误的东西在RFC 1122中有记录,RFC 1323则有TCP的功能扩展。 我们常见到的TCP/IP协议中,IP层不保证将数据报正确传送到目的地,TCP则从本地机器接受用户的数据流,将其分成不超过64K字节的数据片段,将每个数据片段作为单独的IP
实验10-拒绝服务攻击与防范
贵州大学实验报告 学院:计算机科学与技术学院专业:信息安全班级:姓名学号实验组实验时间2015.06.17 指导教师蒋朝惠成绩实验项目名称实验十拒绝服务攻击与防范 实验目的(一)拒绝服务(DoS)攻击与防范 通过本实验的学习, 使大家了解拒绝服务攻击的原理以及相应的防范方法。 通过一个SYN Flood的拒绝服务程序, 使大家加强对Dos攻击的理解。(二)分布式服务(DDoS)攻击与防范 通过本实验的学习, 使大家了解分布式拒绝服务(DDoS)攻击的原理以及相应的防范方法。 实 验 要 求 通过实验,理解和掌握DoS和DDoS的攻击原理以及相应的防范方法 实验原理(一)拒绝服务(DoS)攻击与防范 1.TCP协议介绍 传输控制协议是用来在不可靠的Internet上提供可靠的、端到端的字 节流通信协议,在FRC 793中有正式定义,还有一些解决错误的方案在 RFC1122中有记录,RFC1323则有TCP的功能扩展。常见到的TCP/IP协 议中,IP层不保证将数据报正确传输到目的地TCP则从本地机器接收 用户的数据流,将其分成不超过64KB的数据字段,将每个数据片段作 为单独的IP数据包发送出去,最后在目的地机器中将其再组合成完整 的字节流,TCP协议必须保证可靠性。发送方和接收方的TCP传输以数 据段的形式交换数据,i一个数据段包括固定20字节,加上可选部分, 后面再加上数据。TCP协议从发送方传输一个数据耳朵时候,其中有一 个确认号,它等于希望收到的下一个数据段的序号,接收方还要发送回 一个数据段,其中有一个确认号,它等于希望收到的下一个数据段的顺
序号。如果计时器在确认信息到达以前超时了,发送方会重新发送这个数据段。 从上面的内容可以在总体上了解一点TCP,重要的是熟悉TCP的数据头。 因为数据流的传输最重要的就是header里面的东西,至于发送的数据,只是TCP数据头附带上的、客户端和服务器端的服务响应就是痛header 里面的数据有关,两端信息交流和交换是根据header中内容实施的,因此,要了解DoS攻击原理,就必须对TCP的header中的内容非常熟悉。有关TCP数据段头格式参见7.1.3节内容。 TCP连接采用“3次握手”,其原理步骤如下所述。 在没有连接时,接受方服务器处于监听状态,等待其它机器发送连接请求。 第一步,客户端发送一个带SYN位的请求,向服务器表示需要连接。 第二步,服务器接收到这样的请求后,查看监听的端口是否为指定端口,如果不是,则发送RST=1应答,拒绝建立连接。如果是,那么服务器发送确认,SYN为服务器的一个内码,假设为100,ACK位则为客户端的请求序号加1,本例中发送的数据是:SYN=11,ACK=100,用这样的数据发送给客户端。向客户端标明,服务器连接已准备好,等待客户端的确认。 这时客户端接收到信息后,分析得到的信息,准备发送确认连接信号到服务器。 第三步,客户端发送确认信息建立连接的消息给服务器端,确认信息的SYN位是服务器发送的ACK位,ACK位是服务器发送的SYN位加1.级:SYN=11,ACK=101。 这时,连接已经建立好了,可以进行发送数据的过程。 服务器不会在每次接收到SYN请求就立刻恢复客户端建立连接,而是为连接请求分配内存空间,建立会话,并放到一个队列中。如果等待队列已经满了,那么服务器就不会再为新的连接分配资源,直接丢弃请求。 如果到了这种地步,那么服务器就是拒绝服务了。 2.拒绝服务(DoS)攻击
常见网络攻击方法及原理
1.1 TCP SYN拒绝服务攻击 一般情况下,一个TCP连接的建立需要经过三次握手的过程,即: 1、建立发起者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB),然后向发起者回送一个TCP ACK报文,等待发起者的回应; 3、发起者收到TCP ACK报文后,再回应一个ACK报文,这样TCP连接就建立起来了。 利用这个过程,一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击: 1、攻击者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应; 3、而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。 可以看出,目标计算机如果接收到大量的TCP SYN报文,而没有收到发起者的第三次ACK回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB 控制结构,TCB,一般情况下是有限的)耗尽,而不能响应正常的TCP连接请求。 