拒绝服务攻击技术
拒绝服务攻击技术(DDOS)现状分析
技术
拒绝服务技术的创新已经基本尘埃落定,而上个世纪最后十年的发明也逐渐遥远。然而,随着宽带接入、自动化和如今家庭计算机功能的日益强大,使得对拒绝服务攻击的研究有些多余。尤其是当我们发现一些本已在90年代末销声匿迹的古老的攻击方式,(例如land ,其使用类似的源和目标IP 地址和端口发送UDP 信息包)这些攻击技术现在又卷土重来时,这个结论就更加显而易见。在这一方面唯一的进步就是可以发起并行任务,从而可以通过简单的486 处理器所无法实现的方式来显著提高攻击强度。
另一个要考虑的重点是事实上IP堆栈似乎并未正确地安装补丁程序。计算机不再会因为单一的信息包而崩溃;但是,CPU操作会为了处理这种信息包而保持高速运行。因为补丁失效期间生成的信息包是有限的,所以要实现有效的攻击并不容易。可能是技术提高得太快。不管是什么原因,这些陈旧过时的攻击方式现在又卷土重来,而且还非常有效。
使用拒绝服务
拒绝服务攻击开始可能只是为了“取乐”,对系统操作员进行某种报复或是实现各种复杂的攻击,例如对远程服务的隐形欺骗。某人因在某一信道上遭到侮辱后也经常会将IRC服务器作为攻击目标。这种情况下的网络和因特网使用是“保密的”,这些攻击对其造成的影响微乎其微。
随着时间的流逝,因特网逐渐成为一种通信渠道,hacktivism(网络激进主义)越来越流行。地理政治形势、战争、宗教问题、生态等任何动机都可能成为对公司、政治组织或甚至国家的IT基础架构发动进攻的动机。
最近的拒绝服务攻击更多的是与联机游戏有关。某些玩家对在游戏中被人杀死或丢失他们喜爱的武器不满意,因此发动拒绝服务攻击,许多服务器已经成为这种攻击的牺牲品。
但是如今使用拒绝服务的目的大多数是纯粹的敲诈勒索。越来越多的企业开始依赖他们的IT基础架构。邮件、关键数据、甚至电话都通过网络来处理。如果没有这些主要的通信渠道,大多数公司都难以在竞争中幸存。而且,因特网还是一种生产工具。例如,搜索引擎和博彩web 站点都完全依赖网络连接。
因此,随着公司直接或间接地依赖因特网,原有的敲诈信逐渐转变成数字形式。首先在短暂而非紧要的时间段内发动攻击。然后受害者就不得不支付“保护费”。
网络协议攻击
这些攻击瞄准传输信道,并因此以IP堆栈作为攻击目标,IP堆栈是内存和CPU 之类关键资源的进入点。
SYN洪水
SYN洪水是典型的基于概念的拒绝服务攻击,因为这种攻击完全依赖于TCP连接的建立方式。在最初的 3 向握手期间,服务器填写保存内存中会话信息的TCB(传输控制块)表。当服务器收到来自客户机的初始SYN 信息包时,向客户机发送回一个SYN-ACK 信息包并在TCB 中创建一个入口。只要服务器在等待来自客户机的最终ACK 信息包,该连接便处于TIME_WAIT 状态。如果最终没有收到ACK 信息包,则将另一个SYN-ACK 发送到客户机。最后,如果经多次重试后,客户机没有认可任何SYN-ACK 信息包,则关闭会话并从TCB 中刷新会话。从传输第一个SYN-ACK 到会话关闭这段时间通常大约为30 秒。
在这段时间内,可能会将数十万个SYN信息包发送到开放的端口且绝不会认可服务器的SYN-ACK 信息包。TCB 很快就会超过负荷,且堆栈无法再接受任何新的连接并将现有的连接断开。因为攻击者不用接收来自服务器的SYN-ACK 信息包,所以他们可以伪造初始SYN 信息包的源地址。这就使得跟踪攻击的真实来源更加困难。此外,因为SYN-ACK 信息包没有发送到攻击者,所以这样还为攻击者节省了带宽。
生成这种攻击很容易,只要在命令行输入一条命令就足够了。
#hping3--rand-source–S –L 0 –p
存在的变体也很少,通常为了增加CPU的使用率会将某些异常添加到SYN 信息包。这些可能是序列号或源端口0等合法的异常。
SYN-ACK洪水
SYN-ACK洪水的作用基础是令CPU资源枯竭。从理论上讲,这种信息包是TCP 3 向握手的第二步,而且在TCB 中应该有对应的入口。浏览TCB 将会使用CPU 资源,尤其TCB 很大时会耗用更多的CPU 资源。因此,负荷较重时,这种对资源的使用会影响系统性能。
这也就是SYN-ACK攻击所仰仗的利器。向系统发送一个巨荷的SYN-ACK 信息包会显著增加系统CPU 的使用率。因此,用于组织TCB 的哈希算法和哈希表大小之选择会影响攻击的效率(请参阅“概念”和“逻辑缺陷”)。而且,因为这些SYN-ACK 信息包不属于现有的连接,所以目标机器不得不将RST 信息包发送到源机器,从而增加了链路上的带宽占用率。对于SYN 洪水,攻击者为了避免接收到RST,当然可以伪造源机器的IP 地址,这样还可以提高攻击者的可用带宽。
这也只需要一条简单的命令就可以进行这种攻击。
一个重要因子是由第三方服务器基于反射机制而生成SYN-ACK信息包的能力。在将SYN 信息包发送到服务器的开放端口时,该服务器将SYN-ACK 信息包发送回源机器。此时任何服务器都可能为这种攻击充当中继。发送到服务器的简单SYN 信息包带有伪造的源,其发送到目标时生成SYN-ACK 返回目标。这种技术让跟踪更加困难。而且,在某些情况下,还可以绕过某些防伪机制。尤其当目标和攻击者属于同一干道而且部署的uRPF (参阅“防伪”)距离目标机器和攻击者足够远时,更有可能避开防伪机制。
通过与SYN洪水联结还可以提高此种攻击的强度。SYN洪水在TCB 中创建入口,而TCB因此变得越来越大。由于此时浏览TCB 所需的时间更长,所以SYN-ACK 洪水的功效大大增加。
UDP洪水
UDP同样天生就是拒绝服务攻击的传播媒介。按照指定,在封闭端口上接收UDP信息包的服务器将无法到达ICMP 端口的信息包发送回给源机器。ICMP 信息包的数据部分填充有原始UDP 信息包中的至少前64 个字节。因为没有标准限度或额度,所以很可能在封闭的端口上发送巨量的信息包。在为生成ICMP 而进行负荷极大的必需操作时,,错误的信息包消耗了大量CPU 资源,最终导致CPU 资源枯竭。
同样,也可以从命令行生成这种攻击。
而且,也可以通过伪造而使得ICMP信息包不会降低攻击者的带宽。
异常
异常属于特殊情况,其可以令IP堆栈出现行为错误而造成各种不同的后果,例如崩溃、冻结等等。异常可划分为两大类:非法数据和隔离异常。
非法数据是标准所不予考虑的或予以显式否定的值或内容。大于指定长度的信息包、重叠的TCP标记组合、含非空认证序列号的SYN 信息包或甚至错误的选项类型都属于基于非法数据的异常攻击。
隔离异常是基于那些堆栈不能正常处理的异常情况(即便从标准的视角看它们完全合法)。著名的“死亡之ping”就是关于巨型(但仍然合法)ICMP回显请求信息包。如果信息包带有相同的源地址、目标地址和端口,其仍然是合法的,不过对IP 协议栈有害。古老的land 攻击最近已脱胎换骨成为imland,而且正在破坏IP协议栈。只有少数异常攻击仍然能够利用单一信息包击倒系统。大多数堆栈都已打上补丁程序,而且可能大多数异常都已经过测试和开发。然而,处理这种信息包仍然会占用CPU 的不少资源。当5 年前异常攻击出现并得到补丁程序的修补时,攻击能力还受到CPU 和带宽的限制。处理异常情况时产生的额外计算负担不太重要。如今,工作站与服务器之间的差距日益缩小,而且任何人都可以使用宽带。这种条件下可能发动巨型负荷的异常,使得目标机器的CPU 资源枯竭。
同样,也可以从单一的命令行实现这种攻击。
#hping3--rand-source–SAFRU –L 0 –M 0 –p --flood
同样,仍然可以选择进行伪造来进行有效有效攻击。
应用程序级攻击
网络已证明易受攻击。然而网络只是全球系统中的传输部分,是中断通信的良好手段。不过,应用程序通常是实际的攻击目标,而且这些应用程序也受到无数的拒绝服务问题的袭扰。
基于会话的攻击
大多数应用程序连接是通过会话(通常经过TCP机制的标识) 来处理。同步会话的数量是影响给定应用程序性能的重要因素,因此必须限制会话的数量。如果该限制只是基于网络和传输信息(IP+TCP),那么生成拒绝服务是很容易的。一次简单的攻击便可打开TCP 会话并让这些会话保持打开状态,从而可以迅速填满所有可用的会话槽,阻止建立任何新的会话。这种“待决”会话攻击是与SYN 洪水等价的7 层攻击。但是如果在第 4 层上需要有数千兆数据流量,则需要在几秒内发送数千个信息包来阻止建立任何新的会话,。
例如,很容易在web服务器上实施这种攻击。
完整和合法的会话也可以破坏应用程序,简单的F5攻击只需保持F5 键处于按下状态就可以强制完全刷新在Internet Explorer 上加载的web 页面。使用这种古老而简易的攻击,便会仅仅因为需要服务的web 页面数过多而导致资源枯竭。这种会话洪水攻击还可以破坏通信信道的其他关键路径。
