拒绝服务攻击(3)

3.2 攻击的分类
2、按攻击技术分类 ①向服务器发送合法的服务请求，通过 消耗系统资源，使服务超载，无法响应 其他请求，进而导致服务器拒绝向合法 用户提供服务。
带宽资源 CPU资源 内存 磁盘、进程数、数据库连接数、文件句柄等。
3.2 攻击的分类
2、按攻击技术分类 ② 利用系统漏洞、软件缺陷或系统管 理员的错误配置，向系统发送攻击数据 包，导致系统的瘫痪或崩溃。
攻击表象
利用代理服务器向受害者发 起大量HTTP Get请求 主要请求动态页面，涉及到 数据库访问操作
攻击者
受害者(Web Server)
占 用
占 用
占 用
数据库负载以及数据库连接 池负载极高，无法响应正常 请求
正常用户
DB连接池
DB连接池 用完啦！！
受害者(DB Server)
3.3 常见的拒绝服务攻击技术
s——需要改变选项设置的套接口；
3.5 拒绝服务攻击案例分析
1）setsockopt函数解析
用于任意类型、任意状态套接口的选项设置。
int setsockopt ( SOCKET s, int level, int optname, const char FAR * optval, int optlen );
3.3 常见的拒绝服务攻击技术
6）UDP Flood
16位源端口号（可选） 16位UDP长度 16位目的端口号（必须） 16位UDP校验和（可选）
数据
3.3 常见的拒绝服务攻击技术
7） HTTP Get攻击
正常HTTP Get请求
正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood
int setsockopt ( SOCKET s, int level, int optname, const char FAR * optval, int optlen );
optval——一个指针。
对于布尔类型的选项，如果选项设置为TRUE， optval指向非零整型数；如果选项设置为FALSE， optval指向一个等于零的整型数。这时， optlen =sizeof(int)。 对于其他选项，optval指向那个存储整型或结构 的内存地址，optlen是整型、结构的长度。
半开连接缓 冲区溢出
Source IP=IPx
X
最多可打 开的半开连 接数量 超时等待 时间
等待期内 的重试次数
不断发送大 量伪造的 TCP SYN分 段
IPx
3.3 常见的拒绝服务攻击技术
2）SYN Flood
3.3 常见的拒绝服务攻击技术
2）SYN Flood
SYN Flood攻击的检测 监视系统的半开连接数。比如：
发起方
应答方
3.5 拒绝服务攻击案例分析
——smurf攻击
1）什么是smurf攻击？
——smurf攻击是Ping to Death攻击的一种改进
缓冲区
Ping
Windows95
3.5 拒绝服务攻击案例分析
——smurf攻击
1）什么是smurf攻击？
Ping Ping
受攻击目标 服 务 器
导致服务器瘫 痪，救命啊！
受攻击目标
PC
smurf攻击
黑客
3.4 分布式拒绝服务攻击
(Distributed Denial of Service，DDoS)
②计算资源耗尽型
——利用服务器的处理缺陷，消耗目标主 机的计算资源，例如CPU、内存等。
SYN （我可以连接吗？）
ACK （可以）/SYN（请确认！）
ACK （确认连接）
使用Netstat 命令就能看到系统SYN_RCVD 的半连接数。 半连接的数量>500或占总连接数的10%以上。
3.3 常见的拒绝服务攻击技术
2）SYN Flood
应对策略
①缩短SYN Timeout时间。
②设置SYN Cookie。
就是给每一个请求连接的 IP 地址分配一个 Cookie， 如果短时间内连续受到某个IP的重 复SYN报文，就认定是受到了攻击，以后从 这个IP地址来的包会被一概丢弃。
3.3 常见的拒绝服务攻击技术
3wenku.baidu.comTCP连接耗尽攻击
（connection Flood攻击 ）
大量tcp connect
正常tcp connect 正常tcp connect 正常tcp connect 正常tcp connect 正常tcp connect 这么多？
攻击表象
利用真实 IP 地址（代理服务器、 广告页面）在服务器上建立大量 连接 服务器上残余连接(WAIT状态) 过多，效率降低，甚至资源耗尽， 无法响应
3.4 分布式拒绝服务攻击
(Distributed Denial of Service，DDoS)
每秒3,000个攻击包
每秒处理 10,000个数据包
3.4 分布式拒绝服务攻击
(Distributed Denial of Service，DDoS)
①带宽资源耗尽型
导致服务器瘫 痪，救命啊！
服 务 器
3.2 攻击的分类
1、按攻击的方式分类 直接攻击 反射攻击（中间人攻击） 分布式拒绝服务攻击 ①直接攻击
带宽资源 CPU资源 内存 磁盘、进程数、数据库连接数、文件句柄等。
3.2 攻击的分类
①直接攻击
Ping of Death SYN Flood TCP连接耗尽攻击 UDP风暴攻击等。
3.1 拒绝服务攻击的基本概念
2、特点和危害
拒绝服务攻击是非法用户向目标主机 提供的合法服务请求，因此，它具有： 易于实施
难于防范
破坏性强等特点
3.1 拒绝服务攻击的基本概念
2、特点和危害
2007年4月， “联众”被DDoS连续攻击了一 个月，损失难于估量； 2008年9月，开心网遭受DDoS攻击； 2009年5月，易名中国被DDoS攻击，上万个网 站无法打开； 2009年下半年，中国电信多个省份遭受DDoS 攻击，断网； 2009年12月，彩票直通车遭受DDoS连续攻击。
第三章
拒绝服务攻击
1）拒绝服务攻击的基本概念 2）攻击的分类 3）常见的拒绝服务攻击技术 4）分布式拒绝服务攻击 5）案例分析——smurf攻击 6）攻击工具介绍 7）拒绝服务攻击的检测和防御
3.1 拒绝服务攻击的基本概念
1、定义
