网络攻击常见手段与防御措施

6.1.3 DOS和DDOS的常用工具 DOS和DDOS的常用工具
根据攻击的手段不同，可以把攻击工具也分
为3类： （1）通用DOS攻击手段 ）通用DOS攻击手段 有些DOS攻击有能力影响许多不同的操 有些DOS攻击有能力影响许多不同的操 作系统，人们称它为通用的DOS攻击。 作系统，人们称它为通用的DOS攻击。 Smurf攻击（攻击手段之一）：最大特点是 Smurf攻击（攻击手段之一）：最大特点是 具有强大的放大效果。是向网络上的多个系 统发送定向广播的Ping请求。 统发送定向广播的Ping请求。
（2）资源衰竭 攻击的目标是消耗系统的资源，如CPU利用 攻击的目标是消耗系统的资源，如CPU利用 率、内存容量、文件系统限额或系统进程 总数等服务器资源。 攻击者常常滥用访问权大量消耗额外的系 统资源，使其他合法用户被剥夺了原来享 有的资源份额。 这样的攻击往往造成系统崩溃，文件系 统变满或进程被挂起的严重后果。
Smuff攻击示意图 Smuff攻击示意图
第一步： 第一步：攻击者向被利 用网络A的广播地址发 用网络 的广播地址发 送一个ICMP 协议 送一个 请求数据报， 的’echo’请求数据报， 请求数据报 该数据报源地址被伪造 成10.254.8.9
第二步：网络 上的所有 第二步：网络A上的所有 主机都向该伪造的源地址 返回一个‘ 响应， 返回一个‘echo’响应，造 响应 成该主机服务中断。 成该主机服务中断。
SYN攻击示意图 SYN攻击示意图
（2）特定于UNIX和Windows NT的DOS攻击手段 ）特定于UNIX和 NT的DOS攻击手段
IP分片重叠（攻击手段之三） IP分片重叠（攻击手段之三）
攻击目标是早期Linux内核版本的主机， 攻击目标是早期Linux内核版本的主机， 这些内核只对过长的片段执行检查，以限 制过长的片段，但对短片段却不作验证。 因此，刻意利用构造的Linux数据分组发送 因此，刻意利用构造的Linux数据分组发送 给目标主机时，有可能导致系统重启或死 机。 目前，Linux和Windows NT均有相应的补 目前，Linux和 NT均有相应的补 丁修补此漏洞。
SYN Flood（攻击手段之二） Flood（攻击手段之二）
利用了TCP协议的三次握手中的漏洞。 利用了TCP协议的三次握手中的漏洞。 有4个防范措施： 其一，增加连接队列的大小； 其二，缩短连接建立超时期限； 其三，应用厂家的相关软件补丁、检测 及规避潜在SYN攻击； 及规避潜在SYN攻击； 最后，应用网络入侵检测软件IDS产品。 最后，应用网络入侵检测软件IDS产品。 IDS能主动发送RST分组响应初始SYN请求。 IDS能主动发送RST分组响应初始SYN请求。
6.1.2
分布式拒绝服务攻击
分布式拒绝服务攻击使用与普通的拒绝服务攻击
同样的方法，但是发起攻击的源是多个。通常， 攻击者使用下载的工具渗透无保护的主机，当获 得该主机的适当的访问权限后，攻击者在主机中 安装软件的服务或进程（以下简称代理）。这些 代理保持睡眠状态，直到从它们的主控端得到指 令。主控端命令代理对指定的目标发起拒绝服务 攻击。 分布式拒绝服务攻击是指主控端可以同时对一个 目标发起几千个攻击。单个的拒绝服务攻击的威 力也许对带宽较宽的站点没有影响，而分布于全 球的几千个攻击将会产生致命的效果。
分布式拒绝服务攻击对网络的危害
此类攻击能直接阻断Internet 访问。对大 此类攻击能直接阻断Internet
多数企业来说，这将会导致资产损失和生 产力下降。一般来说，这些攻击的目的不 是穿透网络，而是将目标与外界隔离。有 的时候，攻击者采用小规模的分布式拒绝 服务攻击作为企图穿透网络的掩护，在这 种情况下，攻击者只发送使防火墙或IDS繁 种情况下，攻击者只发送使防火墙或IDS繁 忙的攻击量，而不会去淹没网关。 因为攻 击者必须给自己留下带宽去进行穿透攻击 的尝试。
攻击目的：