电信链接:从服务器传送到客户机的数据量可以填满与因特网的链接。这种情况下,通过该链接无法进行任何通信;针对性的拒绝服务攻击漫延至全球;
服务器应用程序:大量同步连接可以达到服务器处理同步会话能力的上限,这种攻击类似于“待决的”会话攻击。如果未设置上限,则处理大量会话时可能消耗绝大多数的系统资源。
第三方应用程序:大多数应用程序都链接到中间软件和数据库。在任一情况下,由于这些第三方应用程序在处理原始应用程序发出的巨量请求时可能遇到内部问题,因此就可能出现瓶颈。这些结果也可能是内部缺陷造成的(如下所述)。
继F5攻击技术之后,会话洪水技术便再无发展。不过,人们已发现且广泛使用平衡因子而使得这种攻击仍然是拒绝服务中一种最恶性的可能情形。
概念和逻辑缺陷
开发的应用程序是为了在正常情况下提供特定的服务,而攻击的目的就是令应用程序的行为方式出现异常。这种攻击的某些机制是通用的,但是这种攻击的大多数机制是专用于各个不同应用程序的概念和逻辑,因此想要罗列出全部有缺陷的应用程序和消灭这些缺陷的方法是不可能的。
内部
内存处理显然是可以导致拒绝服务攻击的第一内部机制。简单的“缓冲溢出”使得重写堆栈成为可能,从而让应用程序乃至整个系统都不稳定。在不同级别的应用程序通道中缺少输入检查,也使得攻击会沿着第三方应用程序传播而增加攻击的可能性。
然而,内部缺陷更加难以琢磨,更加难以修补。依赖于NFA引擎的规则表达式可能极具危险性。NFA引擎分析表达式的所有可能路径。如有一个字符令搜索失效,该引擎便会返回前一个匹配点并重试表达式的所有组合。若针对精心制作的输入而启动像通配符* 之类极耗资源的运算符和像(int|integer) 之类OR 条件的组合,则会产生致命的影响。
SQL也是逻辑攻击的一种明显传播媒介,因为在大型而复杂的表格上,SQL查询可能在应用程序级生成不同的错误行为。首先遇到的缺陷就是缺少索引和数据库结构中通常使用的字符串列。如果没有正确的索引,涉及对同一个表的多个列进行筛选和排序操作的SQL 请求便会产生指数级数量的操作,这会消耗巨量的CPU 资源并显著增加应用程序响应时间。如果搜索和排序的字段是字符串,则这些操作消耗的资源甚至会更多。
第二种缺陷与内存有关。在超大型表中,类似于“SELECT*”的请求可能产生数百万个结果。临时数据库结构和用于存储结果的应用程序结构消耗大量内存,结果可能会导致各种后果:数据交换过量、响应时间延长或整个系统拒绝服务。
另一种重要的拒绝服务攻击可以针对用于组织和搜索内存中数据的哈希函数来实施。哈希表入口是指向对象链接表的指示符。搜索操作需要两个步骤。首先,计算哈希函数以在哈希表中查找匹配的入口。然后,逐个比较列表中的对象。冲突是这种机制的第一个缺陷。如果哈希表不够大和/或哈希算法使得容易产生冲突,便可能会产生多个入口而与哈希表中相同的入口匹配。按这种方式对表格进行的任何搜索操作都将需要执行很多运算,而且消耗CPU资源,其本身很可能导致拒绝服务,或者会加强针对依赖于这种机制的某个应用程序的攻击效果。
运行模式
每个应用程序都有特定的功能和运行方式。因此要描述出所有的缺陷是不可能的。然而,某些典型和有效的示例可以对常见的无掩蔽性操作提供线索。
DHCP服务器容易遭受的攻击尽管很微小但却能快速耗尽其可用IP地址的池。前面已经分析过协议本身的缺陷(请参阅第3 层连接攻击)。除此之外,在DHCP 交换的第一阶段中,DHCP 服务器在没有得到来自客户机的任何确认情况下会锁定IP 地址。令DHCP 服务器用尽可用的IP 地址便只是使用chaddr 数据字段中指定的不同MAC 地址来发送
多个DHCPDISCOVER 请求的问题。甚至不需要伪造MAC。广播、缺少认证和“早期处理”组合起来构成拒绝服务攻击的关键因素。
另一种“先进”的攻击是基于设计不良的运行方式,这就是DNS服务器的洪水攻击。当DNS 服务器接收到对不在其缓存中的名称之解析请求,或当请求指定应答必须具有权威性时,服务器将请求发送到TLD(顶级域名)服务器,以便获得域的SOA(颁发机构起始)
地址。一旦获得该地址,目标DNS 服务器便向SOA 服务器发出另一个请求以便解析该请求的名称。获得应答后,便立即将这些应答发送回给客户机。由于不需要由客户机进行认证,且客户机与服务器之间的通信是基于UDP 协议,所以很轻易就可以将数千个请求从伪造的来源发送到服务器。可以对不同级别的攻击效率作如下区分。
针对不存在的域上主机之请求:这种情况下,TLD 将一个错误发送到目标DNS 服务器,该服务器再将该错误转发到客户机。这种影响相对较低,而且需要攻击者提供大量请求。然而,很轻易就可以创建一个工具来生成这种攻击,因为任何字段(主机、域)可以是随机的,且不必是真实字段。
针对极少数现有域上主机之请求:这种情况下,目标服务器就每个域向TLD 发送一个请求以获取SOA。然后,把来自攻击者的每个请求转发到SOA。不存在的主机会生成错误。另一方面,与现有主机有关的请求从SOA 生成应答,这些应答是转发到源的较大信息包。这种情况下,较高的数据流量和更重要的处理可以提高攻击的效率。因为查找几个现有的域比较简单,所以这种攻击仍然相对容易实施。然而,攻击的效率主要取决于这些域的SOA 对目标服务器发送给它们的大量请求进行处理的能力和这些域上众多主机名的可用性。
针对多个现有域上主机之请求。在这最后一种情况下,几乎所有发送到目标服务器的请求都会令目标服务器产生到TLD 的请求,随后便是到SOA 的请求和对应答的处理。这种攻击很难实施,因为它需要定义包含数千个现有域和主机的列表。然而,它特别有效,只在每秒内进行几千次请求就能使得大多数DNS 服务器崩溃。
这种DNS的情况之出现大都是因为使用无态协议,使得攻击者可在不受影响的情况下在服务器端产生较高的数据流量和处理负荷。
对上下文和会话的处理是应用程序中另一常见的重要缺陷。在SMTP服务器对HELO 命令参数的有效性实施特定检查的情况下,由于不能对结果进行即时处理而会增强这一缺陷的影响。根据标准,只有出现RCPT TO 命令时才可以拒收邮件。因此,建立一个会话并发出数千个HELO 请求将会让目标服务器重复处理参数,这些参数通常位于规则的表达式上。最糟糕的情况是在执行名称解析时,因为这会添加更多的处理和数据流量。因为单条HELO 命令约有100 个字节,所以有可能从通过宽带接入而连接到因特网的标准PC 对邮件服务器发动十分有效的攻击。如果一检测到异常便中断会话,则这种攻击不可能实现。
改善效率
大多数拒绝服务攻击实施起来非常简单。然而某些情况下,标准PC和宽带接入并不足以发动有效的攻击。尤其当在目标基础结构上实施群集和负载平衡之类机制时更是如此。在此情况下将会把一个单一的目标IP 地址物理链接到许多服务器,从而产生大规模攻击需求。
有两种方式能使得攻击在这种情况下有效。第一种方式是找到一些提高攻击媒介能力(信息包、会话的数量或带宽等)的平衡因子。第二种方式取决于影响通信路径上设备或资源的某些副作用。
小型信息包
最常见的副作用是需由内联网络或安全设备来处理的巨量小型信息包的影响。根据在这些设备上实施的功能,将信息包从一个接口转发到另一个接口可能需要若干操作。简单的路由器必须根据其路由表做出决策。在信息包筛选操作中,必须检查第4层标头来验证筛选器。有态检验因需要检查会话表而增加了复杂性。像逆向代理等最后一个应用程序层设备必须在第7 层处理信息包。像信息包销毁或NAT 等某些其他操作甚至需要更多的处理,因为必须重写信息包并重新计算若干校验和。
小型信息包产生的影响很容易用数字来说明。一般来说,指定用于处理特定带宽的设备在处理64字节的信息包时几乎不能提供大于10%声明性能的吞吐量。任何依赖于小于100 字节信息包的攻击可能首先会令路由器和防火墙崩溃,而不仅仅是影响目标服务器。
上行链路洪水攻击
另一个常见的副作用是在到目标的路径上对链路的洪水攻击。攻击者发送的请求和信息包很少能生成足够的数据流量来填满链路。然而,来自目标的响应通常会使数据流量大大增加。基本的例子就是SYN洪水。64字节的SYN 信息包令目标生成3 个SYN-ACK(原因在于重新传输尝试)。这种效果在基于应用程序的攻击中更加有效。简单的HTTP 请求通常约有200 字节,同时发回到客户端的数据通常大约10,000 字节。
在“一对一”的攻击中,关键是来自服务器的响应不发往攻击者,因为这种回应最终也会对攻击者的链路进行洪水攻击。这种情况下,伪造需可以且容易容易执行。基于应用程序的UDP完全适合生成这种结果。在DNS 洪水的情况下对此点进行论证特别简单(请参阅逻辑缺陷/运行方式)。无需考虑任何到TLD 和SOA 的请求(通过目标因特网链接而再度提高数据流量),对重要域上MX 记录的请求为原始请求量添加了一个重要的倍增因子。
#https://www.360docs.net/doc/6418359241.html,mx
请求:71 个字节
应答:551 个字节
倍增因子= 7?
