拒绝服务攻击原理解析

2007.03【技术研究与应用】拒绝服务攻击原理解析广义而言，DDoS攻击属于DoS攻击。狭义而言，DoS攻击指的是单一攻击者针对单一受害者的攻击，这是传统的拒绝服务攻击；而DDoS攻击则是多个攻击者向同一个受害者发起攻击，其具有攻击来源的分散性和攻击力度的汇聚性，其攻击力度比单一的DoS攻击大很多，这是相对较新型的拒绝服务攻击。DDoS攻击一般都是用于一些需要靠规模才能奏效的攻击种类，如SYN风暴、UDP风暴等，对于只需少数几个数据包即可奏效的攻击（即后面将要讨论的剧毒包攻击），虽然也可以采用分布式方式，但这时候的“分布式”却没有什么实质的意义，因为这是一个主机就可以轻松完成的工作，自然无需多个主机协同进行。拒绝服务攻击的动机是多种多样的，主要有：为练习攻击的手段，作为特权提升攻击的辅助手段，报复，政治原因，经济原因，炫耀，恶作剧或单纯为了破坏等。一般来说，DDoS攻击具有收集目标信息、占领傀儡机和控制台攻击的实施三个典型的阶段。典型的拒绝服务攻击拒绝服务攻击的分类方法有多种，不同的应用场合采用不同的分类。这里，我们把所有的拒绝服务攻击分成3类，第一类是杀手包或剧毒包（killer packet）型攻击，它主要是利用协议本身或者其软件实现中的漏洞，通过一些非正常的（畸形的）数据包使得受害者系统在处理时出现异常，导致受害者系统崩溃。第二类是风暴型（flood type）攻击，攻击者通过大量的无用数据包占用网络或系统资源，导致拒绝服务。第三类攻击我们称为重定向攻击，它是通过修改网络中的一些参数如ARP表、DNS缓存，使得从受害者发出的或者发向受害者的数据包被重定向到了其他的地方。这种方法常常是用于窃听或者中间人攻击，但是，如果数据包被重定向到不存在的主机或者存在但不将数据包转发到其真正目的地的主机，则构成实际的拒绝服务。本文主要讨论前两种典型的攻击。剧毒包型DoS攻击WinNuke攻击：又称带外传输（OOB）攻击，它的特征是以带外数据攻击目标端口，导致受害者处理带外数据时出现异常，从而使得系统停止响应并在显示器上出现蓝屏（blue screen），因此有的也称其为蓝屏攻击。被攻击的目标端口通常是139、138、137、113、53。WinNuke攻击是较早出现的拒绝服务攻击，以致后来的一段时间里，人们称拒绝服务攻击为Nuke攻击。碎片攻击（Teardrop）：利用Windows 95、Windows NT和Windows 3.1等系统中处理IP分片（IP fragment）的漏洞，向受害者发送偏移地址重叠的分片UDP数据包，使得目标机器在将分片重组时出现异常错误，导致目标系统崩溃或重启。Land攻

击：是向受害者发送TCP-SYN包，而这些包的源IP地址和目的IP地址被伪造成相同的，即受害者的IP地址，源端口和目的端口也是相同的，目标系统在收到这样的包以后可能会挂起、崩溃或者重启。Ping of death：向受害者发送超长的ping数据包，导致受害者系统异常。
中科院软件所信息安全国家重点实验室李德全拒绝服务（DoS）攻击是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低。分布式拒绝服务（DDoS）攻击则是指处于不同位置的多个攻击者同时向一个或数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器（称为傀儡机）并利用这些机器对受害者同时实施攻击。642007.03【技术研究与应用】拒绝服务攻击原理解析广义而言，DDoS攻击属于DoS攻击。狭义而言，DoS攻击指的是单一攻击者针对单一受害者的攻击，这是传统的拒绝服务攻击；而DDoS攻击则是多个攻击者向同一个受害者发起攻击，其具有攻击来源的分散性和攻击力度的汇聚性，其攻击力度比单一的DoS攻击大很多，这是相对较新型的拒绝服务攻击。DDoS攻击一般都是用于一些需要靠规模才能奏效的攻击种类，如SYN风暴、UDP风暴等，对于只需少数几个数据包即可奏效的攻击（即后面将要讨论的剧毒包攻击），虽然也可以采用分布式方式，但这时候的“分布式”却没有什么实质的意义，因为这是一个主机就可以轻松完成的工作，自然无需多个主机协同进行。拒绝服务攻击的动机是多种多样的，主要有：为练习攻击的手段，作为特权提升攻击的辅助手段，报复，政治原因，经济原因，炫耀，恶作剧或单纯为了破坏等。一般来说，DDoS攻击具有收集目标信息、占领傀儡机和控制台攻击的实施三个典型的阶段。典型的拒绝服务攻击拒绝服务攻击的分类方法有多种，不同的应用场合采用不同的分类。这里，我们把所有的拒绝服务攻击分成3类，第一类是杀手包或剧毒包（killer packet）型攻击，它主要是利用协议本身或者其软件实现中的漏洞，通过一些非正常的（畸形的）数据包使得受害者系统在处理时出现异常，导致受害者系统崩溃。第二类是风暴型（flood type）攻击，攻击者通过大量的无用数据包占用网络或系统资源，导致拒绝服务。第三类攻击我们称为重定向攻击，它是通过修改网络中的一些参数如ARP表、DNS缓存，使得从受害者发出的或者发向受害者的数据包被重定向到了其他的地方。这种方法常常是用于窃听或者中间人攻击，但是，如果数据包被重定向到不存在的主机或者存在但不将数据包转发到其真