1.2 ICMP洪水 正常情况下,为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应请求报文(ICMP ECHO),接收计算机接收到ICMP ECHO后,会回应一个ICMP ECHO Reply报文。而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP洪水),则目标计算机会忙于处理这些ECHO报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)。
实验五拒绝服务攻击与防范实验报告
实验五报告 课程名称计算机网络安全实验 成绩 实验名称拒绝服务攻击与防范实验 学号姓名班级日期 课程设计报告 一、实验目的及要求: 1.实验目的 通过本实验对DoS/DDoS攻击的深入介绍和实验操作; 了解DoS/DDoS攻击的原理和危害,并且具体掌握利用TCP、UDP、ICMP等协议的DoS/DDoS 攻击原理; 了解针对DoS/DDoS攻击的防范措施和手段。 通过实验掌握DoS/DDoS攻击的原理; 2.实验要求 (1)使用拒绝服务攻击工具对另一台主机进行攻击。 (2)启动进行抓包工具,并分析TCP、UDP、ICMP等协议的DoS/DDoS攻击原理与危害。 (3)给出针对DoS/DDoS攻击的防范措施和手段。 二、实验过程及要点: 实验过程: 攻击机(192.168.13.33)目标机(192.168.13.22)
原理:SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。 此次模拟攻击为虚拟大量IP与目标建立不完整三次握手连接。 SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake),而SYN Flood拒绝服务攻击就是通过三次握手而实现的。 (1) 攻击者向被攻击服务器发送一个包含SYN标志的TCP报文,SYN(Synchronize)即同步报文。同步报文会指明客户端使用的端口以及TCP连接的初始序号。这时同被攻击服务器建立了第一次握手。 (2) 受害服务器在收到攻击者的SYN报文后,将返回一个SYN+ACK的报文,表示攻击者的请求被接受,同时TCP序号被加一,ACK(Acknowledgment)即确认,这样就同被攻击服务器建立了第二次握手。 (3) 攻击者也返回一个确认报文ACK给受害服务器,同样TCP序列号被加一,到此一个TCP连接完成,三次握手完成。 具体原理是:TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒~2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址),服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。
慢速http拒绝服务攻击及防御方案
慢速http拒绝服务攻击及防御 Auth : Cryin’ Date : 2016.03.03 Link : https://https://www.360docs.net/doc/4f1217737.html,/Cryin/Paper 概述 HTTP-FLOOD攻击是一种专门针对于Web的应用层FLOOD攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量http request攻击,直到服务器带宽被打满,造成了拒绝服务。 由于伪造的http请求和客户正常请求没有区别,对于没有流量清洗设备的用户来说,这无疑就是噩梦。 慢速http拒绝服务攻击则是HTTP-FLOOD攻击的其中一种。常见的慢速DoS攻击压力测试工具有SlowHTTPTest、Slowloris等 攻击原理 Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。抓包数据可见,攻击客户端与服务器建立TCP连接后,每40秒才向服务器发送一个HTTP头部,而Web服务器再没接收到2个连续的\r\n时,会认为客户端没有发送完头部,而持续的等等客户端发送数据。如果恶意攻击者客户端持续建立这样的连接,那么服务器上可用的连接将一点一点被占满,从而导致拒绝服务。这种攻击类型称为慢速HTTP拒绝服务攻击。 分类 慢速HTTP拒绝服务攻击经过不断的演变和发展,其主要分为以下几类: ◆Slow headers:Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP 头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP 请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。抓包数据可见,攻击客户端与服务器建立TCP连接后,每30秒才向服务器发送一个HTTP头部,而Web 服务器再没接收到2个连续的\r\n时,会认为客户端没有发送完头部,而持续的等等客户端发送数据。 ◆Slow body:攻击者发送一个HTTP POST请求,该请求的Content-Length头部值很大, 使得Web服务器或代理认为客户端要发送很大的数据。服务器会保持连接准备接收数