这些副作用应视为主要问题,尤其在共享的基础架构中,,针对单个服务器的攻击可能影响到依赖与原始目标相同的基础架构的数十个系统。
杠杆作用
Psh标记
PSH标记是基于协议的平衡因子,其针对任何基于TCP的攻击。当信息包被堆栈接收到时,其是与接收到的其他信息包一起存储在特定的缓冲中。一旦缓冲存满后,便发送信息包以供进一步处理。信息包的传输产生了可观的额外负担,而此处的缓冲优化了上下文更改的“成本”。PSH 标记强制堆栈释放缓冲。在像SYN、SYN-ACK 或异常洪水或甚至应用程序层攻击等基于TCP 的攻击情况下,攻击者在TCP 标头中添加PSH 标记的成本为零。另一方面,因上下文的永久性更改而显著增加服务器的额外负担。
恶意数据流量中继
在某些情况下,攻击系统的强度可能到达极限。这主要是针对在LAN上执行攻击的情况,因为在此情况下使用标准的PC 很难达到千兆的吞吐量。可以利用若干工具提供的信息包中继能力来克服这一困难。原理相对比较简单。为了消除创建信息包所需的CPU 使用率,就需要获取随机源地址/端口、计算长度、校验和等。在发动攻击时嗅探数据流量。然后以一高倍增因子来循环中继捕获文件,以确保达到攻击资源的极限。要确保目标难以识别循环方案而只筛选出来源,原始数据包的样本必定是相对重要的。
反射
反射是将其他系统用作中继和/或放大攻击的机制。对于大多数攻击类型,可以在网络或应用程序级执行反射。前一种情况的目的是为了获取发送到目标的信息包数量的倍增因
子。在第二种情况下,使用反射来获取(攻击者发送的数据)/(目标接收的数据)的最高可能比率。
smurfing攻击是网络反射攻击的最佳范例。基本上,它是以向一个广播地址发送ICMPECHO REQUEST 信息包来构成攻击,且有一个针对攻击目标的伪造来源。防护不周的网络可能允许存在这种广播ping,使得网络上的每个系统都向目标发送回ICMP ECHO REPLY 信息包。对中继网络的选择很重要。选择的中继网络必须明显允许存在广播ping。而且,为了能够以很高的速率传输巨量ICMP ECHO REPLY 信息包,选择的中继网络应能够提供较高的带宽。攻击的效率非常易于评估。在256kbps 的ADSL 上行链路中,可以每秒发送大约1100 个ICMP 信息包。假如中继网络“只有”50 个系统,则将在每秒内针对大约10 Mbps 的总带宽发送50,000 多个ICMP 信息包来对目标进行洪水攻击。这种攻击很容易实现,任何人只要有一台标准PC 机和宽带因特网接入,输入以下一条命令即可。
#hping3--icmp--spoof --flood
在应用程序层,攻击的目标是对目标应用程序进行洪水攻击,或者用中继主机所发送的数据来填满因特网链路。以上所述的基本DNS范例(请参阅副作用/上行链路洪水攻击)是基于应用程序的反射的极佳范例,其可用于攻击另一台DNS 服务器。因为应用程序依赖于无态协议,所以只要一条命令行便可轻易地将巨量响应(而请求很少)发送回给获得UDP/53 数据流量授权的伪造的DNS 服务器。
#dnsreflect
此外,最近越来越多的应用程序反射攻击依赖于供RTP(实时传输协议)用于信令用途的SIP(会话初始化协议)。为了互连SIP UA(用户代理)而在SIP 服务器之间需要代理服务器,这意味着必须在SIP INVITE 请求的标头中指定通信信道的末端。特别是在:“通过”字段标识必须与之建立通信的系统。因为没有执行任何认证且SIP 依赖于UDP,所以
伪造很容易实现。因此,相当容易理解可能产生的杠杆作用。一个典型的SIP INVITE 请求大约1 KB。采用这种请求,可让服务器连续向伪造的来源发送数十个kbps 的数据流媒体。在256 kbps ADSL 上行链路上,便可以在每秒内创建大约64 个这种连接,从而迅速填满目标的上行链路。
第三方
信息包生成和带宽不是攻击者在发送拒绝服务攻击时可能要面对的瓶颈问题。在处理依赖于TCP会话的应用程序时,尤其是在待决会话的情况下,由攻击堆栈来进行的处理可能成为一项限制因素。如果采用标准堆栈函数来执行这种操作,则web 服务器中心接受的会话总数极有可能高于系统能够建立的会话的最大数目。在这种情况下,待决会话攻击将没有效果,且唯一会受到攻击影响的系统将是攻击系统本身。
一种可能是,为了能够建立比预期极限数目还要多的会话,可以让第三方服务器把加工过的RST信息包发送到攻击站点。第三方是设在攻击系统的网络上,其嗅探攻击者与目标之间的数据流量。建立会话时,第三方主机不断跟踪会话信息、IP地址、端口和序列号。当3 向握手完成时,第三方根据其保存在内存中的信息而将一个完全合法的RST 信息包发送到攻击系统。通过这一方式,攻击系统释放连接,而目标服务器仍然将此连接视为打开。
Botnet
最后但也是最著名的杠杆作用是使用bot。其目的只是要巨量的第三方系统执行攻击。这显然可以提高由单个系统执行的单一攻击的强度,而且可以严重破坏高性能的网络和系统。使用bot时必须考虑若干参数。首先是bot 在第三方系统上的安装方式。其次是传输命令的命令通道,最后是所执行的操作。
Bot的第一个特点是它们以系统的合法所有者的名义进行操作。这意味着它们是秘密安装并假定为是悄悄运行的。Bot在聚合数百或数千台受到攻击的主机时非常有效,这意味着其安装有赖于蠕虫或大规模黑客攻击机制。大规模黑客攻击是自动安装的基础。通过试图攻击若干漏洞的脚本来执行大规模黑客攻击。在成功的情况下,数据净荷安装代理程序。此时传播速度相对缓慢,且易于追溯botnet 的来源。出现蠕虫以后,这种技术得到了改善。在这第二个阶段,内嵌在攻击中的数据净荷安装代理程序,然后从这个新的起点自动尝试攻击其他系统。这个阶段的传播速度更快,且更难识别botnet 的来源,这是因为必须逐步跟踪感染才能查出蠕虫的始作俑者。
支持命令通道的这种架构现在通常包含3层架构:一台或多台主控端、一个或多个代理处理程序以及若干个代理程序。主控端是启动攻击命令的发出点。代理处理程序是这种架构中最重要的部分。它们的目的是寻找可用的代理程序,并从主控端传送命令。代理程序也称为巫毒,是在受到攻击的主机上运行的进程。这些代理程序负责亲自执行攻击。
代理处理程序是网络中最灵活的部分,通常定义在架构中各个部分之间进行通信所使用的协议。关键点是代理程序和代理处理程序之间通信的方向和本质。通过代理程序建立的与代理处理程序的通信通常更加有效,这是因为防火墙更可能让从内部网络传出的数据流量通过。作为传输层的合法协议也更加有效。通过HTTP获取命令的代理程序几乎不受阻止,因为与外部web 服务器的通信通常得到公司安全策略的授权。如果使用的协议不是HTTP,但代理处理程序依赖于TCP 端口80 来通信,则需要进行协议异常情况检测来阻止这种数据流。因此,通常可以阻止在非标准(HTTP、SMTP 等)端口上进行的通信,但是如果配置的防火墙不好,则阻止很困难。
最常见的代理处理程序是运行在IRC通道上的bot。主机受到攻击便会连接到特定的IRC 通道。然后代理处理程序只需检查活动的成员来建立可用的代理程序列表。代理程序根据主控端在IRC 上发送的命令来执行操作。这种代理处理程序可靠、灵活且易于安装设
置。不过,IRC 通信常常受到防火墙的隔离,而且整个架构不够隐蔽。因此更容易被顺着来源追溯到主控端。不远的将来,使用秘密通道应视为botnet 管理的一种趋势。
Bot执行的操作无疑是洪水。这是从逻辑上理解,因为bot的主要作用是利用巨量的第三方巫毒。从基本的SYN 洪水到自定义和面向应用程序的洪水,几乎所有的洪水技术都已经在botnet 上得到实施。因此,判断一个botnet 是否良好的标准是代理程序可根据主控端发送的命令调整其行为的能力。由于各个计算机的防护机制各有不同,所以对于可以执行SYN 洪水、异常洪水以及建立数千个合法HTTP 会话的代理程序来说,便能够让攻击者根据对目标产生的影响来更改攻击的类型。另一个优点是可以管理能发送多个操作的单个botnet
Flashmob
Botnet的主要缺点是它依赖的是静态源。时间一长便可能将一些危险的IP地址列入黑名单,还会通知网络管理员某些系统已经遭受攻击。要考虑到的一点就是botnet 的寿命很有限。Flashmob 则不存在这些缺点。
这种机制的目的是令无辜的用户在无意中执行攻击操作。这种机制十分简单。攻击者建立一个web站点。在该web 站点上,某些恶意内容强迫无辜用户的浏览器发动对特定目标的攻击。这一特定目标通常是链接到目标web 站点的数百个隐藏框架或动态代码,例如Java 小程序或ActiveX,这样便使其可以执行某些更高级的操作。随着家庭计算机的功能提高和一般的宽带接入,完全有可能在用户没有察觉的情况下产生重要的数据流量。对于攻击的目标服务器而言,不再能列出黑名单,因为每当一名新的用户连接到该web 站点,这名用户的计算机便会成为新的攻击源。缺点是很难令Web 站点有足够大的数据流量,从而不能确保对目标持续发送重要的数据流量。
结论
要消除拒绝服务的真正难点是这些攻击涉及的技术太庞杂。对SYN洪水有效的防护措施,对于防护待解决的会话攻击来说毫无助益,而对于公司网路来说,如果接入路由器因短时间内的巨量信息包而崩溃,这也不再会有任何作用。
攻击者意识到了这一点,而这也成为他们所掌握的利器。当一种攻击的功效不足时,他们立即采用其他技术。这已经成为司空见惯的现象,因此,越来越需要开发功能丰富、应变灵活的高性能安全技术。
(责任编辑:董建伟)
第三方
信息包生成和带宽不是攻击者在发送拒绝服务攻击时可能要面对的瓶颈问题。在处理依赖于TCP会话的应用程序时,尤其是在待决会话的情况下,由攻击堆栈来进行的处理可能成为一项限制因素。如果采用标准堆栈函数来执行这种操作,则web 服务器中心接受的会话总数极有可能高于系统能够建立的会话的最大数目。在这种情况下,待决会话攻击将没有效果,且唯一会受到攻击影响的系统将是攻击系统本身。
