拒绝服务攻击专题1

占网络或者设备有限的处理能力。
最常见的DoS攻击是资源型风暴攻击，如：计算机网
络带宽攻击和连通性攻击。

带宽攻击是以极大的通信量冲击网络，使网络所有可用的带 宽都被消耗掉，最后导致合法用户的请求无法通过。 连通性攻击指用大量的连接请求冲击计算机，最终导致计算 机无法再处理合法用户的请求。

DoS攻击的基本过程
如何组织一次DDoS攻击
2. 占领傀儡机
黑客最感兴趣的是有下列情况的主机：

性能好的主机 负载轻的主机 安全管理水平差的主机
如何组织一次DDoS攻击
首先，黑客做的工作是扫描，随机地或者是有针对性
地利用扫描器去发现互联网上那些有漏洞的机器，象 程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…， 然后有针对性尝试入侵。

攻击类型
按照攻击机制将拒绝服务攻击分为3类

第一类是风暴型（Flood Type）攻击，攻击者通过大量 的无用数据包（非正常用户的正常请求，这些数据包是 旨在攻击受害者，由攻击者发出的或者由攻击主机响应 攻击者的指令而发出的，因此有时也称之为攻击性数据 包）占用过多的资源以达到拒绝服务的目的。

当防火墙中代理连接的队列被填满时，防火墙拒绝来自相同区 域中所有地址的新SYN片段，避免网络主机遭受不完整的三次 握手的攻击。
这种方法在攻击流量较大的时候，连接出现较大的延迟，网络 的负载较高，很多情况下反而成为整个网络的瓶颈。

SYN Flood防护策略

这种攻击有时也称为带宽攻击（Bandwidth Attack）， 原因是其常常占用大量的带宽。
攻击类型

风暴攻击的效果完全依赖于数据包的数量，仅当大量的 数据包传到目标系统（受害者）时，攻击方才有效。 分布式拒绝服务攻击表明，即使是拥有大量资源的网络 在风暴型攻击下也难以幸免。

攻击类型

第二类是剧毒包（Killer Packet）型攻击，它主要是利 用协议本身或者其软件实现中的漏洞，通过一些非正常 的（畸形的）数据包使得受害者系统在处理时出现异常， 导致受害者系统崩溃。
发布命令而不参与实际的攻击。
对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应
的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待 来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。
在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行
控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。
占领一台傀儡机后，他会把DDoS攻击用的程序上载
过去，一般是利用ftp。在攻击傀儡机上，会有一个
DDoS的发包程序，黑客就是利用它来向受害目标发 送恶意攻击包的。
如何组织一次DDoS攻击
3. 实际攻击
经过前2个阶段的精心准备之后，实际攻击过程反而比较简单。

黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令； 埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一 起向受害主机以高速度发送大量的数据包，导致它死机或是 无法响应正常的请求。 攻击者一边攻击，还会用各种手段来监视攻击的效果，在需 要的时候进行一些调整。如：开个窗口不断地ping目标主机， 在能接到回应的时候就再加大一些流量或是再命令更多的傀 儡机来加入攻击。
用三次握手建立 TCP 连接
客户 A CLOSED
服务器 B CLOSED 被动打开
主动打开
• B 的 TCP 收到连接请求报文段后，如同意，则 发回确认。 • B 在确认报文段中应使 SYN = 1，使 ACK = 1， 其确认号ack = x 1，自己选择的序号 seq = y。
• A 收到此报文段后向 B 给出确认，其 ACK = 1， 确认号 ack = y 1。 • A 的 TCP 通知上层应用进程，连接已经建立。
SYN Flood（同步洪流）利用TCP的缺陷进行攻击。
32 位
位 0 8 源 端 口 序 号 TCP 首部 确 认 号 窗 口 紧 急 指 针 （长 度 可 变） 填 充 20 字节的 固定首部 16 24 目 的 端 口 31
首部 长度
保 留 检 验 和 选 项
U A P R S F R C S S Y I G K H T N N