使计算机或网络无法提供正常的服务， 它们既不能及时接受外界的请求，也无法 及时回应外界的请求。 攻击造成的后果： 第一，消耗计算机或网络中匾乏的、不 可再生的资源。 第二，破坏或改变计算机网络中的各种 配置。 第三，破坏或摧毁计算机网络的各种硬 件设备。
常见的DOS攻击可以分为4 常见的DOS攻击可以分为4种主要类型
（3）编程缺陷 指应用程序、操作系统或嵌入式逻辑芯片在 处理异常条件上的失败。这些异常条件通常 在用户向脆弱的元件发送非期望的数据时发 生。 对于依赖用户输入的特定应用程序来说，攻 击者可能发送数千行数据串，大大地超出该 程序的缓冲区长度，使其导致缓冲区溢出而 失败。更糟糕的是，攻击者可能执行一些特 权命令。 嵌入式逻辑芯片的编程缺陷实例也较常见。
6 目标系统被无数的伪
造的请求所淹没， 造的请求所淹没，从而无 法对合法用户进行响应， 法对合法用户进行响应， DDOS攻击成功。 攻击成功。 攻击成功
Internet
Request Denied User
Targeted System
DDOS攻击的效果 DDOS攻击的效果
由于整个过程是自动化的，攻击者能 由于整个过程是自动化的， 够在5 够在5秒钟内入侵一台主机并安装攻击工 也就是说， 具。也就是说，在短短的一小时内可以 入侵数千台主机。并使某一台主机可能 入侵数千台主机。 要遭受1000MB/S数据量的猛烈攻击， 要遭受1000MB/S数据量的猛烈攻击，这 1000MB/S数据量的猛烈攻击 一数据量相当于1.04 一数据量相当于1.04亿人同时拨打某公 1.04亿人同时拨打某公 司的一部电话号码。 司的一部电话号码。
网络攻击常见手段 与防御措施
因特网上安全漏洞被发现和利用的速度远远超过
了计算机网络的发展。
安全方面的定律：“网络攻击者肯定会发现并利 安全方面的定律：“
用所有的漏洞。目标越有吸引力，漏洞被发现并 利用的速度就越快。” 利用的速度就越快。”
网络攻击和入侵的定义： 网络攻击和入侵的定义：
网络攻击：所有试图破坏网络系统的安全 网络攻击：
性的行为都叫做网络攻击。 性的行为都叫做网络攻击。 入侵：成攻的攻击。 入侵：成攻的攻击。 在某种程序上，攻击和入侵很难区别。 在某种程序上，攻击和入侵很难区别。
特洛伊木马
黑客攻击
后门、 后门、隐蔽通道
计算机病毒
网络
信息丢失、 信息丢失、篡 改、销毁 拒绝服务攻击
逻辑炸弹
蠕虫
内部、 内部、外部泄密
分布式拒绝服务攻击网络结构图
客户端 客户端
主控端
主控端
主控端
主控端
代 理 端
代 理 端
代 理 端
代 理 端
代 理 端
代 理 端
代 理 端
代 理 端
攻击目
分布式拒绝服务攻击 步骤1 步骤1
Hacker 不安全的计算机
1
攻击者使用扫描工具 探测扫描大量主机以 寻找潜在入侵目标。 寻找潜在入侵目标。
Internet
Βιβλιοθήκη Baidu
分布式拒绝服务攻击 步骤5 步骤5
Hacker Master Server 被控制计算机（代理端） 被控制计算机（代理端）
5
主机发送攻击信号给被控 制计算机开始对目标系统 发起攻击。 发起攻击。
Internet
Targeted System
分布式拒绝服务攻击 步骤6 步骤6
Hacker Master Server 被控制计算机（代理端） 被控制计算机（代理端）
3
Internet
分布式拒绝服务攻击 步骤4 步骤4
Hacker 被控制计算机（代理端） 被控制计算机（代理端） Master Server
黑客发送控制命令给主机， 黑客发送控制命令给主机， 准备启动对目标系统的攻击
4 Using Client program,
Internet
Targeted System
Smurf攻击防范措施 Smurf攻击防范措施
在边界路由器上禁止定向广播，对于Cisco 在边界路由器上禁止定向广播，对于Cisco