一种可能是,为了能够建立比预期极限数目还要多的会话,可以让第三方服务器把加工过的RST信息包发送到攻击站点。第三方是设在攻击系统的网络上,其嗅探攻击者与目标之间的数据流量。建立会话时,第三方主机不断跟踪会话信息、IP地址、端口和序列号。当3 向握手完成时,第三方根据其保存在内存中的信息而将一个完全合法的RST 信息包发送到攻击系统。通过这一方式,攻击系统释放连接,而目标服务器仍然将此连接视为打开。
Botnet
最后但也是最著名的杠杆作用是使用bot。其目的只是要巨量的第三方系统执行攻击。这显然可以提高由单个系统执行的单一攻击的强度,而且可以严重破坏高性能的网络和系统。使用bot时必须考虑若干参数。首先是bot 在第三方系统上的安装方式。其次是传输命令的命令通道,最后是所执行的操作。
Bot的第一个特点是它们以系统的合法所有者的名义进行操作。这意味着它们是秘密安装并假定为是悄悄运行的。Bot在聚合数百或数千台受到攻击的主机时非常有效,这意味着其安装有赖于蠕虫或大规模黑客攻击机制。大规模黑客攻击是自动安装的基础。通过试图攻击若干漏洞的脚本来执行大规模黑客攻击。在成功的情况下,数据净荷安装代理程序。此时传播速度相对缓慢,且易于追溯botnet 的来源。出现蠕虫以后,这种技术得到了改善。在这第二个阶段,内嵌在攻击中的数据净荷安装代理程序,然后从这个新的起点自动尝试攻击其他系统。这个阶段的传播速度更快,且更难识别botnet 的来源,这是因为必须逐步跟踪感染才能查出蠕虫的始作俑者。
支持命令通道的这种架构现在通常包含3层架构:一台或多台主控端、一个或多个代理处理程序以及若干个代理程序。主控端是启动攻击命令的发出点。代理处理程序是这种架构中最重要的部分。它们的目的是寻找可用的代理程序,并从主控端传送命令。代理程序也称为巫毒,是在受到攻击的主机上运行的进程。这些代理程序负责亲自执行攻击。
代理处理程序是网络中最灵活的部分,通常定义在架构中各个部分之间进行通信所使用的协议。关键点是代理程序和代理处理程序之间通信的方向和本质。通过代理程序建立的与代理处理程序的通信通常更加有效,这是因为防火墙更可能让从内部网络传出的数据流量通过。作为传输层的合法协议也更加有效。通过HTTP获取命令的代理程序几乎不受阻止,因为与外部web 服务器的通信通常得到公司安全策略的授权。如果使用的协议不是HTTP,但代理处理程序依赖于TCP 端口80 来通信,则需要进行协议异常情况检测来阻止这种数
据流。因此,通常可以阻止在非标准(HTTP、SMTP 等)端口上进行的通信,但是如果配置的防火墙不好,则阻止很困难。
最常见的代理处理程序是运行在IRC通道上的bot。主机受到攻击便会连接到特定的IRC 通道。然后代理处理程序只需检查活动的成员来建立可用的代理程序列表。代理程序根据主控端在IRC 上发送的命令来执行操作。这种代理处理程序可靠、灵活且易于安装设置。不过,IRC 通信常常受到防火墙的隔离,而且整个架构不够隐蔽。因此更容易被顺着来源追溯到主控端。不远的将来,使用秘密通道应视为botnet 管理的一种趋势。
Bot执行的操作无疑是洪水。这是从逻辑上理解,因为bot的主要作用是利用巨量的第三方巫毒。从基本的SYN 洪水到自定义和面向应用程序的洪水,几乎所有的洪水技术都已经在botnet 上得到实施。因此,判断一个botnet 是否良好的标准是代理程序可根据主控端发送的命令调整其行为的能力。由于各个计算机的防护机制各有不同,所以对于可以执行SYN 洪水、异常洪水以及建立数千个合法HTTP 会话的代理程序来说,便能够让攻击者根据对目标产生的影响来更改攻击的类型。另一个优点是可以管理能发送多个操作的单个botnet
Flashmob
Botnet的主要缺点是它依赖的是静态源。时间一长便可能将一些危险的IP地址列入黑名单,还会通知网络管理员某些系统已经遭受攻击。要考虑到的一点就是botnet 的寿命很有限。Flashmob 则不存在这些缺点。
这种机制的目的是令无辜的用户在无意中执行攻击操作。这种机制十分简单。攻击者建立一个web站点。在该web 站点上,某些恶意内容强迫无辜用户的浏览器发动对特定目标的攻击。这一特定目标通常是链接到目标web 站点的数百个隐藏框架或动态代码,例如Java 小程序或ActiveX,这样便使其可以执行某些更高级的操作。随着家庭计算机的功能
提高和一般的宽带接入,完全有可能在用户没有察觉的情况下产生重要的数据流量。对于攻击的目标服务器而言,不再能列出黑名单,因为每当一名新的用户连接到该web 站点,这名用户的计算机便会成为新的攻击源。缺点是很难令Web 站点有足够大的数据流量,从而不能确保对目标持续发送重要的数据流量。
结论
要消除拒绝服务的真正难点是这些攻击涉及的技术太庞杂。对SYN洪水有效的防护措施,对于防护待解决的会话攻击来说毫无助益,而对于公司网路来说,如果接入路由器因短时间内的巨量信息包而崩溃,这也不再会有任何作用。
攻击者意识到了这一点,而这也成为他们所掌握的利器。当一种攻击的功效不足时,他们立即采用其他技术。这已经成为司空见惯的现象,因此,越来越需要开发功能丰富、应变灵活的高性能安全技术。
(责任编辑:董建伟)
上行链路洪水攻击
另一个常见的副作用是在到目标的路径上对链路的洪水攻击。攻击者发送的请求和信息包很少能生成足够的数据流量来填满链路。然而,来自目标的响应通常会使数据流量大大增加。基本的例子就是SYN洪水。64字节的SYN 信息包令目标生成3 个SYN-ACK(原因在于重新传输尝试)。这种效果在基于应用程序的攻击中更加有效。简单的HTTP 请求通常约有200 字节,同时发回到客户端的数据通常大约10,000 字节。
在“一对一”的攻击中,关键是来自服务器的响应不发往攻击者,因为这种回应最终也会对攻击者的链路进行洪水攻击。这种情况下,伪造需可以且容易容易执行。基于应用程序的
“拒绝服务攻击”技术研究与及实现课程设计
目录 1拒接服务攻击简介 (2) 2拒接服务攻击的原理 (2) 2.1 SYN Flood (2) 2.2 UDP洪水攻击 (4) 2.3Ping洪流攻击 (5) 2.4其他方式的攻击原理 (6) 3攻击过程或步骤流程 (6) 3.1攻击使用的工具 (6) 3.2 SYN flood攻击模拟过程 (7) 4此次攻击的功能或后果 (10) 5对拒绝服务防范手段与措施 (10) 5.1增强网络的容忍性 (10) 5.2提高主机系统的或网络安全性 (11) 5.3入口过滤 (11) 5.4出口过滤 (11) 5.5主机异常的检测 (12) 6个人观点 (12) 7参考文献 (12)
“拒绝服务攻击”技术研究与及实现 1拒接服务攻击简介 所谓的拒绝服务攻击简单说即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。 2拒接服务攻击的原理 2.1 SYN Flood SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式,这种攻击容易操作并且效果明显 具体过程是通过三次握手协议实现的假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒~2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址),服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保存并
拒绝服务攻击原理及解决方法
拒绝服务攻击原理及解决方法 Internet给全世界的人们带来了无限的生机,真正实现了无国界的全球村。但是还有很多困绕我们的因素,象IP地址的短缺,大量带宽的损耗,以及政府规章的限制和编程技术的不足。现在,由于多年来网络系统累积下了无数的漏洞,我们将面临着更大的威胁,网络中潜伏的好事者将会以此作为缺口来对系统进行攻击,我们也不得不为以前的疏忽付出更大的努力。虽然大多的网络系统产品都标榜着安全的旗号,但就我们现在的网络协议和残缺的技术来看,危险无处不在。 拒绝服务攻击是一种遍布全球的系统漏洞,黑客们正醉心于对它的研究,而无数的网络用户将成为这种攻击的受害者。Tribe Flood Network, tfn2k, smurf, targa…还有许多的程序都在被不断的开发出来。这些程序想瘟疫一样在网络中散布开来,使得我们的村落更为薄弱,我们不得不找出一套简单易用的安全解决方案来应付黑暗中的攻击。 在这篇文章中我们将会提供: ·对当今网络中的拒绝服务攻击的讨论。 ·安全环境中的一些非技术性因素以及我们必须克服的一些障碍问题。 ·如何认清产品推销商所提供的一些谎言。 在我们正式步入对这些问题的技术性讨论之前,让我们先从现实的生活中的实际角度来看一下这些困绕我们的问题。 当前的技术概况 在我们进入更为详细的解决方案之前,让我们首先对问题做一下更深入的了解。 与安全相关的这些小问题如果详细来讲的话都能成为一个大的章节,但限于篇幅的原因,我们只能先作一下大体的了解。 ·软件弱点是包含在操作系统或应用程序中与安全相关的系统缺陷,这些缺陷大多是由于错误的程序编制,粗心的源代码审核,无心的副效应或一些不适当的绑定所造成的。根据错误信息所带来的对系统无限制或者未经许可的访问程度,这些漏洞可以被分为不同的等级。 ·典型的拒绝服务攻击有如下两种形式:资源耗尽和资源过载。当一个对资源的合理请求大大超过资源的支付能力时就会造成拒绝服务攻击(例如,对已经满载的Web服务器进行过多的请求。)拒绝服务攻击还有可能是由于软件的弱点或者对程序的错误配置造成的。区分恶意的拒绝服务攻击和非恶意的服务超载依赖于请求发起者对资源的请求是否过份,从而使得其他的用户无法享用该服务资源。 ·错误配置也会成为系统的安全隐患。这些错误配置通常发生在硬件装置,系统或者应用程序中。如果对网络中的路由器,防火墙,交换机以及其他网络连接设备都进行正确的配置会减小这些错误发生的可能性。如果发现了这种漏洞应当请教专业的技术人员来修理这些问题。 如果换个角度,也可以说是如下原因造成的: ·错误配置。错误配置大多是由于一些没经验的,无责任员工或者错误的理论所导致的。开发商一般会通过对您进行简单的询问来提取一些主要的配置信息,然后在由经过专业培训并相当内行的专业人士来解决问题。 ·软件弱点。由于使用的软件几乎完全依赖于开发商,所以对于由软件引起的漏洞只能依靠打补丁,安装hot fixes和Service packs来弥补。当某个应用程序被发现有漏洞存在,开发商会立即发布一个更新的版本来修正这个漏洞。 ·拒绝服务攻击。拒绝服务攻击大多是由于错误配置或者软件弱点导致的。某些DoS