正目的地的主机，则构成实际的拒绝服务。本文主要讨论前两种典型的攻击。剧毒包型DoS攻击WinNuke攻击：又称带外传输（OOB）攻击，它的特征是以带外数据攻击目标端口，导致受害者处理带外数据时出现异常，从而使得系统停止响应并在显示器上出现蓝屏（blue screen），因此有的也称其为蓝屏攻击。被攻击的目标端口通常是139、138、137、113、53。WinNuke攻击是较早出现的拒绝服务攻击，以致后来的一段时间里，人们称拒绝服务攻击为Nuke攻击。碎片攻击（Teardrop）：利用Windows 95、Windows NT和Windows 3.1等系统中处理IP分片（IP fragment）的漏洞，向受害者发送偏移地址重叠的分片UDP数据包，使得目标机器在将分片重组时出现异常错误，导致目标系统崩溃或重启。Land攻击：是向受害者发送TCP-SYN包，而这些包的源IP地址和目的IP地址被伪造成相同的，即受害者的IP地址，源端口和目的端口也是相同的，目标系统在收到这样的包以后可能会挂起、崩溃或者重启。Ping of death：向受害者发送超长的ping数据包，导致受害者系统异常。
中科院软件所信息安全国家重点实验室李德全拒绝服务（DoS）攻击是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低。分布式拒绝服务（DDoS）攻击则是指处于不同位置的多个攻击者同时向一个或数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器（称为傀儡机）并利用这些机器对受害者同时实施攻击。64 2007.03【技术研究与应用】拒绝服务攻击原理解析广义而言，DDoS攻击属于DoS攻击。狭义而言，DoS攻击指的是单一攻击者针对单一受害者的攻击，这是传统的拒绝服务攻击；而DDoS攻击则是多个攻击者向同一个受害者发起攻击，其具有攻击来源的分散性和攻击力度的汇聚性，其攻击力度比单一的DoS攻击大很多，这是相对较新型的拒绝服务攻击。DDoS攻击一般都是用于一些需要靠规模才能奏效的攻击种类，如SYN风暴、UDP风暴等，对于只需少数几个数据包即可奏效的攻击（即后面将要讨论的剧毒包攻击），虽然也可以采用分布式方式，但这时候的“分布式”却没有什么实质的意义，因为这是一个主机就可以轻松完成的工作，自然无需多个主机协同进行。拒绝服务攻击的动机是多种多样的，主要有：为练习攻击的手段，作为特权提升攻击的辅助手段，报复，政治原因，经济原因，炫耀，恶作剧或单纯为了破坏等。一般来说，DDoS攻击具有收集目标信

息、占领傀儡机和控制台攻击的实施三个典型的阶段。典型的拒绝服务攻击拒绝服务攻击的分类方法有多种，不同的应用场合采用不同的分类。这里，我们把所有的拒绝服务攻击分成3类，第一类是杀手包或剧毒包（killer packet）型攻击，它主要是利用协议本身或者其软件实现中的漏洞，通过一些非正常的（畸形的）数据包使得受害者系统在处理时出现异常，导致受害者系统崩溃。第二类是风暴型（flood type）攻击，攻击者通过大量的无用数据包占用网络或系统资源，导致拒绝服务。第三类攻击我们称为重定向攻击，它是通过修改网络中的一些参数如ARP表、DNS缓存，使得从受害者发出的或者发向受害者的数据包被重定向到了其他的地方。这种方法常常是用于窃听或者中间人攻击，但是，如果数据包被重定向到不存在的主机或者存在但不将数据包转发到其真正目的地的主机，则构成实际的拒绝服务。本文主要讨论前两种典型的攻击。剧毒包型DoS攻击WinNuke攻击：又称带外传输（OOB）攻击，它的特征是以带外数据攻击目标端口，导致受害者处理带外数据时出现异常，从而使得系统停止响应并在显示器上出现蓝屏（blue screen），因此有的也称其为蓝屏攻击。被攻击的目标端口通常是139、138、137、113、53。WinNuke攻击是较早出现的拒绝服务攻击，以致后来的一段时间里，人们称拒绝服务攻击为Nuke攻击。碎片攻击（Teardrop）：利用Windows 95、Windows NT和Windows 3.1等系统中处理IP分片（IP fragment）的漏洞，向受害者发送偏移地址重叠的分片UDP数据包，使得目标机器在将分片重组时出现异常错误，导致目标系统崩溃或重启。Land攻击：是向受害者发送TCP-SYN包，而这些包的源IP地址和目的IP地址被伪造成相同的，即受害者的IP地址，源端口和目的端口也是相同的，目标系统在收到这样的包以后可能会挂起、崩溃或者重启。Ping of death：向受害者发送超长的ping数据包，导致受害者系统异常。■中科院软件所信息安全国家重点实验室李德全拒绝服务（DoS）攻击是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低。分布式拒绝服务（DDoS）攻击则是指处于不同位置的多个攻击者同时向一个或数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器（称为傀儡机）并利用这些机器对受害者同时实施攻击。64