路由器来说，可使用“ 路由器来说，可使用“no ip directed broadcast” broadcast”命令禁止定向广播。 可以使用具备认证访问率功能的路由器， 使ICMP分组限制在某个合理的数量内。 ICMP分组限制在某个合理的数量内。 对某些操作系统，如：Linux可通过“ipfw” 对某些操作系统，如：Linux可通过“ipfw” 接口使用内核级防火墙功能就可以防止 Linux系统对广播的ICMP回应请求作出响应。 Linux系统对广播的ICMP回应请求作出响应。 UNIX系统应在／etc／inetd／conf文件中 UNIX系统应在／etc／inetd／conf文件中 的Echo和Chargen服务前加上“#’号，从而 Echo和Chargen服务前加上“ 禁止这两个服务。
各种攻击及造成的破坏：
端口扫描攻击：破坏系统的保密性； 端口扫描攻击：破坏系统的保密性 破坏系统的保密性； 特洛伊木马攻击：破坏系统的完整性； 特洛伊木马攻击：破坏系统的完整性 破坏系统的完整性； 拒绝服务攻击、电子邮件炸弹攻击：破坏系统的 拒绝服务攻击、电子邮件炸弹攻击：破坏系统的
可用性； 可用性； 网络欺骗性攻击(包括IP 网络欺骗性攻击(包括IP欺骗、Web欺骗、DNS欺 IP欺骗、Web Web欺骗、DNS DNS欺 骗和Cookie欺骗等) 对系统的保密性、身份认证、 骗和Cookie欺骗等)：对系统的保密性、身份认证、 数据鉴别和反否认以及数据完整性的破坏； 数据鉴别和反否认以及数据完整性的破坏； 缓冲区溢出攻击：可以导致程序运行失败 缓冲区溢出攻击：可以导致程序运行失败、系统 可以导致程序运行失败、 死机、重新启动等后果。 死机、重新启动等后果。更为严重的是利用它执 行非授权指令，甚至可取得系统特权， 行非授权指令，甚至可取得系统特权，进行各种 非法操作。 非法操作。
（1）带宽耗尽 本质是消耗通达某个网络的所有可用的带 宽。这可以在本地网上攻击，也可以实施 远程攻击，更常见的是远程消耗资源。 带宽消耗可以分为两种情形： 第一种情形是攻击者比目标网络拥有更 多的可用带宽。第二种情形是攻击者通过 征用多个网点集中阻塞目标网络的连接以 放大DOS的入侵效果。 放大DOS的入侵效果。 这样的攻击，使用大量的假的源地址， 从而更难找出真正的攻击主机。
Scanning Program
分布式拒绝服务攻击 步骤2 步骤2 Hacker
被控制的计算机(代理端 被控制的计算机 代理端) 代理端
2
黑客设法入侵有安全漏洞 的主机并获取控制权。 的主机并获取控制权。这 些主机将被用于放置后门、 些主机将被用于放置后门、 sniffer或守护程序甚至是 或守护程序甚至是 客户程序。 客户程序。
Internet
分布式拒绝服务攻击 步骤3 步骤3
Hacker Master Server 被控制计算机（代理端） 被控制计算机（代理端）
黑客在得到入侵计算机 黑客在得到入侵计算机 清单后， 清单后，从中选出满足建 立网络所需要的主机， 立网络所需要的主机，放 置已编译好的守护程序， 置已编译好的守护程序， 并对被控制的计算机发送 并对被控制的计算机发送 命令。 命令。
（4）基于路由和DNS攻击 ）基于路由和DNS攻击 基于路由的DOS攻击涉及攻击者操纵路 基于路由的DOS攻击涉及攻击者操纵路 由表项以拒绝对合法系统或网络提供服 务。 DNS攻击使受攻击者的域名服务器高速 DNS攻击使受攻击者的域名服务器高速 缓存虚假的地址信息，并使网络分组路 由到不该去的网站或网络黑洞中。 现实中有的大型网站长时间无法访问的 原因都是与DNS相关的DOS攻击造成的。 原因都是与DNS相关的DOS攻击造成的。
6.1 拒绝报务攻击
DOS— DOS—拒绝服务攻击 DDOS—分布式拒绝服务攻击 DDOS—
6.1.1 拒绝服务攻击 定义：通过大量通信量网络或服务器瘫痪。 定义：通过大量通信量网络或服务器瘫痪。 类似于几百个人同时拨一个电话，导致电话 繁忙和不可用。这些攻击也会发送一些“ 繁忙和不可用。这些攻击也会发送一些“特 殊”的包，使远程的软件或服务瘫痪。这类 攻击往往发送大量无用的包如SYN或PING。 攻击往往发送大量无用的包如SYN或PING。 大多数防火墙和入侵检测系统能够识别和报 告这些攻击。