浅析分布式拒绝服务攻击原理及防范
龙源期刊网 https://www.360docs.net/doc/6418359241.html, 浅析分布式拒绝服务攻击原理及防范 作者:夏良荣 来源:《科技经济市场》2008年第10期 摘要:在网络安全中,分布式拒绝服务攻击已经成为最大的威胁之一,由于破坏性大,而且难于防御成为黑客经常采用的攻击手段。本文简要分析了分布式拒绝服务攻击的原理和基本实施方法,并介绍了发生此类攻击时的防范和应对措施。 关键词:拒绝服务;分布式拒绝服务;网络安全;防火墙;数据包 1DDoS概念 DoS是Denial of Service的简称,中文译为拒绝服务,也就是有计划的破坏一台计算机或者网络,使主机或计算机网络无法提供正常的服务。DoS攻击发生在访问一台计算机时,或者网络资源被有意的封锁或者降级时。这类攻击不需要直接或者永久的破坏数据,但是它们故意破坏资源的可用性。最普通的DoS攻击的目标是计算机网络带宽或者是网络的连通性。带宽 攻击是用很大的流量来淹没可用的网络资源,从而合法用户的请求得不到响应,导致可用性下降。网络连通性攻击是用大量的连接请求来耗尽计算机可用的操作系统资源,导致计算机不能够再处理正常的用户请求。 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击,是在传统的拒绝服务攻击 的基础上发展起来的网络攻击手段,具有危害巨大,难以预防等特点,是目前比较典型的一种黑客攻击手段。这种攻击主要借助于客户/服务器(C/S)技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。 高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。通常,攻击者通过入侵主机将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理主机通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千个代理程序。 2受到攻击时的现象
对拒绝服务攻击的认识
作业一:对拒绝服务攻击的了解 网络攻击的形式多种多样,比如有口令窃取,欺骗攻击,缺陷和后门攻击,认证失效,协议缺陷,拒绝服务攻击,指数攻击,信息泄露等。通过查看资料,在这里,我主要谈一谈我对拒绝服务的了解,与认识。其重点谈一下分布式拒绝服务攻击! 拒绝服务攻击从字面上顾名思义即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。 危害就主要有,过度使用服务,使软件、硬件过度运行,是网络链接超出其容量。还有就是会造成关机或系统瘫痪,或者降低服务质量。单一的DoS 攻击一般是采用一对一方式的,当攻击目标CPU 速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS 攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。这时候分布式的拒绝服务攻击手段(DDoS )就应运而生了。 而分布式拒绝服务(DDoS )的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,分布式拒绝服务攻击又被称之为“洪水式攻击”。其运行原理示意图如下:3 控制42 分布式拒绝服务攻击体系结构 黑客傀儡机 傀儡机 傀儡机 -----受害者傀儡机
如图所示,一个比较完善的DDoS攻击体系分成四大部分,先来看一下最重要的第2和第3部分:它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别,对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。 DDoS的体系结构,以及具体描述是从网上了解到的。在这里我就有一个疑问。为什么不直接攻击傀儡机而是要先控制再攻击?然而通过找资料得知,原来黑客是为了保护自己。如果利用控制的傀儡机的话,先要找到黑客的概率就大大减少了。 那么黑客是如何组织一次DDoS的呢? 一,要搜集了解目标的情况。黑客一般会关心1,被攻击者的主机数目、地址情况。这关系到有多少傀儡机才能达到想要的效果的问题。2,目标主机的配置、性能。3,目标的带宽。二,就是要占领傀儡机。黑客一般最感兴趣的是链路状态好的主机,性能好的主机,安全管理水平差的主机。黑客做的工作就是扫描,随机或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器,随后就是尝试入侵。当黑客占领了一台傀儡机后,会吧DDoS攻击用的程序下载过去,一般是利用ftp。在攻击机上,会有一个DDoS的发包程序,黑客就是利用它来向受害者目标发送恶意攻击包的。三,实际攻击。向所有的攻击机发出命令:预备,瞄准,开火。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令,一起向受害主机以高速度发送大量的数据包,导致它死机或者是无法响应正常的请求。比较精明的攻击者一边攻击,一边还会用各种手段来监视攻击的效果,在需要的时候进行一些调整。这就是大体攻击的原理。 下面我们来了解一下拒绝服务的发展趋势。从以下几个方面来了解。 一,攻击程序的安装。如今,攻击方法渐趋复杂,渐趋自动化,目标也有目的地或随意地选取基于windows的系统或者路由器。从一个漏洞的首次发现到
拒绝服务攻击方式分析及防御策略部署
拒绝服务攻击方式分析及防御策略部署 拒绝服务是一种技术含量低,但攻击效果明显的攻击方式,受到这种攻击时,服务器或网络设备长时间不能正常提供服务,并且由于某些网络通讯协议本身固有的缺陷,难以提出一个行之有效的解决办 法。 我们的一些关键应用,如电子商务、电子政务越来越多地依赖于互联网进行实施。在当前条件下,如何保障关键应用的不间断服务,尤其是如何防御拒绝服务攻击,具有相当重要的意义。 安全漏洞成罪魁祸首 引用《信息系统安全导论》一书里的定义,拒绝服务攻击就是使信息或信息系统的被利用价值和服务能力下降或丧失的攻击。当然,我们这里所说的攻击主要是通过网络来实现的攻击。可以这么理解,凡是导致合法用户不能访问正常网络服务的行为都算是拒绝服务攻击,也就是说拒绝服务攻击的目的非常明确,就是要阻断合法用户对正常网络资源的访问,从而达到攻击者不可告人的目的。 拒绝服务攻击通常基于网络协议的缺陷或者软件系统的安全漏洞发起。典型的拒绝服务攻击以资源耗尽和流量过载为主要表现形式。当一个对资源的合理请求大大超过服务的承受能力时就会造成拒绝服务攻击,这些资源包括网络带宽、文件系统空间容量、开放的进程或者内向的连接。 应对出新招 拒绝服务是一种相当难以防范的攻击,防范拒绝服务攻击需要我们从全局去部署防御拒绝服务攻击策略,多种策略联动防范,将拒绝服务攻击的危害降至最低,以下总结了多种防
范策略的部署方案。 升级操作系统以及各种网络应用程序,及时安装各种补丁,安全设置服务器及网络设备,避免由于软件缺陷或者用户设置不当造成的拒绝服务攻击;优化路由器设置,关闭不需要的服务,保障路由器自身安全;保障DNS关键应用不受拒绝服务攻击,通过设置安全策略的方式,限制DNS非授权访问,设置多台辅助DNS服务器。对WEB等应用采用DNS轮询或者负载均衡方式增加抗拒绝服务能力;在条件不许可的情况下,可以使用多IP主机的方式。优化服务器或者应用程序本身,比如Windows 2000和Windows server 2003操作系统,就具备一定的抵抗拒绝服务攻击的能力,只是默认状态下没有开启,开启的话自身就可以抵御10000个SYN攻击包,若没有开启仅能抵御数百个攻击包。 对于WEB服务,应尽量避免使用数据库连接,必须使用数据库时,应在调用数据库的脚本中拒绝使用代理的访问,防止针对数据的连接耗尽型攻击。同时,大量事实证明,把网站做成静态页面,不仅能大大提高抗攻击能力,同时也大大减少了服务器的负荷开销。升级网络带宽,抵御带宽耗尽型攻击。升级网络设备,使网络设备不至于在受到攻击时成为瓶颈。升级服务器,提高服务器处理性能。部署专用抗拒绝服务攻击设备,以及IDS入侵监测系统。与网络服务商协作,阻断攻击发起点的网络连接。现阶段对于层出不穷的拒绝服务攻击并没有100%有效的防御手段,但我们应采取主动措施,未雨绸缪,通过分析各种拒绝服务攻击的方式,深入地了解拒绝服务攻击,积极部署防御措施,完全能够缓解和抵御此类安全威胁。
拒绝服务与攻击防范
