DOS攻击与DDOS攻击

组长：郝增强
组员：郭一鸣，朱永超，刘齐强
一．DOS攻击和DDOS攻击
DOS：Denial Of Service，拒绝服务攻击的缩写。

指的是攻击者通过消耗受害网络的带宽和主机系统资源，挖掘编程缺陷，提供虚假路由或DNS信息，达到使计算机或网络无法提供正常的服务的目的。

常见的有网络通讯受阻，访问服务被拒，服务器死机或服务受到破坏。

DDOS：Distributed Denial of service，分布式拒绝服务的缩写，指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。

通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。

代理程序收到指令时就发动攻击。

利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

单一的DOS攻击一般是采用一对一方式的，DDOS则是利用更多的傀儡机来发起攻击，以更大规模来攻击受害者。

二．DOS攻击方式和DDOS攻击方式
DOS攻击方式：
Synflood: 该攻击以多个随机的源主机地址向目的主机发送SYN 包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直
维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。

Smurf：该攻击向一个子网的广播地址发一个带有特定请求（如ICMP回应请求）的包，并且将源地址伪装成想要攻击的主机地址。

子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。

Land-based：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。

Ping of Death：根据TCP/IP的规范，一个包的长度最大为65536字节。

尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。

当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。

Teardrop：IP数据包在网络传递时，数据包可以分成更小的片段。

攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击。

第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。

为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。

PingSweep：使用ICMP Echo轮询多个主机。

Pingflood: 该攻击在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽。

DDOS攻击方式：
1.SYN变种攻击
发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

2.TCP混乱数据包攻击
发送伪造源IP的TCP数据包，TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等，会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

3.针对用UDP协议的攻击
攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防护墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截，
4.针对WEB Server的多连接攻击
通过控制大量肉鸡同时连接访问网站，造成网站无法处理瘫痪，这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封，
5.针对WEB Server的变种攻击
通过控制大量肉鸡同时连接访问网站，一点连接建立就不断开，一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效
了，因为每个肉鸡可能只建立一个或者只建立少量的连接。

这种攻击非常难防护，后面给大家介绍防火墙的解决方案
6. 针对WEB Server的变种攻击
通过控制大量肉鸡同时连接网站端口，但是不发送GET请求而是乱七八糟的字符，大部分防火墙分析攻击数据包前三个字节是GET 字符然后来进行http协议的分析，这种攻击，不发送GET请求就可以绕过防火墙到达服务器，一般服务器都是共享带宽的，带宽不会超过10M 所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪，这种攻击也非常难防护，因为如果只简单的拦截客户端发送过来没有GET字符的数据包，会错误的封锁很多正常的数据包造成正常用户无法访问，后面给大家介绍防火墙的解决方案7.针对游戏服务器的攻击
鉴于各种各样的游戏服务器和变化多端的攻击方式，这里介绍目前最普遍的假人攻击，假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家，很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。

三．被攻击时的现象
1）被攻击主机上有大量等待的TCP连接
2）网络中充斥着大量的无用的数据包，源地址为假
3）制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯
4）利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出
特定的服务请求，使受害主机无法及时处理所有正常请求
5）严重时会造成系统死机
四．如何防范
广泛的防范：
1．确保所有服务器采用最新系统，并打上安全补丁。