攻击类型
第三类攻击称为重定向攻击，它既不是利用剧
毒包，也不是利用风暴来攻击受害者。它是通 过修改网络中的一些参数如ARP表、DNS缓存， 使得从受害者发出的或者发向受害者的数据包 被重定向到了其他的地方。
风暴型（ Flood ）攻击
1. 2. 3. 4. 5.
SYN Flood攻击
ACK Flood攻击 Smurf攻击 Connection Flood攻击 HTTP Get攻击
大增加，这使得DoS攻击的困难程度加大了---- 目标对 恶意攻击包的“消化能力”加强了不少， DoS攻击效 果不明显。
攻击运行原理
DDoS攻击体系结构
攻击运行原理
个比较完善的DDoS攻击体系分成四大部分，
黑客
控制傀儡机
攻击傀儡机
受害者
对受害者来说，DDoS的实际攻击包是从攻击傀儡机上发出的，控制机只
攻击运行原理
被DoS/DDos攻击时的现象

网络中充斥着大量的无用的数据包，源地址为 假。
制造高流量无用数据，造成网络拥塞，使受害 主机无法正常和外界通讯。 受害主机无法及时处理所有正常请求。


受害主机响应缓慢，严重时会造成系统死机。
如何组织一次DDoS攻击
1. 搜集了解目标的情况
下列情况是黑客非常关心的情报：

被攻击目标主机数目、地址情况 目标主机的配置、性能 目标的带宽
如何组织一次DDoS攻击
对于DDoS攻击者来说，攻击互联网上的某个站点，首
先要确定到底有多少台主机在支持这个站点，一个大的 网站一般有很多台主机利用负载均衡技术提供同一个网 站的www服务。
以yahoo为例，一般会有下列地址都是提供
攻击者
带有虚假地址的请求
被攻击 目标
回复请求 等待响应
虚假地址
二. 分布式拒绝服务攻击DDoS
DDoS攻击手段是在传统的DoS攻击基础之上产生的一
类攻击方式。
单一的DoS攻击一般是采用一对一方式的，当攻击目
பைடு நூலகம்
标CPU速度低、内存小或者网络带宽小等等各项性能 指标不高时，它的效果是明显的。
随着计算机的处理能力迅速增长，内存和网络带宽大
优化路由器配置

加强监测

在网络的关键点上安装监测软件，持续监视TCP/IP流量，分 析通信状态，辨别攻击行为。
SYN Flood防护策略
防火墙

有些防火墙具有SYN Proxy功能，这种方法设置每秒通过指定 对象（目标地址和端口、仅目标地址或仅源地址）的SYN片段 数的阈值，当来自相同源地址或发往相同目标地址的SYN片段 数达到这些阈值之一时，防火墙就开始截取连接请求和代理回 复SYN/ACK片段，并将不完全的连接请求存储到连接队列中直 到连接完成或请求超时。
6.
UDP DNS Query Flood攻击
攻击实例1-- SYN Flood攻击
SYN-Flood是目前最流行的DDoS攻击手段之一 。 SYN-Flood的攻击效果好，是众黑客不约而同选择它
的原因。
Syn Flood利用了TCP/IP协议的固有漏洞。面向连接
的TCP三次握手是Syn Flood存在的基础。
服务：系统提供的，用户在对其使用中会受益的功能。
拒绝服务：任何对服务的干涉，如果使其可用性降低或
者失去可用性均称为拒绝服务。
拒绝服务攻击：是指攻击者通过某种手段，有意地造成
计算机或网络不能正常运转，从而不能向合法用户提供 所需要的服务或者使得服务质量降低。
一. 拒绝服务攻击DoS
拒绝服务攻击有的利用了网络协议的缺陷，有的则抢

