拒绝服务攻击及防御

基于堆栈的缓冲区溢出 基于堆的缓冲区溢出 基于LIB C库的缓冲区溢出攻击

格式化字符串攻击 拒绝服务攻击 弱口令攻击 默认设臵脆弱性攻击 社会工程攻击
蠕虫的检测与防范

基于单机的蠕虫检测 基于网络的蠕虫检测 其他
基于单机的蠕虫检测

基于特征的检测技术

基于网络负载的特征匹配 基于日志分析的特征匹配 基于文件内容的特征匹配 对所有扫描全网的蠕虫都适用 对于采用队列扫描和基于目标列表的扫描蠕虫不适用

根据攻击对目标造成的破坏程度，攻击影响自低向高可以分为：



无效（None） 服务降低（Degrade） 可自恢复的服务破坏（Self-recoverable） 可人工恢复的服务破坏（Manu-recoverable） 不可恢复的服务破坏（Non-recoverable）
舞厅分类法
舞厅分类法
信息收集
占领傀儡机
攻击实施
DDOS攻击的典型过程

占领傀儡机 实施攻击
信息收集
占领傀儡机
攻击实施
拒绝服务攻击原理
典型的拒绝服务攻击
剧毒包型DoS攻击

WinNuke攻击 碎片（Teardrop）攻击 Land攻击 Ping of death攻击
WinNuke攻击

攻击特征：

基于黑洞检测技术


基于流量检测 校验和技术 沙箱技术 安全操作系统对网络蠕虫的防范
基于网络的蠕虫检测

基于GrIDS的网络蠕虫检测

通过与预定义的行为模式进行匹配，检测网络蠕虫是否存 在。 采用特征匹配技术，存在误报，无法检测未知网络蠕虫， 只能进行事后处理
傀儡网络的危害

蠕虫扩散 分布式拒绝服务攻击 发送垃圾邮件 窃取秘密信息 窃取资源 作为跳板
傀儡网络工作原理

IRC协议

应用层协议 C/S模式 默认端口：TCP 6667
傀儡网络攻击实现

发动大规模分布式拒绝服务攻击（DDOS） 利用傀儡网络进行钓鱼（Phishing）攻击 利用傀儡网络开设HTTP代理 利用傀儡网络发送垃圾邮件 利用傀儡进行漏洞扫描 安装间谍软件

Fraggle攻击

Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP 应答消息而非ICMP。 防御：在防火墙上过滤掉UDP应答消息。



以CISCO的ASA为例 class-map fraggle -------------定义端口号和协议号 match port udp eq echo policy-map fraggle --------------策略匹配,设臵最大连接数为1 class fraggle set connection conn-max 1 service-policy fraggle interface inside ----------------在接口上应用
拒绝服务攻击及防御
信息安全系列培训之三 樊山
大纲
拒绝服务攻击原理
典型的拒绝服务攻击 DoS工具与傀儡网络 蠕虫攻击及其对策 拒绝服务攻击防御 拒绝服务攻击检测
拒绝服务攻击原理
什么是拒绝服务攻击


DoS (Denial of Service)攻击其中文含义是拒绝服务攻 击，这种攻击行动使网站服务器充斥大量要求回复的 信息，消耗网络带宽或系统资源，导致网络或系统不 胜负荷以至于瘫痪而停止提供正常的网络服务。 黑客不正当地采用标准协议或连接方法，向攻击的服 务发出大量的讯息，占用及超越受攻击服务器所能处 理的能力，使它当(Down)机或不能正常地为用户服务。