拒绝服务与攻击防范 拒绝服务攻击与防范 拒绝服务,攻击,DoS,DDoS,DRoS。 一、一般的拒绝服务攻击与防范 我们先来看看DoS的英文是什么-----DenialofService所以中文译过来就是拒绝服务了,因为Internet本身的弱点及Internet总体上的不安全性使入侵者利用了TCP/IP协议的一些不足来发动攻击,这样黑客们就容易攻击成功,因为拒绝服务攻击是一种技术含量低的攻击,所以大多人都可容易掌握,一般来说是攻击者在用其它办法不能攻击得呈时,他极有可能采用这种攻击方法,但是拒绝服务可以说是一种高消耗的方法,是一种损人不利已的行为,虽然攻击时使受攻击目标不能正常的提供服务的同时,也会浪费掉攻击者的大量代价。由于攻击就是主要使服务器的服务能力下降,所以当你发现你的CPU占用是100%时,一定要仔细看看Ri志,最常见的是查看防火墙的记录,如果常见的黑客攻击是征对WEB服务攻击。那么你还可从你的WEBRi志中得到一些收获的,从中仔细地分析出是什么原因造成的。下面我来说说最常见的,也是最早的一些拒绝服务。 1、报文洪水攻击(FloodDoS) 这个是根据TCP/IP协议的规定,要完成一个TCP连接时,需要三次握手。首先客户端发一个有SYN标志的包给服务器,请求服务,然后服务端返回一个SYN+1的ACT响应包。客户端收到后再发一个确认包给服务端。这时,客户端与服务端建立连接成功,这样就为进行以后的通信作好了准备工作。进行攻击时,攻击者就会利用只发伪造的包而不接收响应(这里实质是收不到,因为IP是假的),从而让服务器产生大量的“半开连接”,由于每个包服务器有一定的等待响应时间,而且当一定时间没有收到响应时,还会多次重发。因此服务器在重发与等待过程中形成大
常见网络攻击方法及原理
1.1 TCP SYN拒绝服务攻击 一般情况下,一个TCP连接的建立需要经过三次握手的过程,即: 1、建立发起者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB),然后向发起者回送一个TCP ACK报文,等待发起者的回应; 3、发起者收到TCP ACK报文后,再回应一个ACK报文,这样TCP连接就建立起来了。 利用这个过程,一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击: 1、攻击者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应; 3、而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。 可以看出,目标计算机如果接收到大量的TCP SYN报文,而没有收到发起者的第三次ACK回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB 控制结构,TCB,一般情况下是有限的)耗尽,而不能响应正常的TCP连接请求。 1.2 ICMP洪水 正常情况下,为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应请求报文(ICMP ECHO),接收计算机接收到ICMP ECHO后,会回应一个ICMP ECHO Reply报文。而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP洪水),则目标计算机会忙于处理这些ECHO报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)。
拒绝服务攻击(拒绝服务攻击原理、常见方法及防范)
网络安全原理与应用 系别:计算机科学与技术系 班级:网络信息与技术 姓名:x x x 学号:xxxxxxxxxxxxx
拒绝服务攻击原理、常见方法及防范 什么是DOS攻击 DOS:即Denial Of Service,拒绝服务的缩写,可不能认为是微软的dos操作系统了。DOS 攻击即攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。比如: * 试图FLOOD服务器,阻止合法的网络通讯 * 破坏两个机器间的连接,阻止访问服务 * 阻止特殊用户访问服务 * 破坏服务器的服务或者导致服务器死机 不过,只有那些比较阴险的攻击者才单独使用DOS攻击,破坏服务器。通常,DOS攻击会被作为一次入侵的一部分,比如,绕过入侵检测系统的时候,通常从用大量的攻击出发,导致入侵检测系统日志过多或者反应迟钝,这样,入侵者就可以在潮水般的攻击中混骗过入侵检测系统。 DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。 DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。 这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。你理解了DoS攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。 高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。 有关TCP协议的东西 TCP(transmission control protocol,传输控制协议),是用来在不可靠的因特网上提供可靠的、端到端的字节流通讯协议,在RFC793中有正式定义,还有一些解决错误的东西在RFC 1122中有记录,RFC 1323则有TCP的功能扩展。 我们常见到的TCP/IP协议中,IP层不保证将数据报正确传送到目的地,TCP则从本地机器接受用户的数据流,将其分成不超过64K字节的数据片段,将每个数据片段作为单独的IP
慢速http拒绝服务攻击及防御方案
慢速http拒绝服务攻击及防御 Auth : Cryin’ Date : 2016.03.03 Link : https://https://www.360docs.net/doc/6418359241.html,/Cryin/Paper 概述 HTTP-FLOOD攻击是一种专门针对于Web的应用层FLOOD攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量http request攻击,直到服务器带宽被打满,造成了拒绝服务。 由于伪造的http请求和客户正常请求没有区别,对于没有流量清洗设备的用户来说,这无疑就是噩梦。 慢速http拒绝服务攻击则是HTTP-FLOOD攻击的其中一种。常见的慢速DoS攻击压力测试工具有SlowHTTPTest、Slowloris等 攻击原理 Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。抓包数据可见,攻击客户端与服务器建立TCP连接后,每40秒才向服务器发送一个HTTP头部,而Web服务器再没接收到2个连续的\r\n时,会认为客户端没有发送完头部,而持续的等等客户端发送数据。如果恶意攻击者客户端持续建立这样的连接,那么服务器上可用的连接将一点一点被占满,从而导致拒绝服务。这种攻击类型称为慢速HTTP拒绝服务攻击。 分类 慢速HTTP拒绝服务攻击经过不断的演变和发展,其主要分为以下几类: ◆Slow headers:Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP 头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP 请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。抓包数据可见,攻击客户端与服务器建立TCP连接后,每30秒才向服务器发送一个HTTP头部,而Web 服务器再没接收到2个连续的\r\n时,会认为客户端没有发送完头部,而持续的等等客户端发送数据。 ◆Slow body:攻击者发送一个HTTP POST请求,该请求的Content-Length头部值很大, 使得Web服务器或代理认为客户端要发送很大的数据。服务器会保持连接准备接收数
拒绝服务攻击现状分析
“百花齐放” 拒绝服务攻击现状分析 【导读】:拒绝服务技术的创新已经基本尘埃落定,而上个世纪最后十年的发明也逐渐遥远。然而,随着宽带接入、自动化和如今家庭计算机功能的日益强大, 使得对拒绝服务攻击的研究有些多余。 技术 拒绝服务技术的创新已经基本尘埃落定,而上个世纪最后十年的发明也逐渐遥远。然而,随着宽带接入、自动化和如今家庭计算机 功能的日益强大,使得对拒绝服务攻击的研究有些多余。尤其是当我们发现一些本已在90年代末销声匿迹的古老的攻击方式,(例如land ,其使用类似的源和目标 IP 地址和端口发送 UDP 信息包)这些攻击技术现在又卷土重来时,这个结论就更加显而易见。在这一方面唯 一的进步就是可以发起并行任务,从而可以通过简单的 486 处理器所无法实现的方式来显着提高攻击强度。 另一个要考虑的重点是事实上IP堆栈似乎并未正确地安装补丁程序。计算机不再会因为单一的信息包而崩溃;但是,CPU操作会为了处理这种信息包而保持高速运行。因为补丁失效期间生成的信息包是有限的,所以要实现有效的攻击并不容易。可能是技术提高得太快。不管是什么原因,这些陈旧过时的攻击方式现在又卷土重来,而且还非常有效。 使用拒绝服务 拒绝服务攻击开始可能只是为了“取乐”,对系统操作员进行某种报复或是实现各种复杂的攻击,例如对远程服务的隐形欺骗。某 人因在某一信道上遭到侮辱后也经常会将IRC服务器作为攻击目标。这种情况下的网络和因特网使用是“保密的”,这些攻击对其造成 的影响微乎其微。 随着时间的流逝,因特网逐渐成为一种通信渠道,hacktivism(网络激进主义)越来越流行。地理政治形势、战争、宗教问题、生 态等任何动机都可能成为对公司、政治组织或甚至国家的IT基础架构发动进攻的动机。 最近的拒绝服务攻击更多的是与联机游戏有关。某些玩家对在游戏中被人杀死或丢失他们喜爱的武器不满意,因此发动拒绝服务攻击,许多服务器已经成为这种攻击的牺牲品。 但是如今使用拒绝服务的目的大多数是纯粹的敲诈勒索。越来越多的企业开始依赖他们的IT基础架构。邮件、关键数据、甚至电话都通过网络来处理。如果没有这些主要的通信渠道,大多数公司都难以在竞争中幸存。而且,因特网还是一种生产工具。例如,搜索引 擎和博彩web 站点都完全依赖网络连接。 因此,随着公司直接或间接地依赖因特网,原有的敲诈信逐渐转变成数字形式。首先在短暂而非紧要的时间段内发动攻击。然后受 害者就不得不支付“保护费”。 网络协议攻击 这些攻击瞄准传输信道,并因此以IP堆栈作为攻击目标,IP堆栈是内存和 CPU 之类关键资源的进入点。 SYN洪水 SYN洪水是典型的基于概念的拒绝服务攻击,因为这种攻击完全依赖于TCP连接的建立方式。在最初的 3 向握手期间,服务器填写保存内存中会话信息的 TCB(传输控制块)表。当服务器收到来自客户机的初始 SYN 信息包时,向客户机发送回一个 SYN-ACK 信息包 并在 TCB 中创建一个入口。只要服务器在等待来自客户机的最终 ACK 信息包,该连接便处于 TIME_WAIT 状态。如果最终没有收到 ACK