由于这类攻击主要是利用协议或软件漏洞来达到攻击效 果的，因此，有的也称这类攻击为漏洞攻击，也有称之 为协议攻击的。
攻击类型

由于这类攻击对攻击者的运算能力或带宽没有要求， 一个通过Modem连接的低档的PC机就可以攻破一 个具有高带宽的大型系统。因此，这类攻击也是一 种非对称DoS攻击。
此类攻击一般可以通过打补丁或者在防火墙处过滤 特定的畸形数据包达到对受害者的保护目的。
客户 A CLOSED 服务器 B CLOSED 被动打开
主动打开
• B 的 TCP 收到主机 A 的确认后，也通知其上层 应用进程：TCP 连接已经建立。
客户 A CLOSED 服务器 B CLOSED 被动打开
主动打开
数据传送
SYN Flood原理
假设一个客户向服务器发送了SYN报文段后突然掉线，那么服务
第10章 网络攻防与入侵检测
拒绝服务攻击DoS与 分布式拒绝服务攻击DDoS
内容预览
相关概念

拒绝服务攻击DoS 分布式拒绝服务攻击DDoS
攻击运行原理 如何组织一次DDoS攻击
攻击类型

风暴型（ Flood ）攻击 剧毒包（Killer Packet）攻击

重定向攻击
攻击实例
如何组织一次DDoS攻击
所以说事先搜集情报对DDoS攻击者来说是非常重要的，
这关系到使用多少台傀儡机才能达到效果的问题。
如果黑客不进行情报的搜集而直接进行DDoS的攻击，
盲目性就很大。
一般来讲，在相同的条件下，攻击同一站点的主机需要
相同台傀儡机的话，但做攻击的傀儡机越多越好，不管 有多少台主机，用尽量多的傀儡机来攻就是了，傀儡机 越多效果越好。
TCP 报文段
TCP 首部
TCP 数据部分
发送在前
IP 首部 IP 数据部分
用三次握手建立 TCP 连接
客户 A CLOSED
服务器 B CLOSED 被动打开
主动打开
A 的 TCP 向 B 发出连接请求报文段，其首部中的 同步位 SYN = 1，并选择序号 seq = x，表明传送 数据时的第一个数据字节的序号是 x。
用来存放所使用的协议，地址、端口、时钟以及初始序号等信息， 这些内存资源大约占用280字节。
SYN Flood原理
当一个服务器收到大量连续的SYN包时，就会为这些
连接分配必要的内存资源，这些半连接将耗尽系统的 内存资源和CPU时间，从而拒绝为合法的用户提供服 务。
此时从正常客户的角度看来，服务器失去响应，这种
66.218.71.87这台机器瘫掉，但其他的主机还是能向外 提供服务，所以想让别人访问不到http://www.yahoo.com， 要所有这些IP地址的机器都瘫掉才行。
在实际的应用中，一个IP地址往往还代表着数台机器：
网站维护者把对一个IP地址的访问以特定的算法分配到 下属的每个主机上去。这时对于DDoS攻击者来说情况 就更复杂了，他面对的任务可能是让几十台主机的服务 都不正常。
器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的 （第三次握手无法完成），这种情况下服务器端一般会重试（再 次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成 的连接，这段时间的长度称为SYN Timeout，一般来说这个时间 大约为30秒-2分钟；
同时，对于每个连接，双方都要为这个连接分配必要的内存资源，

风暴型（ Flood ）攻击

SYN Flood攻击 Smurf攻击 UDP DNS Query Flood攻击 Teardrop攻击 小片段攻击 重叠分片攻击 重组攻击 Land攻击 Echo Chargen攻击

剧毒包攻击




循环攻击

分布式反射拒绝服务DRDoS
相关概念
情况我们称做：服务器端受到了SYN Flood攻击
（SYN洪水攻击）。
SYN Flood防护策略
优化系统配置

缩短超时时间，使无效的半连接尽快释放，也可能导致某些 合法连接失败；
增加半连接队列长度，使系统能够处理更多的半连接；

关闭不必要或不重要的服务，减少被攻击的机会。
丢弃那些来自内网而源地址具有外网IP地址的包。
http://www.yahoo.com服务的：
66.218.71.87 66.218.71.89 66.218.71.81 66.218.71.84 66.218.71.88 66.218.71.80 66.218.71.83 66.218.71.86
如何组织一次DDoS攻击
如果要进行DDoS攻击的话，应该攻击哪个地址呢？使