反射攻击


一般意义的反射攻击 放大式反射攻击
直接风暴攻击

Ping风暴攻击

单纯向受害者发送大量ICMP回应 请求消息

SYN风暴攻击 TCP连接耗尽攻击 UDP风暴攻击

占用网络带宽 邮件炸弹 垃圾邮件
对邮件系统的拒绝服务攻击


HTTP风暴攻击
反射攻击

一般意义的反射攻击

真实地址（True） 伪造合法地址（Forge Legal） 伪造非法地址（Forge Illegal）

（2）攻击包数据生成模式（DataMode）

攻击包中包含的数据信息模式主要有5种：

不需要生成数据（None） 统一生成模式（Unique） 随机生成模式（Random） 字典模式（Dictionary） 生成函数模式（Function）

检测方法：

判断数据包的大小是否大于65535个字节。
使用新的补丁程序，当收到大于65535个字节的数据包时， 丢弃该数据包，并进行系统审计。
反攻击方法：

风暴型DoS攻击

直接风暴型攻击



Ping风暴攻击 SYN风暴攻击 TCP连接耗尽攻击 UDP风暴攻击 对邮件系统的拒绝服务攻击 HTTP风暴攻击

（5）攻击协议（ProName）

攻击所涉及的最高层的具体协议，如SMTP、ICMP、UDP、 HTTP等。攻击所涉及的协议层越高，则受害者对攻击包进 行分析所需消耗的计算资源就越大。
攻击动态属性（Dynamic）

（1）攻击源地址类型（SourceIP）

攻击者在攻击包中使用的源地址类型可以分为三种：
蠕虫攻击及其对策
蠕虫常见传播策略

选择性随机扫描 顺序扫描 基于目标列表的扫描 基于路由的扫描 基于DNS扫描 分治扫描 扫描策略评价



目标地址空间选择 是否采用多线程搜索易感染主机 是否有易感染主机列表 传播途径的多样化
蠕虫的攻击手段

缓冲区溢出攻击


WinNuke攻击又称带外传输攻击，它的特征是攻击目标端 口，被攻击的目标端口通常是139、138、137、113、53， 而且URG位设为“1”，即紧急模式。

检测方法：

判断数据包目标端口是否为139、138、137等，并判断URG 位是否为“1”。 适当配臵防火墙设备或过滤路由器就可以防止这种攻击手 段（丢弃该数据包），并对这种攻击进行审计（记录事件 发生的时间，源主机和目标主机的MAC地址和IP地址 MAC）。
攻击动态属性（Dynamic）

（3）攻击目标类型（Target）

攻击目标类型可以分为以下6类：



百度文库
应用程序（Application） 系统（System） 网络关键资源（Critical） 网络（Network） 网络基础设施（Infrastructure） 因特网（Internet）
属性分类法

攻击静态属性（Static）

攻击控制模式 攻击通信模式 攻击技术原理 攻击协议和攻击协议层 攻击源地址类型 攻击包数据生成模式 攻击目标类型 攻击的可检测程度 攻击影响

攻击动态属性（Dynamic）


交互属性（Mutual）

攻击静态属性

（1）攻击控制方式（ControlMode）

主干

节点1-2 节点3-7 节点8-16 节点18-22 节点23-37
舞伴类

风暴类

陷阱类

介入类

DDOS攻击的典型过程

获取目标信息

信息收集


Whois Nslookup 网上公开信息 搜索引擎 Tracerouter 网络扫描 漏洞扫描

网络刺探




攻击者利用了反射器会响应一个消息的要求而自行产生一 个回应消息的特征或能力 凡是支持“自动消息生成”的协议,包括TCP、UDP、各种 ICMP消息，应用协议等，都可能被用于反射攻击 与其它的分布式拒绝服务攻击不同，分布式反射攻击不依 赖于系统漏洞，任何系统都可能成为反射攻击的“帮凶” SYN-ACK消息或者RST消息是攻击者常利用的消息类型 当使用SYN-ACK进行攻击时，反射器就像SYN风暴攻击的 受害者。

反攻击方法：

碎片(Teardrop)攻击

攻击特征：

Teardrop是基于UDP的病态分片数据包的攻击方法，其工作 原理是向被攻击者发送多个分片的IP包（IP分片数据包中包 括该分片数据包属于哪个数据包以及在数据包中的位臵等 信息），某些操作系统收到含有重叠偏移的伪造分片数据 包时将会出现系统崩溃、重启等现象。 对接收到的分片数据包进行分析，计算数据包的片偏移量 （Offset）是否有误。 添加系统补丁程序，丢弃收到的病态分片数据包并对这种 攻击进行审计。