拒绝服务攻击原理及解决方法
拒绝服务攻击原理及解决方法.txt都是一个山的狐狸,你跟我讲什么聊斋,站在离你最近的地方,眺望你对别人的微笑,即使心是百般的疼痛只为把你的一举一动尽收眼底.刺眼的白色,让我明白什么是纯粹的伤害。拒绝服务攻击原理及解决方法 Internet给全世界的人们带来了无限的生机,真正实现了无国界的全球村。但是还有很多困绕我们的因素,象IP地址的短缺,大量带宽的损耗,以及政府规章的限制和编程技术的不足。现在,由于多年来网络系统累积下了无数的漏洞,我们将面临着更大的威胁,网络中潜伏的好事者将会以此作为缺口来对系统进行攻击,我们也不得不为以前的疏忽付出更大的努力。虽然大多的网络系统产品都标榜着安全的旗号,但就我们现在的网络协议和残缺的技术来看,危险无处不在。 拒绝服务攻击是一种遍布全球的系统漏洞,黑客们正醉心于对它的研究,而无数的网络 用户将成为这种攻击的受害者。Tribe Flood Network, tfn2k, smurf, targa…还有许多的程序都在被不断的开发出来。这些程序想瘟疫一样在网络中散布开来,使得我们的村落更为薄弱,我们不得不找出一套简单易用的安全解决方案来应付黑暗中的攻击。 在这篇文章中我们将会提供: 1.对当今网络中的拒绝服务攻击的讨论。 2.安全环境中的一些非技术性因素以及我们必须克服的一些障碍问题。 3.如何认清产品推销商所提供的一些谎言。 在我们正式步入对这些问题的技术性讨论之前,让我们先从现实的生活中的实际角度来看一下这些困绕我们的问题。 当前的技术概况 在我们进入更为详细的解决方案之前,让我们首先对问题做一下更深入的了解。 与安全相关的这些小问题如果详细来讲的话都能成为一个大的章节,但限于篇幅的原因,我们只能先作一下大体的了解。 1.软件弱点是包含在操作系统或应用程序中与安全相关的系统缺陷,这些缺陷大多是由
拒绝服务攻击
【拒绝服务攻击】 拒绝服务攻击(Denial of Service, DoS)是一种最悠久也是最常见的攻击形式。严格来说,拒绝服务攻击并不是某一种具体的攻击方式,而是攻击所表现出来的结果,最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理上的瘫痪或崩溃。具体的操作方法可以是多种多样的,可以是单一的手段,也可以是多种方式的组合利用,其结果都是一样的,即合法的用户无法访问所需信息。 通常拒绝服务攻击可分为两种类型。 第一种是使一个系统或网络瘫痪。如果攻击者发送一些非法的数据或数据包,就可以使得系统死机或重新启动。本质上是攻击者进行了一次拒绝服务攻击,因为没有人能够使用资源。以攻击者的角度来看,攻击的刺激之处在于可以只发送少量的数据包就使一个系统无法访问。在大多数情况下,系统重新上线需要管理员的干预,重新启动或关闭系统。所以这种攻击是最具破坏力的,因为做一点点就可以破坏,而修复却需要人的干预。 第二种攻击是向系统或网络发送大量信息,使系统或网络不能响应。例如,如果一个系统无法在一分钟之内处理100个数据包,攻击者却每分钟向他发送1000个数据包,这时,当合法用户要连接系统时,用户将得不到访问权,因为系统资源已经不足。进行这种攻击时,攻击者必须连续地向系统发送数据包。当攻击者不向系统发送数据包时,攻击停止,系统也就恢复正常了。此攻击方法攻击者要耗费很多精力,因为他必须不断地发送数据。有时,这种攻击会使系统瘫痪,然而大多多数情况下,恢复系统只需要少量人为干预。 这两种攻击既可以在本地机上进行也可以通过网络进行。 ※拒绝服务攻击类型 1 Ping of Death 根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。 2 Teardrop IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。 3 Land 攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。 4 Smurf 该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。 5 SYN flood 该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的