实验10-拒绝服务攻击与防范
贵州大学实验报告 学院:计算机科学与技术学院专业:信息安全班级:姓名学号实验组实验时间2015.06.17 指导教师蒋朝惠成绩实验项目名称实验十拒绝服务攻击与防范 实验目的(一)拒绝服务(DoS)攻击与防范 通过本实验的学习, 使大家了解拒绝服务攻击的原理以及相应的防范方法。 通过一个SYN Flood的拒绝服务程序, 使大家加强对Dos攻击的理解。(二)分布式服务(DDoS)攻击与防范 通过本实验的学习, 使大家了解分布式拒绝服务(DDoS)攻击的原理以及相应的防范方法。 实 验 要 求 通过实验,理解和掌握DoS和DDoS的攻击原理以及相应的防范方法 实验原理(一)拒绝服务(DoS)攻击与防范 1.TCP协议介绍 传输控制协议是用来在不可靠的Internet上提供可靠的、端到端的字 节流通信协议,在FRC 793中有正式定义,还有一些解决错误的方案在 RFC1122中有记录,RFC1323则有TCP的功能扩展。常见到的TCP/IP协 议中,IP层不保证将数据报正确传输到目的地TCP则从本地机器接收 用户的数据流,将其分成不超过64KB的数据字段,将每个数据片段作 为单独的IP数据包发送出去,最后在目的地机器中将其再组合成完整 的字节流,TCP协议必须保证可靠性。发送方和接收方的TCP传输以数 据段的形式交换数据,i一个数据段包括固定20字节,加上可选部分, 后面再加上数据。TCP协议从发送方传输一个数据耳朵时候,其中有一 个确认号,它等于希望收到的下一个数据段的序号,接收方还要发送回 一个数据段,其中有一个确认号,它等于希望收到的下一个数据段的顺
序号。如果计时器在确认信息到达以前超时了,发送方会重新发送这个数据段。 从上面的内容可以在总体上了解一点TCP,重要的是熟悉TCP的数据头。 因为数据流的传输最重要的就是header里面的东西,至于发送的数据,只是TCP数据头附带上的、客户端和服务器端的服务响应就是痛header 里面的数据有关,两端信息交流和交换是根据header中内容实施的,因此,要了解DoS攻击原理,就必须对TCP的header中的内容非常熟悉。有关TCP数据段头格式参见7.1.3节内容。 TCP连接采用“3次握手”,其原理步骤如下所述。 在没有连接时,接受方服务器处于监听状态,等待其它机器发送连接请求。 第一步,客户端发送一个带SYN位的请求,向服务器表示需要连接。 第二步,服务器接收到这样的请求后,查看监听的端口是否为指定端口,如果不是,则发送RST=1应答,拒绝建立连接。如果是,那么服务器发送确认,SYN为服务器的一个内码,假设为100,ACK位则为客户端的请求序号加1,本例中发送的数据是:SYN=11,ACK=100,用这样的数据发送给客户端。向客户端标明,服务器连接已准备好,等待客户端的确认。 这时客户端接收到信息后,分析得到的信息,准备发送确认连接信号到服务器。 第三步,客户端发送确认信息建立连接的消息给服务器端,确认信息的SYN位是服务器发送的ACK位,ACK位是服务器发送的SYN位加1.级:SYN=11,ACK=101。 这时,连接已经建立好了,可以进行发送数据的过程。 服务器不会在每次接收到SYN请求就立刻恢复客户端建立连接,而是为连接请求分配内存空间,建立会话,并放到一个队列中。如果等待队列已经满了,那么服务器就不会再为新的连接分配资源,直接丢弃请求。 如果到了这种地步,那么服务器就是拒绝服务了。 2.拒绝服务(DoS)攻击
拒绝服务攻击原理及解决方法
拒绝服务攻击原理及解决方法.txt都是一个山的狐狸,你跟我讲什么聊斋,站在离你最近的地方,眺望你对别人的微笑,即使心是百般的疼痛只为把你的一举一动尽收眼底.刺眼的白色,让我明白什么是纯粹的伤害。拒绝服务攻击原理及解决方法 Internet给全世界的人们带来了无限的生机,真正实现了无国界的全球村。但是还有很多困绕我们的因素,象IP地址的短缺,大量带宽的损耗,以及政府规章的限制和编程技术的不足。现在,由于多年来网络系统累积下了无数的漏洞,我们将面临着更大的威胁,网络中潜伏的好事者将会以此作为缺口来对系统进行攻击,我们也不得不为以前的疏忽付出更大的努力。虽然大多的网络系统产品都标榜着安全的旗号,但就我们现在的网络协议和残缺的技术来看,危险无处不在。 拒绝服务攻击是一种遍布全球的系统漏洞,黑客们正醉心于对它的研究,而无数的网络 用户将成为这种攻击的受害者。Tribe Flood Network, tfn2k, smurf, targa…还有许多的程序都在被不断的开发出来。这些程序想瘟疫一样在网络中散布开来,使得我们的村落更为薄弱,我们不得不找出一套简单易用的安全解决方案来应付黑暗中的攻击。 在这篇文章中我们将会提供: 1.对当今网络中的拒绝服务攻击的讨论。 2.安全环境中的一些非技术性因素以及我们必须克服的一些障碍问题。 3.如何认清产品推销商所提供的一些谎言。 在我们正式步入对这些问题的技术性讨论之前,让我们先从现实的生活中的实际角度来看一下这些困绕我们的问题。 当前的技术概况 在我们进入更为详细的解决方案之前,让我们首先对问题做一下更深入的了解。 与安全相关的这些小问题如果详细来讲的话都能成为一个大的章节,但限于篇幅的原因,我们只能先作一下大体的了解。 1.软件弱点是包含在操作系统或应用程序中与安全相关的系统缺陷,这些缺陷大多是由
拒绝服务攻击技术
拒绝服务攻击技术(DDOS)现状分析 技术 拒绝服务技术的创新已经基本尘埃落定,而上个世纪最后十年的发明也逐渐遥远。然而,随着宽带接入、自动化和如今家庭计算机功能的日益强大,使得对拒绝服务攻击的研究有些多余。尤其是当我们发现一些本已在90年代末销声匿迹的古老的攻击方式,(例如land ,其使用类似的源和目标IP 地址和端口发送UDP 信息包)这些攻击技术现在又卷土重来时,这个结论就更加显而易见。在这一方面唯一的进步就是可以发起并行任务,从而可以通过简单的486 处理器所无法实现的方式来显著提高攻击强度。 另一个要考虑的重点是事实上IP堆栈似乎并未正确地安装补丁程序。计算机不再会因为单一的信息包而崩溃;但是,CPU操作会为了处理这种信息包而保持高速运行。因为补丁失效期间生成的信息包是有限的,所以要实现有效的攻击并不容易。可能是技术提高得太快。不管是什么原因,这些陈旧过时的攻击方式现在又卷土重来,而且还非常有效。 使用拒绝服务 拒绝服务攻击开始可能只是为了“取乐”,对系统操作员进行某种报复或是实现各种复杂的攻击,例如对远程服务的隐形欺骗。某人因在某一信道上遭到侮辱后也经常会将IRC服务器作为攻击目标。这种情况下的网络和因特网使用是“保密的”,这些攻击对其造成的影响微乎其微。 随着时间的流逝,因特网逐渐成为一种通信渠道,hacktivism(网络激进主义)越来越流行。地理政治形势、战争、宗教问题、生态等任何动机都可能成为对公司、政治组织或甚至国家的IT基础架构发动进攻的动机。
最近的拒绝服务攻击更多的是与联机游戏有关。某些玩家对在游戏中被人杀死或丢失他们喜爱的武器不满意,因此发动拒绝服务攻击,许多服务器已经成为这种攻击的牺牲品。 但是如今使用拒绝服务的目的大多数是纯粹的敲诈勒索。越来越多的企业开始依赖他们的IT基础架构。邮件、关键数据、甚至电话都通过网络来处理。如果没有这些主要的通信渠道,大多数公司都难以在竞争中幸存。而且,因特网还是一种生产工具。例如,搜索引擎和博彩web 站点都完全依赖网络连接。 因此,随着公司直接或间接地依赖因特网,原有的敲诈信逐渐转变成数字形式。首先在短暂而非紧要的时间段内发动攻击。然后受害者就不得不支付“保护费”。 网络协议攻击 这些攻击瞄准传输信道,并因此以IP堆栈作为攻击目标,IP堆栈是内存和CPU 之类关键资源的进入点。 SYN洪水 SYN洪水是典型的基于概念的拒绝服务攻击,因为这种攻击完全依赖于TCP连接的建立方式。在最初的 3 向握手期间,服务器填写保存内存中会话信息的TCB(传输控制块)表。当服务器收到来自客户机的初始SYN 信息包时,向客户机发送回一个SYN-ACK 信息包并在TCB 中创建一个入口。只要服务器在等待来自客户机的最终ACK 信息包,该连接便处于TIME_WAIT 状态。如果最终没有收到ACK 信息包,则将另一个SYN-ACK 发送到客户机。最后,如果经多次重试后,客户机没有认可任何SYN-ACK 信息包,则关闭会话并从TCB 中刷新会话。从传输第一个SYN-ACK 到会话关闭这段时间通常大约为30 秒。
拒绝服务攻击