拒绝服务攻击（Denial of Service，DoS ）攻击是通过向服务器、 主机发送大量的服务请求，用大量的 数据包“淹没”目标主机，迫使目标 主机疲于处理这些垃圾数据，而无法 向合法用户提供正常服务的一种攻击。
攻击者
蠕虫传播过程中会出现大量源IP 地址相同的包，对于 TCP 蠕虫则 表现为大范围扫描行为
消耗骨干设备的资源，如防火墙 的连接数
正常tcp connect
正常用户 不能建立正常的连接
受害者
3.3 常见的拒绝服务攻击技术
3）TCP连接耗尽攻击
3.3 常见的拒绝服务攻击技术
4） “泪滴”（Teardrop）攻击
3.3 常见的拒绝服务攻击技术
5）Land攻击
SYN
发起方
应答方
3.3 常见的拒绝服务攻击技术
6）UDP Flood
——在UDP协议中，每一个应用程序进程在进行通信 前，都需要向本地操作系统提出端口申请。
int bind( SOCKET s, const struct sockaddr * name, int namelen); SOCKET serSock; serSock = SOCKET(AF_INET, SOCK_DGRAM,0 ); my_addr.sin_family = AF_INET; my_addr.sin_port = htons(4000); my_addr.sin_addr.s_addr = inet_addr(“202.119.9.199”); bind(serSock, (struct sockaddr*)&my_addr, slen)
应用程序
192.168.0.4
TCP/IP 协议栈
应用程序数据
网卡A 192.168.0.4
网卡B 202.169.0.34
3.5 拒绝服务攻击案例分析
——smurf攻击
2）smurf攻击程序实现
1）setsockopt函数解析
用于任意类型、任意状态套接口的选项设置。
int setsockopt ( SOCKET s, int level, int optname, const char FAR * optval, int optlen );
攻击主机
伪装C广播一 个ICMP请求 C
ICMP响应
被攻击主机 假定，局域网内有N台计算机，攻击者发送了L KB大小的一个ICMP报文。 C将收到L×N KB字节的应答报文。当N=100万时，smurf攻击产生的应答数 据报流量可以达到1GB。
3.5 拒绝服务攻击案例分析
——smurf攻击
2）smurf攻击程序实现
level——指定控制套接字的层次。 SOL_SOCKET：通用套接字选项； IPPROTO_IP：IP选项； IPPROTO_TCP：TCP选项。 optname——套接字选项的名称
1）setsockopt函数解析
1）setsockopt函数解析
3.5 拒绝服务攻击案例分析
1）setsockopt函数解析
3.5 拒绝服务攻击案例分析
2）Sleep函数
挂起当前正在执行的线程，等待一段时 间后（单位是千分之一秒 ），例如：
Sleep(800); 3）程序分析
①文件头
0
4 报头 标长 标 生存时间
8 服务类型 识 协 议
16
19 总 长
24 度 片偏移 头校验和
31 位
3）程序分析
②结构及常量定义
版 本
Ping
洪水Ping攻击
黑客攻击的基本原则： ——用最少的攻击资源换取被攻击者最大的消耗。
3.5 拒绝服务攻击案例分析
——smurf攻击
1）什么是smurf攻击？
——smurf攻击是Ping to Death攻击的一种改进
ICMP请求报文（类型=8，回显请求）
主机A
ICMP应答报文（类型=0，回显应答）
②反射攻击
Web服务器 DNS服务器 路由器 网关
反弹服务器
3.2 攻击的分类
③分布式拒绝服务攻击 （Distributed Denial of Service，DDoS）
分布式拒绝服务攻 击瞬间能产生极大流 量，造成被攻击主机 资源耗尽，从而无法 提供服务；
攻击包的源IP具有 随机伪造性。黑客控 制主机追踪调查难度 很大。
瘫痪 攻击数据包 崩溃
3.3 常见的拒绝服务攻击技术
1）Ping of Death
C:\>ping -l 65507 192.168.1.107
65536
8 0
3.3 常见的拒绝服务攻击技术
2）SYN Flood
SYN （我可以连接吗？）
ACK （可以）/SYN（请确认！）
ACK （确认连接）
标 志
报头 源IP地址 目的IP地址 选 项 填充域
数据部分
3）程序分析
②结构及常量定义
3）程序分析
③计算校验和子函数
④ 主程序
命令格式：
FloodPing.exe FakeSourceIp DestinationIp [PacketSize]
例如：
FloodPing.exe 192.168.15.23 192.168.15.255 6400
主机B
3.5 拒绝服务攻击案例分析
——smurf攻击
1）什么是smurf攻击？
——smurf攻击是Ping to Death攻击的一种改进
主机A 主机C
伪装成主机C发送ICMP回显请求报文
主机B
错误地向主机C发送ICMP回显应答报文
3.5 拒绝服务攻击案例分析
——smurf攻击
1）什么是smurf攻击？
发起方
应答方
3.3 常见的拒绝服务攻击技术
2）SYN Flood
就是让 你白等 SYN Timeout 30秒-2分钟
为何还 没回应
伪造地址进行SYN请求
SYN （我可以连接吗？）
ACK （可以）/SYN（请确认！）
攻击者
不能建立正常的连接
受害者
3.3 常见的拒绝服务攻击技术
2）SYN Flood
8）DNS查询攻击（DNS Query Flood）
——DNS（domain name system）的作用是把用户 输入的域名转换成网络中计算机可识别的IP地址。
域名 如：”www.sw.edu.cn”
DNS
IP 地址 如：“219.245.18.240”
3.3 常见的拒绝服务攻击技术
8）DNS查询攻击（DNS Query Flood）