绿盟抗拒绝服务攻击典型方案
抗拒绝服务攻击典型方案 应用摘要 用户在考虑业务网络的安全问题时主要的关注点在于识别信息资产所面临的安全风险并采取有效的技术、管理手段来降低、消除安全风险。信息资产可以以多种形态存在,主要包括:硬件、软件、数据、服务、文档等。当信息资产面临安全威胁,而资产自身相应的脆弱性又暴露出来的时候,威胁对信息资产就有产生影响的可能,这是,信息资产的安全风险就自然产生了。假如用户的重要网络与外部网络相连,且重要网络内部有对外提供服务的主机设备,因此就可能面对外部黑客拒绝服务攻击的威胁。DoS(Denial of Service 拒绝服务)攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。拒绝服务攻击可以有各种分类方法,如果按照攻击方式来分可以分为:资源消耗、服务中止和物理破坏。资源消耗指攻击者试图消耗目标的合法资源,例如网络带宽、内存和磁盘空间、CPU使用率等等;服务中止则是指攻击者利用服务中的某些缺陷导致服务崩溃或中止;物理破坏则是指雷击、电流、水火等物理接触的方式导致的拒绝服务攻击;拒绝服务攻击,特别是分布式网络拒绝服务攻击造成的危害是相当严重的,可能造成网络服务无法访问,甚至数据损坏和丢失,从而给被攻击的用户带来大量金钱、人力、时间上的巨大损失。 方案内容 网络层的拒绝服务攻击有的利用了网络协议的漏洞,有的则抢占网络或者设备有限的处理能力,使得对拒绝服务攻击的防治,成为了一个令管理员非常头痛的问题。尤其是目前在大多数的网络环境骨干线路上普遍使用的防火墙、负载均衡等设备,在发生DDoS(分布式拒绝服务)攻击的时候往往成为整个网络的瓶颈,造成全网的瘫痪。因此,对骨干设备的防护也是整个网络环境的关键。 由于通用操作系统和网络设备需要更多的从功能和网络效率方面进行设计和实现,通过简单的系统或者设备配置无法降低拒绝服务攻击的危害。因此,只有专业的抗拒绝服务产品才能比较有效的抵御拒绝服务的攻击,保障用户业务网络的可用性。 绿盟科技的“黑洞”产品能够防护SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD等大规模分布式拒绝服务的大流量攻击(性能卓越的“黑洞”百兆产品可抵抗64 Byte 小包70M攻击流量)。 绿盟科技的“黑洞”产品对旨在通过耗尽server连接数、利用各种畸形数据包进行的网络攻击能够进行有效的安全防护。 绿盟科技的“黑洞”使用非常方便:整个系统为网桥模式设计,能够透明的部署在网络中。支持10M/100M/1000M以太网的多种光/电接口。内置了常见网络环境下的最优参数设置,部署非常方便。而B/S结构的管理界面能直观的监控当前攻击和网络流量,记录攻击来源和类型。在应急情况下可以在数分钟内部署完毕并恢复网络运行。 技术架构
拒绝服务攻击与防范
实验七拒绝服务攻击与防范 一、实验目的 1.掌握网络监听工具Sniffer Pro(WireShark)的基本使用方法。 2.掌握拒绝服务攻击工具HGOD的原理和使用方法 二、实验内容 1.使用sniffer(WireShark)工具网络监听。 2.使用sniffer(WireShark)工具对监听到得网络数据进行分析 3.进行拒绝服务攻击 4.使用sniffer(WireShark)软件监视网络状态 三、实验要求 1.局域网连通,多台计算机 2.Sniffer Pro4.7.5sp5网络监听工具(WireShark抓包工具)和HGod拒绝服务攻击工具 四、说明 本实验亦可以使用Wireshark作为抓包工具,对抓取得数据包进行分析。 在实验之前请关闭防火墙及杀毒软件,防止工具工具被杀毒软件杀掉。 五、实验步骤 步骤1 用sniffer抓icmp和IP包 1.设置过滤器,在地址中设置捕获IP数据,(注意,位置1处必须填本机的IP地址),在高级中选择IP协议里面的ICMP协议,如图所示:
图 1 图 2 2.使用ping 命令时进行捕获: 选择“捕获开始”按钮→运行ping 命令,ping 任意主机→当“捕获停止并查看”按钮变成黑色时,点击它 捕获停止捕获条件 选择捕获捕获开始 捕获暂停 捕获停止并查看捕获查看 编辑条件 图3 在弹出的对话框中点击“解码系统”就可以看到捕获的数据了 位置1
图4 将捕获到的图粘帖在下方: 抓包分析如图:
图 5
图 6 在①中,表示 次 请求和应答。 在②中,显示的是以太网帧头,目的地址是 。封装的协议是 。帧大小为 。 在③中,显示的是 数据报,封装的协议是 ,TTL 值为 ,是否分段 。 在④中,显示的是 数据报,类型为 ,表示 。 在⑤中,帧到达的时间为 。因此可以判定从发送方到接收方传输数据的一次往返时间为 。 在⑥中TTL 值为 ,为什么和③中的TTL 值不同? 在⑦中,显示的是 数据报,类型为 ,表示 。 步骤2 使用Sniffer 软件监视网络的状态 1.在被攻击的主机上打开Sniffer Pro ,选择Monitor/Matrix 命令,打开Traffic Map 视图,可以查看任意主机发给被攻击主机的IP 数据包。