【拒绝服务攻击】 拒绝服务攻击(Denial of Service, DoS)是一种最悠久也是最常见的攻击形式。严格来说,拒绝服务攻击并不是某一种具体的攻击方式,而是攻击所表现出来的结果,最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理上的瘫痪或崩溃。具体的操作方法可以是多种多样的,可以是单一的手段,也可以是多种方式的组合利用,其结果都是一样的,即合法的用户无法访问所需信息。 通常拒绝服务攻击可分为两种类型。 第一种是使一个系统或网络瘫痪。如果攻击者发送一些非法的数据或数据包,就可以使得系统死机或重新启动。本质上是攻击者进行了一次拒绝服务攻击,因为没有人能够使用资源。以攻击者的角度来看,攻击的刺激之处在于可以只发送少量的数据包就使一个系统无法访问。在大多数情况下,系统重新上线需要管理员的干预,重新启动或关闭系统。所以这种攻击是最具破坏力的,因为做一点点就可以破坏,而修复却需要人的干预。 第二种攻击是向系统或网络发送大量信息,使系统或网络不能响应。例如,如果一个系统无法在一分钟之内处理100个数据包,攻击者却每分钟向他发送1000个数据包,这时,当合法用户要连接系统时,用户将得不到访问权,因为系统资源已经不足。进行这种攻击时,攻击者必须连续地向系统发送数据包。当攻击者不向系统发送数据包时,攻击停止,系统也就恢复正常了。此攻击方法攻击者要耗费很多精力,因为他必须不断地发送数据。有时,这种攻击会使系统瘫痪,然而大多多数情况下,恢复系统只需要少量人为干预。 这两种攻击既可以在本地机上进行也可以通过网络进行。 ※拒绝服务攻击类型 1 Ping of Death 根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。 2 Teardrop IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。 3 Land 攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。 4 Smurf 该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。 5 SYN flood 该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的
绿盟抗拒绝服务攻击典型方案
抗拒绝服务攻击典型方案 应用摘要 用户在考虑业务网络的安全问题时主要的关注点在于识别信息资产所面临的安全风险并采取有效的技术、管理手段来降低、消除安全风险。信息资产可以以多种形态存在,主要包括:硬件、软件、数据、服务、文档等。当信息资产面临安全威胁,而资产自身相应的脆弱性又暴露出来的时候,威胁对信息资产就有产生影响的可能,这是,信息资产的安全风险就自然产生了。假如用户的重要网络与外部网络相连,且重要网络内部有对外提供服务的主机设备,因此就可能面对外部黑客拒绝服务攻击的威胁。DoS(Denial of Service 拒绝服务)攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。拒绝服务攻击可以有各种分类方法,如果按照攻击方式来分可以分为:资源消耗、服务中止和物理破坏。资源消耗指攻击者试图消耗目标的合法资源,例如网络带宽、内存和磁盘空间、CPU使用率等等;服务中止则是指攻击者利用服务中的某些缺陷导致服务崩溃或中止;物理破坏则是指雷击、电流、水火等物理接触的方式导致的拒绝服务攻击;拒绝服务攻击,特别是分布式网络拒绝服务攻击造成的危害是相当严重的,可能造成网络服务无法访问,甚至数据损坏和丢失,从而给被攻击的用户带来大量金钱、人力、时间上的巨大损失。 方案内容 网络层的拒绝服务攻击有的利用了网络协议的漏洞,有的则抢占网络或者设备有限的处理能力,使得对拒绝服务攻击的防治,成为了一个令管理员非常头痛的问题。尤其是目前在大多数的网络环境骨干线路上普遍使用的防火墙、负载均衡等设备,在发生DDoS(分布式拒绝服务)攻击的时候往往成为整个网络的瓶颈,造成全网的瘫痪。因此,对骨干设备的防护也是整个网络环境的关键。 由于通用操作系统和网络设备需要更多的从功能和网络效率方面进行设计和实现,通过简单的系统或者设备配置无法降低拒绝服务攻击的危害。因此,只有专业的抗拒绝服务产品才能比较有效的抵御拒绝服务的攻击,保障用户业务网络的可用性。 绿盟科技的“黑洞”产品能够防护SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD等大规模分布式拒绝服务的大流量攻击(性能卓越的“黑洞”百兆产品可抵抗64 Byte 小包70M攻击流量)。 绿盟科技的“黑洞”产品对旨在通过耗尽server连接数、利用各种畸形数据包进行的网络攻击能够进行有效的安全防护。 绿盟科技的“黑洞”使用非常方便:整个系统为网桥模式设计,能够透明的部署在网络中。支持10M/100M/1000M以太网的多种光/电接口。内置了常见网络环境下的最优参数设置,部署非常方便。而B/S结构的管理界面能直观的监控当前攻击和网络流量,记录攻击来源和类型。在应急情况下可以在数分钟内部署完毕并恢复网络运行。 技术架构
拒绝服务攻击详解之基础篇
拒绝服务攻击详解之基础篇 文章作者:SKY_Server 文章翻译:帝王血族 [S.K.Y] 信息来源:邪恶八进制信息安全团队(https://www.360docs.net/doc/6418359241.html,) 目录 绪论 拒绝服务三大类 五花八门的拒绝服务攻击手法 包欺骗和原始套接 防止拒绝服务攻击 尾声 相关连接 免责条款 绪论: 这份资料是为那些对拒绝服务(Denial of Service,DoS)有一些了解的网络管理员准备的,资料中涉及到了大量关于拒绝服务攻击(Denial of Service attacks)的基础以及相关知识。 互联网上的拒绝服务攻击正变得越来越常见。发起一场拒绝服务攻击对于一个老练的黑客来说已经不是什么难事儿,甚至是一个非常普通的脚本小子都可以通过使用从互联网上下载的工具做到。由于可以被轻易上演,拒绝服务攻击已经逐渐成为当今因特网上的严峻问题。很多网上银行和娱乐站点由于拒绝支付黑金而被不法份子采用拒绝服务的手段攻击,调查显示攻击速度几乎可以达到1G/s,而且问题仍然在恶化。目前,大概一些攻击者已经可以达到1T/s,而仅仅1G/s的攻击强度就足够让雅虎(https://www.360docs.net/doc/6418359241.html,)和亚马逊(https://www.360docs.net/doc/6418359241.html,)这样的大站倒塌了。 您无法防止恶徒对您进行拒绝服务攻击,但是多了解一点儿这种手法,以便当您的服务器遭到拒绝服务攻击的时候能尽可能的阻止他或者把损失降到最低却是很有必要的。 这篇文章的作者是Aelphaeis Mangarae,中文翻译由冰血封情[E.S.T]完成。 拒绝服务三大类: DoS:
DoS攻击是一种攻击者自他或她自己的机器发起的攻击。通过对远程计算机发送攻击数据包,每发送一个远程的计算机收到一个。这种攻击已经比较罕见了,因为大多数情况下这种攻击不能得手,并且在攻击的时间段上很容易被追踪。 一般的说,使用DoS攻击手段的大多数都是那些喜欢用“黑客工具”而没有大脑的业余脚本小子,他们异想天开的以为有机会用自己的破电脑搞塌一台web服务器。多数情况下这些脚本小子最终会发觉自己信赖的攻击工具没有效果,从而转而使用一种新的所谓的“黑客工具”或者很可能使用工具发动一场分布式拒绝服务(Distributed Denial Of Service)攻击。 DDoS: 分布式拒绝服务(Distributed Denial of Service,DoS)攻击是拒绝服务攻击者群体中最常用的手法了。 如果一个攻击者想发动一场拒绝服务攻击,他可以召唤数千甚至是数万数十万被安装了傀儡软件(一种类似IRC客户端的程序,但是功能可就牛了,有些时候被称做DDoS蠕虫)的机器(后面叫肉机)。通常情况下这些客户端会从肉机上登录到一个IRC聊天室,等待攻击者发号施令。攻击者只要键入类似如下的命令”$flood ICMP https://www.360docs.net/doc/6418359241.html,”后,这些IRC 聊天室里的客户端接收命令并且开始向目标发送ICMP包。由于攻击者有足够的客户端安装在很快的服务器肉机上,那么很轻易就造成了远程目标掉线或者是拒绝合法用户的访问 通常,攻击者选择手工添加可以用来攻击的肉机,他们通常把IRC攻击程序客户端作成网页木马的方式,通过利用社会工程学诱使他人访问那张网页。通过利用IE的某一个漏洞(通常IE的安全性都很差劲儿),在对方计算机上下载并执行客户端。 目前,组建一直庞大的亏累军团用于攻击已经不是什么难事儿,因特网上有很多傀儡软件可供下载,比如Forbot、RxBot以及Agobot。这些傀儡软件通过扫描特定的服务或端口并且尝试渗透并感染远程计算机(有点象蠕虫),如果这些傀儡终端使用了0day exploit来运做那将是非常实用的。 DoS客户端一般都支持标准的洪水攻击,比如ICMP,UDP,TCP以及SYN洪水。 DRDoS: 分布式反映射拒绝服务(Distributed Reflected Denial of Service,DRDoS)是相当罕见的一种拒绝服务攻击种类,因为攻击一台大型服务器都没必要使用DRDoS,尽管这种手法仍然曾经一度被声名狼藉的Mafia Boy用来攻击https://www.360docs.net/doc/6418359241.html,、https://www.360docs.net/doc/6418359241.html,、https://www.360docs.net/doc/6418359241.html,和https://www.360docs.net/doc/6418359241.html,。DRDoS的原理是攻击者命令他的肉机使用伪造的包去洪水攻击一个特殊的媒介主机而引发的。打个比方,攻击者命令他手下一半数量的肉机去使用伪造的ICMP包洪水攻击https://www.360docs.net/doc/6418359241.html,,同时再命令他手下另外一半数量的肉机去使用伪造的ICMP包洪水攻击https://www.360docs.net/doc/6418359241.html,,由于这些伪造的攻击数据包都看起来象是来自https://www.360docs.net/doc/6418359241.html,。那么https://www.360docs.net/doc/6418359241.html,和https://www.360docs.net/doc/6418359241.html,就会在不知觉中洪水攻击https://www.360docs.net/doc/6418359241.html,,因为伪造的ICMP数据包都标识为源地址是