检测方法：


反攻击方法：

Land攻击

攻击特征：

用于Land攻击的数据包中的源地址和目标地址是相同的， 因为当操作系统接收到这类数据包时，不知道该如何处理 堆栈中通信源地址和目的地址相同的这种情况，或者循环 发送和接收该数据包，消耗大量的系统资源，从而有可能 造成系统崩溃或死机等现象。 判断网络数据包的源地址和目标地址是否相同。

（2）攻击通信方式（CommMode）

攻击静态属性

3）攻击原理（Principle）

DoS攻击原理主要分为两种，分别是：语义攻击（Semantic） 和暴力攻击（Brute）。


语义攻击指的是利用目标系统实现时的缺陷和漏洞，对目标主机 进行的拒绝服务攻击，这种攻击往往不需要攻击者具有很高的攻 击带宽，有时只需要发送1个数据包就可以达到攻击目的，对这 种攻击的防范只需要修补系统中存在的缺陷即可。 暴力攻击指的是不需要目标系统存在漏洞或缺陷，而是仅仅靠发 送超过目标系统服务能力的服务请求数量来达到攻击的目的，也 就是通常所说的风暴攻击。
交互属性（Mutual）

（1）可检测程度（Detective）

根据能否对攻击数据包进行检测和过滤，受害者对攻击数据的检 测能力从低到高分为以下三个等级：

可过滤（Filterable） 有特征但无法过滤（Unfilterable） 无法识别（Noncharacterizable）

（2）攻击影响（Impact）
攻击静态属性

（4）攻击协议层（ProLayer）

攻击所在的TCP/IP协议层可以分为以下四类：数据链路层、 网络层、传输层和应用层。

数据链路层的拒绝服务攻击受协议本身限制，只能发生在局域网 内部，这种类型的攻击比较少见。针对IP层的攻击主要是针对目 标系统处理IP包时所出现的漏洞进行的，如IP碎片攻击 [Anderson01]，针对传输层的攻击在实际中出现较多，SYN风暴、 ACK风暴等都是这类攻击，面向应用层的攻击也较多，剧毒包攻 击中很多利用应用程序漏洞的（例如缓冲区溢出的攻击）都属于 此类型。
反射攻击
放大式放大攻击

Smurf攻击

通过使用将回复地址设臵成受 害网络的广播地址的ICMP应答 请求(ping)数据包，来淹没受害 主机，最终导致该网络的所有 主机都对此ICMP应答请求做出 答复，导致网络阻塞。更加复 杂的Smurf将源地址改为第三方 的受害者，最终导致第三方崩 溃。
放大式攻击

攻击控制方式直接关系到攻击源的隐蔽程度。根据攻击者 控制攻击机的方式可以分为以下三个等级：直接控制方式 （Direct）、间接控制方式（Indirect）和自动控制方式 （Auto）。 在间接控制的攻击中，控制者和攻击机之间可以使用多种 通信方式，它们之间使用的通信方式也是影响追踪难度的 重要因素之一。攻击通信方式可以分为三种方式，分别是： 双向通信方式（bi）、单向通信方式（mono）和间接通信 方式（indirection）。


检测方法：

反攻击方法：

适当配臵防火墙设备或过滤路由器的过滤规则就可以防止 这种攻击行为（一般是丢弃该数据包），并对这种攻击进 行审计（记录事件发生的时间，源主机和目标主机的MAC 地址和IP地址）。
Ping of death攻击

攻击特征：

该攻击数据包大于65535个字节。由于部分操作系统接收到 长度大于65535字节的数据包时，就会造成内存溢出、系统 崩溃、重启、内核失败等后果，从而达到攻击的目的。
放大攻击

Fraggle攻击
DoS工具与傀儡网络
DoS工具分析

Trinoo TFN Stacheldraht Shaft TFN2K
傀儡网络

什么是傀儡网络 傀儡网络的危害 傀儡网络工作原理 傀儡网络攻击实现
什么是傀儡网络

BotNet，也称僵尸网络，指攻击者利用互联网用户的 计算机建立的可以集中控制的用于其险恶用途的计算 机群，包括控制手段等。