拒绝服务攻击详解之基础篇
拒绝服务攻击详解之基础篇 文章作者:SKY_Server 文章翻译:帝王血族 [S.K.Y] 信息来源:邪恶八进制信息安全团队(https://www.360docs.net/doc/4f1217737.html,) 目录 绪论 拒绝服务三大类 五花八门的拒绝服务攻击手法 包欺骗和原始套接 防止拒绝服务攻击 尾声 相关连接 免责条款 绪论: 这份资料是为那些对拒绝服务(Denial of Service,DoS)有一些了解的网络管理员准备的,资料中涉及到了大量关于拒绝服务攻击(Denial of Service attacks)的基础以及相关知识。 互联网上的拒绝服务攻击正变得越来越常见。发起一场拒绝服务攻击对于一个老练的黑客来说已经不是什么难事儿,甚至是一个非常普通的脚本小子都可以通过使用从互联网上下载的工具做到。由于可以被轻易上演,拒绝服务攻击已经逐渐成为当今因特网上的严峻问题。很多网上银行和娱乐站点由于拒绝支付黑金而被不法份子采用拒绝服务的手段攻击,调查显示攻击速度几乎可以达到1G/s,而且问题仍然在恶化。目前,大概一些攻击者已经可以达到1T/s,而仅仅1G/s的攻击强度就足够让雅虎(https://www.360docs.net/doc/4f1217737.html,)和亚马逊(https://www.360docs.net/doc/4f1217737.html,)这样的大站倒塌了。 您无法防止恶徒对您进行拒绝服务攻击,但是多了解一点儿这种手法,以便当您的服务器遭到拒绝服务攻击的时候能尽可能的阻止他或者把损失降到最低却是很有必要的。 这篇文章的作者是Aelphaeis Mangarae,中文翻译由冰血封情[E.S.T]完成。 拒绝服务三大类: DoS:
DoS攻击是一种攻击者自他或她自己的机器发起的攻击。通过对远程计算机发送攻击数据包,每发送一个远程的计算机收到一个。这种攻击已经比较罕见了,因为大多数情况下这种攻击不能得手,并且在攻击的时间段上很容易被追踪。 一般的说,使用DoS攻击手段的大多数都是那些喜欢用“黑客工具”而没有大脑的业余脚本小子,他们异想天开的以为有机会用自己的破电脑搞塌一台web服务器。多数情况下这些脚本小子最终会发觉自己信赖的攻击工具没有效果,从而转而使用一种新的所谓的“黑客工具”或者很可能使用工具发动一场分布式拒绝服务(Distributed Denial Of Service)攻击。 DDoS: 分布式拒绝服务(Distributed Denial of Service,DoS)攻击是拒绝服务攻击者群体中最常用的手法了。 如果一个攻击者想发动一场拒绝服务攻击,他可以召唤数千甚至是数万数十万被安装了傀儡软件(一种类似IRC客户端的程序,但是功能可就牛了,有些时候被称做DDoS蠕虫)的机器(后面叫肉机)。通常情况下这些客户端会从肉机上登录到一个IRC聊天室,等待攻击者发号施令。攻击者只要键入类似如下的命令”$flood ICMP https://www.360docs.net/doc/4f1217737.html,”后,这些IRC 聊天室里的客户端接收命令并且开始向目标发送ICMP包。由于攻击者有足够的客户端安装在很快的服务器肉机上,那么很轻易就造成了远程目标掉线或者是拒绝合法用户的访问 通常,攻击者选择手工添加可以用来攻击的肉机,他们通常把IRC攻击程序客户端作成网页木马的方式,通过利用社会工程学诱使他人访问那张网页。通过利用IE的某一个漏洞(通常IE的安全性都很差劲儿),在对方计算机上下载并执行客户端。 目前,组建一直庞大的亏累军团用于攻击已经不是什么难事儿,因特网上有很多傀儡软件可供下载,比如Forbot、RxBot以及Agobot。这些傀儡软件通过扫描特定的服务或端口并且尝试渗透并感染远程计算机(有点象蠕虫),如果这些傀儡终端使用了0day exploit来运做那将是非常实用的。 DoS客户端一般都支持标准的洪水攻击,比如ICMP,UDP,TCP以及SYN洪水。 DRDoS: 分布式反映射拒绝服务(Distributed Reflected Denial of Service,DRDoS)是相当罕见的一种拒绝服务攻击种类,因为攻击一台大型服务器都没必要使用DRDoS,尽管这种手法仍然曾经一度被声名狼藉的Mafia Boy用来攻击https://www.360docs.net/doc/4f1217737.html,、https://www.360docs.net/doc/4f1217737.html,、https://www.360docs.net/doc/4f1217737.html,和https://www.360docs.net/doc/4f1217737.html,。