2．确保管理员对所有主机进行检查，而不仅针对关键主机。

这是为了确保管理员知道每个主机系统在运行什么？谁在使用主机？哪些人可以访问主机？不然，即使黑客侵犯了系统，也很难查明。

3．确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。

Wu-Ftpd等守护程序存在一些已知的漏洞，黑客通过根攻击就能获得访问特权系统的权限，并能访问其他系统——甚至是受防火墙保护的系统。

4．确保运行在Unix上的所有服务都有TCP封装程序，限制对主机的访问权限。

5．禁止内部网通过Modem连接至PSTN系统。

否则，黑客能通过电话线发现未受保护的主机，即刻就能访问极为机密的数据。

6．禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp，以基于PKI的访问程序如SSH取代。

SSH不会在网上以明文格式传送口令，而Telnet和Rlogin则正好相反，黑客能搜寻到这些口令，从而立即访问网络上的重要服务器。

此外，在Unix上应该将.rhost和hosts.equiv文件删除，因为不用猜口令，这些文件就会提供登录访问！7．限制在防火墙外与网络文件共享。

这会使黑客有机会截获系统文
件，并以特洛伊木马替换它，文件传输功能无异将陷入瘫痪。

8．确保手头有一张最新的网络拓扑图。

这张图应该详细标明TCP/IP 地址、主机、路由器及其他网络设备，还应该包括网络边界、非军事区（DMZ）及网络的内部保密部分。

9．在防火墙上运行端口映射程序或端口扫描程序。

大多数事件是由于防火墙配置不当造成的，使DoS/DDoS攻击成功率很高，所以定要认真检查特权端口和非特权端口。

10．检查所有网络设备和主机/服务器系统的日志。

只要日志出现漏洞或时间出现变更，几乎可以肯定：相关的主机安全受到了危胁。

11．利用DDoS设备提供商的设备。

具体的防范：
主机上的防范：关闭不必要的服务
限制同时打开的Syn半连接数目
缩短Syn半连接的time out 时间
及时更新系统补丁
网络设备上的防范：企业网的网络设备可以从防火墙与路由器上考虑１.防火墙
禁止对主机的非开放服务的访问
限制同时打开的SYN最大连接数
限制特定IP地址的访问
启用防火墙的防DDoS的属性
严格限制对外开放的服务器的向外访问
２.路由器
Cisco Express Forwarding（CEF）
使用unicast reverse-path
访问控制列表（ACL）过滤
设置SYN数据包流量速率
升级版本过低的ISO
为路由器建立log server
介绍几种常见的DOS攻击程序及防御措施：一．smurf 攻击
Smurf是一种简单但有效的DDoS 攻击技术，它利用了ICMP (Internet控制信息协议)。

ICMP在Internet上用于错误处理和传递控制信息。

它的功能之一是与主机联系，通过发送一个“回音请求”（echo request）信息包看看主机是否“活着”。

最普通的ping程序就使用了这个功能。

Smurf是用一个偷来的帐号安装到一个计算机上的，然后用一个伪造的源地址连续ping一个或多个计算机网络，这就导致所有计算机所响应的那个计算机并不是实际发送这个信息包的那个计算机。

这个伪造的源地址，实际上就是攻击的目标，它将被极大数量的响应信息量所淹没。

对这个伪造信息包做出响应的计算机网络就成为攻击的不知情的同谋。

防范措施：
1)确定你是否成为了攻击平台：对不是来自于你的
内部网络的信息包进行监控；监控大容量的回音请求和回音应答信息包。

2)避免被当做一个攻击平台：在所有路由器上禁止IP广播功能；将不是来自于内部网络的信息包过滤掉。

3)减轻攻击的危害：在边界路由器对回音应答信息包进行过滤，并丢弃；对于Cisco路由器，使用CAR来规定回音应答信息包可以使用的带宽最大值。

二．Trinoo攻击
trinoo 是复杂的DDoS 攻击程序，它使用“master”程序对实际实施攻击的任何数量的“代理”程序实现自动控制。

攻击者连接到安装了master程序的计算机，启动master 程序，然后根据一个IP地址的列表，由master程序负责启动所有的代理程序。

接着，代理程序用UDP 信息包冲击网络，从而攻击目标。

在攻击之前，侵入者为了安装软件，已经控制了装有master程序的计算机和所有装有代理程序的计算机。

防范措施：
1）确定你是否成为攻击平台：在master程序和代理程序之间的通讯都是使用UDP协议，因此对使用UDP协议(类别17)进行过滤；攻击者用TCP端口27655与master 程序连接，因此对使用TCP (类别6)端口27655连接的流进行过滤；master与代理之间的通讯必须要包含字符串"l44" ，
并被引导到代理的UDP 端口27444,因此对与UDP端口27444连接且包含字符串l44的数据流进行过滤。

2）避免被用作攻击平台：将不是来自于你的内部网络的信息包过滤掉。

3) 减轻攻击的危害：从理论上说，可以对有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列进行过滤，并丢弃它们三．Stacheldraht攻击
Stacheldraht也是基于TFN和trinoo一样的客户机/服务器模式，其中Master程序与潜在的成千个代理程序进行通讯。

在发动攻击时，侵入者与master程序进行连接。

Stacheldraht增加了以下新功能：攻击者与master程序之间的通讯是加密的，以及使用rcp (remote copy，远程复制)技术对代理程序进行更新。

防范措施：
1）确定你是否成为攻击平台：对ID域中包含值666、数据域中包含字符串"skillz"或ID域中包含值667、数据域中包含字符串"ficken" 的ICMP回音应答信息包进行过滤；对源地址为"3.3.3.3"的ICMP 信息包和ICMP信息包数据域中包含字符串"spoofworks"的数据流进行过滤。

2）避免被用作攻击平台：不允许一切到你的网络上的ICMP回音和回音应答信息包, 当然这会影响所有要使
用这些功能的Internet程序；将不是来源于内部网络的信息包过滤掉；将不是来源于内部网络的信息包过滤掉。

四．"Tribal Flood Network" 和"TFN2K"攻击
Tribe Flood Network与trinoo一样，使用一个master程序与位于多个网络上的攻击代理进行通讯。

TFN可以并行发动数不胜数的DoS攻击，类型多种多样，而且还可建立带有伪装源IP地址的信息包。

可以由TFN发动的攻击包括：UDP冲击、TCP SYN 冲击、ICMP回音请求冲击以及ICMP 广播。

TFN2K是TFN的一个更高级的版本，它“修复”了TFN 的某些缺点。

防范措施：
1）确定你是否成为攻击平台：对不是来自于内部网络的信息包进行监控。

2）避免被用作攻击平台：不允许一切到你的网络上的ICMP回音和回音应答信息包，当然这会影响所有要使用这些功能的Internet程序；将不是来源于内部网络的信息包过滤掉。