DRDoS的原理是攻击者命令他的肉机使用伪造的包去洪水攻击一个特殊的媒介主机而引发的。打个比方,攻击者命令他手下一半数量的肉机去使用伪造的ICMP包洪水攻击https://www.360docs.net/doc/4f1217737.html,,同时再命令他手下另外一半数量的肉机去使用伪造的ICMP包洪水攻击https://www.360docs.net/doc/4f1217737.html,,由于这些伪造的攻击数据包都看起来象是来自https://www.360docs.net/doc/4f1217737.html,。那么https://www.360docs.net/doc/4f1217737.html,和https://www.360docs.net/doc/4f1217737.html,就会在不知觉中洪水攻击https://www.360docs.net/doc/4f1217737.html,,因为伪造的ICMP数据包都标识为源地址是
拒绝服务攻击的实现
拒绝服务攻击的实现 一、实验目的 通过联系使用DoS/DDoS攻击工具对目标主机进行攻击;理解DoS/DDoS 攻击的原理和实施过程;掌握检测和防范DoS/DDoS攻击的措施。 二、实验内容 1、UDP Flood 攻击练习 UDP Flood 是一种采用UDP Flood 攻击方式的DoS 软件,它可以向特定的IP地址和端口发送UDP包。在ip/hostname和Port窗口中制定目标主机的IP地址和端口号;在Max duration 设定最长攻击时间,在Speed窗口中设置UDP包发送的速度,在data中定义数据包中的内容;单击Go就可以对目标主机发起攻击。如下图所示: 2、在192.168.1.1计算机中可以查看收到的UDP数据包,这需要
事先对系统监视器进行配置。打开“性能”对话框,如下图所示,我们在这个窗口中添加对UDP数据包的监视,在性能对象中选择UDP协议,在从列表选择计数器中选择Datagram Received/Sec 即对收到的UDP计数。 2、DDoSer的使用 DDoSer是一种DDos的攻击工具,程序运行后自动转如系统,并在以后随系统启动,自动对事先设定好的目标进行攻击。本软件分为生成器和攻击者程序。软件下载后是没有DDoS攻击者程序的,需要通过生成器DDoSmaker.exe进行生成。DDoSer使用的攻击手段是SYN Flood 方式。如下图所示:
设置并生成DDoS攻击者程序: 首先运行生成器(DDoSMaker.exe),会弹出一个对话框,在生成前要先进行必要的设置,其中: “目标主机的域名或IP地址”:就是你要攻击主机的域名或IP地址,这里我们建议使用域名,因为IP地址是经常变换的,而域名是不会变的。 “端口”:就是你要攻击的端口,请注意,这里指的是TCP端口,因为本软件只能攻击基于TCP的服务。80就是攻击HTTP服务,21就是攻击FTP服务,25就是攻击SMTP服务,110就是攻击POP3服务等等。 “并发连接线程数”:就是同时并发多少个线程去连接这个指定的端口,当然此值越大对服务器的压力越大,当然占用本机资源也越
拒绝服务攻击事件的处理
拒绝服务攻击事件的处理 应用场景 拒绝服务攻击即攻击者通过各种手段使目标机器停止提供服务,是网络上较为常见的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP 欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接 实验目标 ● 建立分析账户安全评估分析的概念, 充分理解账户威胁和存在的脆弱性之间的关系 ● 能够根据所面临的威胁配置账户策略 ● 能够完成对帐号的审计操作 ● 能够根据不同的应用环境配置访问权限 实验环境 Server :Windows Server 2003 [操作系统平台] Client :Windows Server 2003 [客户端] FakePing.exe [工具] VM Client VM Server Switch IDS-Server
IDS [检测工具] 实验过程指导 启动fakeping 首先在工具箱中下在ICMP实验工具,在IP为192.168.1.5的实验机器启动fakeping Fakeping使用如下:Fakeping伪装的源地址(被攻击主机)目的地址数据包大小 举例说明:fakeping 192.168.197.235 192.168.197.1 60000 如下图所示 在“DOS”窗口中输入如下命令,实验者可以确认SYN Flood攻击效果,如下图所示输入命令:ping 192.168.197.235 –t 如下图: