拒绝服务攻击及防御

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,拒绝服务攻击及防御,信息安全系列培训之三,1,大纲,2,拒绝服务攻击原理,3,什么是拒绝服务攻击,DoS (Denial of Service),攻击其中文含义是拒绝服务攻击，这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。,黑客不正当地采用标准协议或连接方法，向攻击的服务发出大量的讯息，占用及超越受攻击服务器所能处理的能力，使它当,(Down),机或不能正常地为用户服务。,4,属性分类法,攻击静态属性（,Static,）,攻击控制,模式,攻击通信模式,攻击技术原理,攻击协议和攻击协议层,攻击动态属性,（,Dynamic,）,攻击源地址类型,攻击包数据生成模式,攻击目标类型,交互属性（,Mutual,）,攻击的可检测程度,攻击影响,5,攻击静态属性,（,1,）攻击,控制方式,（,ControlMode,）,攻击控制方式直接关系到攻击源的隐蔽程度。根据攻击者控制攻击机的方式可以分为以下三个等级：直接控制方式（,Direct,）、间接控制方式（,Indirect,）和自动控制方式（,Auto,）。,（,2,）攻击通信方式（,CommMode,）,在间接控制的攻击中，控制者和攻击机之间可以使用多种通信方式，它们之间使用的通信方式也是影响追踪难度的重要因素之一。攻击通信方式可以分为三种方式，分别是：双向通信方式（,bi,）、单向通信方式（,mono,）和间接通信方式（,indirection,）。,6,攻击静态属性,3,）攻击原理（,Principle,）,DoS,攻击原理主要分为两种，分别是：语义攻击（,Semantic,）和,暴力攻击,（,Brute,）。,语义攻击指的是利用目标系统实现时的缺陷和漏洞，对目标主机进行的拒绝服务攻击，这种攻击往往不需要攻击者具有很高的攻击带宽，有时只需要发送,1,个数据包就可以达到攻击目的，对这种攻击的防范只需要修补系统中存在的缺陷即可。,暴力攻击指的是不需要目标系统存在漏洞或缺陷，而是仅仅靠发送超过目标系统服务能力的服务请求数量来达到攻击的目的，也就是通常所说的风暴攻击。,7,攻击静态属性,（,4,）攻击协议层（,ProLayer,）,攻击所在的,TCP/IP,协议,层可以分为以下四类：,数据链路层,、,网络层,、,传输层,和,应用层,。,数据链路层的拒绝服务攻击受协议本身限制，只能发生在,局域网,内部，这种类型的攻击比较少见。针对,IP,层的攻击主要是针对目标系统处理,IP,包时所出现的漏洞进行的，如,IP,碎片攻击,Anderson01,，针对传输层的攻击在实际中出现较多，,SYN,风暴、,ACK,风暴等都是这类攻击，面向应用层的攻击也较多，剧毒包攻击中很多利用,应用程序,漏洞的（例如缓冲区溢出的攻击）都属于此类型。,（,5,）攻击协议（,ProName,）,攻击所涉及的最高层的具体协议，如,SMTP,、,ICMP,、,UDP,、,HTTP,等。攻击所涉及的协议层越高，则受害者对攻击包进行分析所需消耗的计算资源就越大。,8,攻击动态属性,（,Dynamic,）,（,1,）攻击源地址类型（,SourceIP,）,攻击者在攻击包中使用的源地址类型可以分为三种：,真实地址（,True,）,伪造合法地址（,Forge Legal,）,伪造非法地址（,Forge Illegal,）,（,2,）攻击包数据生成模式（,DataMode,）,攻击包中包含的数据信息模式主要有,5,种：,不需要生成数据（,None,）,统一生成模式（,Unique,）,随机生成模式（,Random,）,字典模式（,Dictionary,）,生成函数模式（,Function,）,9,攻击动态属性,（,Dynamic,）,（,3,）攻击目标类型（,Target,）,攻击目标类型可以分为以下,6,类：,应用程序（,Application,）,系统（,System,）,网络,关键资源,（,Critical,）,网络（,Network,）,网络基础设施,（,Infrastructure,）,因特网,（,Internet,）,10,交互属性（,Mutual,）,（,1,）可检测程度（,Detective,）,根据能否对攻击数据包进行检测和过滤，受害者对攻击数据的检测能力从低到高分为以下三个等级：,可过滤（,Filterable,）,有特征但无法过滤（,Unfilterable,）,无法识别（,Noncharacterizable,）,（,2,）攻击影响（,Impact,）,根据攻击对目标造成的破坏程度，攻击影响自低向高可以分为：,无效（,None,）,服务降低（,Degrade,）,可自恢复的服务破坏（,Self-recoverable,）,可人工恢复的服务破坏（,Manu-recoverable,）,不可恢复的服务破坏（,Non-recoverable,）,11,舞厅分类法,12,舞厅分类法,主干,节点,1-2,舞伴类,节点,3-7,风暴类,节点,8-16,陷阱类,节点,18-22,介入类,节点,23-37,13,DDOS攻击的典型过程,获取目标信息,信息收集,Whois,Nslookup,网上公开信息,搜索引擎,网络刺探,Tracerouter,网络扫描,漏洞扫描,14,DDOS攻击的典型过程,占领傀儡机,实施攻击,15,拒绝服务攻击原理,16,典型的拒绝服务攻击,17,剧毒包型DoS攻击,WinNuke攻击,碎片（Teardrop）攻击,Land攻击,Ping of death攻击,18,WinNuke攻击,攻击特征：,WinNuke,攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是,139,、,138,、,137,、,113,、,53,，而且,URG,位设为“,1”,，即紧急模式。,检测方法：,判断数据包目标端口是否为,139,、,138,、,137,等，并判断,URG,位是否为“,1”,。,反攻击方法：,适当配置防火墙设备或过滤路由器就可以防止这种攻击手段（丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的,MAC,地址和,IP,地址,MAC,）。,19,碎片(Teardrop)攻击,攻击特征：,Teardrop,是基于,UDP,的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的,IP,包（,IP,分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。,检测方法：,对接收到的分片数据包进行分析，计算数据包的片偏移量（,Offset,）是否有误。,反攻击方法：,添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。,20,Land攻击,攻击特征：,用于,Land,攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。,检测方法：,判断网络数据包的源地址和目标地址是否相同。,反攻击方法：,适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为（一般是丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的,MAC,地址和,IP,地址）。,21,Ping,of,death,攻击,攻击特征：,该攻击数据包大于,65535,个字节。由于部分操作系统接收到长度大于,65535,字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。,检测方法：,判断数据包的大小是否大于,65535,个字节。,反攻击方法：,使用新的补丁程序，当收到大于,65535,个字节的数据包时，丢弃该数据包，并进行系统审计。,22,风暴型DoS攻击,直接风暴型攻击,Ping,风暴攻击,SYN,风暴攻击,TCP,连接耗尽攻击,UDP,风暴攻击,对邮件系统的拒绝服务攻击,HTTP,风暴攻击,反射攻击,一般意义的反射攻击,放大式反射攻击,23,直接风暴攻击,Ping,风暴攻击,单纯向受害者发送大量,ICMP,回应请求消息,SYN,风暴攻击,TCP,连接耗尽攻击,UDP,风暴攻击,占用网络带宽,对邮件系统的拒绝服务攻击,邮件炸弹,垃圾邮件,HTTP,风暴攻击,24,反射攻击,一般意义的反射攻击,攻击者利用了反射器会响应一个消息的要求而自行产生一个回应消息的特征或能力,凡是支持,“,自动消息生成,”,的协议,包括,TCP,、,UDP,、各种,ICMP,消息，应用协议等，都可能被用于反射攻击,与其它的分布式拒绝服务攻击不同，分布式反射攻击不依赖于系统漏洞，任何系统都可能成为反射攻击的“帮凶”,SYN-ACK,消息或者,RST,消息是攻击者常利用的消息类型,当使用,SYN-ACK,进行攻击时，反射器就像,SYN,风暴攻击的受害者。,25,反射攻击,26,放大式放大攻击,Smurf,攻击,通过使用将回复地址设置成受害网络的广播地址的,ICMP,应答请求,(ping),数据包，来淹没受害主机，最终导致该网络的所有主机都对此,ICMP,应答请求做出答复，导致,网络阻塞,。更加复杂的,Smurf,将源地址改为第三方的受害者，最终导致第三方崩溃。,27,放大式攻击,Fraggle,攻击,Fraggle,攻击,对,Smurf,攻击,作了简单的修改，使用的是,UDP,应答消息而非,ICMP,。,防御：在,防火墙,上过滤掉,UDP,应答消息。,以,CISCO,的,ASA,为例,class-map fraggle -,定义端口号和协议号,match port udp eq echo,policy-map fraggle -,策略匹配,设置最大连接数为,1,class fraggle,set connection conn-max 1,service-policy fraggle interface inside -,在接口上应用,28,放大攻击,Fraggle攻击,29,DoS,工具与傀儡网络,30,DoS工具分析,Trinoo,TFN,Stacheldraht,Shaft,TFN2K,31,傀儡网络,什么是傀儡网络,傀儡网络的危害,傀儡网络工作原理,傀儡网络攻击实现,32,什么是傀儡网络,BotNet，也称僵尸网络，指攻击者利用互联网用户的计算机建立的可以集中控制的用于其险恶用途的计算机群，包括控制手段等。,33,傀儡网络的危害,蠕虫扩散,分布式拒绝服务攻击,发送垃圾邮件,窃取秘密信息,窃取资源,作为跳板,34,傀儡网络工作原理,IRC,协议,应用层协议,C/S,模式,默认端口：,TCP,6667,35,傀儡网络攻击实现,发动大规模分布式拒绝服务攻击（DDOS）,利用傀儡网络进行钓鱼（Phishing）攻击,利用傀儡网络开设HTTP代理,利用傀儡网络发送垃圾邮件,利用傀儡进行漏洞扫描,安装间谍软件,36,蠕虫攻击及其对策,37,蠕虫常见传播策略,选择性随机扫描,顺序扫描,基于目标列表的扫描,基于路由的扫描,基于,DNS,扫描,分治扫描,扫描策略评价,目标地址空间选择,是否采用多线程搜索易感染主机,是否有易感染主机列表,传播途径的多样化,38,蠕虫的攻击手段,缓冲区溢出攻击,基于堆栈的缓冲区溢出,基于堆的缓冲区溢出,基于,LIB,C,库的缓冲区溢出攻击,格式化字符串攻击,拒绝服务攻击,弱口令攻击,默认设置脆弱性攻击,社会工程攻击,39,蠕虫的检测与防范,基于单机的蠕虫检测,基于网络的蠕虫检测,其他,40,基于单机的蠕虫检测,基于特征的检测技术,基于网络负载的特征匹配,基于日志分析的特征匹配,基于文件内容的特征匹配,基于黑洞检测技术,对所有扫描全网的蠕虫都适用,对于采用队列扫描和基于目标列表的扫描蠕虫不适用,基于流量检测,校验和技术,沙箱技术,安全操作系统对网络蠕虫的防范,41,基于网络的蠕虫检测,基于,GrIDS,的网络蠕虫检测,通过与预定义的行为模式进行匹配，检测网络蠕虫是否存在。,基于,PLD,硬件的检测和防御,采用特征匹配技术，存在误报，无法检测未知网络蠕虫，只能进行事后处理,基于蜜罐的检测和防御,基于控制中心的检测、防御和阻断,42,其他,加强个人安全意识,提高软件产品的安全性,安全编码,非可执行的缓冲区,数组边界检查,加强对返回地址的保护,及时打补丁或者升级,43,拒绝服务攻击防御,44,终端防御,最终受害处,攻击为主机时,-,受害者主机和受害者所在网络,攻击为带宽时,-,目标网络,防御策略,增强容忍性,提高主机系统或网络安全性,入口过滤,45,增强容忍性,随机释放,当,Syn,Flood,时，随机释放一些未完成的半打开连接,SYN,Cookies,SYN,Cookie,功能一般是在发现、怀疑有攻击存在或者当前连接请求较多的时候才启用,SYN,Cache,通过全局表建立连接表,提高了攻击者进行,Syn,风暴攻击成功的难度，但受到系统整体资源的限制,TCP,代理服务器,46,提高主机系统或网络安全性,流量控制,冗余备份,关闭不需要的服务和端口,实行严格的补丁管理,经常进行端口扫描,主机安全加固,攻击测试（Pen-test）,病毒防护,47,入口过滤,端口与协议过滤,地址过滤,合理编写、排列防火墙规则和路由器的访问控制列表，合理过滤数据流,正确配置边界路由，禁止转发指向广播地址的数据包,对于ICMP数据包，只允许必需的类型和代码进出网络,如果网络中不需要使用IRC、P2P服务以及即时消息，则阻止向外发出这类连接,48,源端防御,发出攻击性数据包的源端,源端防御优点,避免拥塞,较小的副作用,更易追踪,可以使用更为复杂的检测算法,防御策略,出口过滤,D-WARD,COSSACK,49,出口过滤（Egress Filtering）,用户网络或者其ISP网络的比边界路由被配置成在其转发外出的数据包时，阻塞（过滤）源IP地址明显是非法的数据包，以免其外出到外网。,50,出口过滤,不足,不能防止攻击者伪造地址为同一网段内的其他,IP,地址,可能会妨碍一些特殊应用，如动态,IP,服务,好处,防止成为“中间人”,攻击者容易被识别，降低攻击者对其多次利用的可能性,减轻蠕虫对自身网络的危害,降低被作为僵尸网络的可能,通过出口过滤审计日志，识别真正的攻击者,提高自身的安全性，作一个好邻居,51,D-WARD,源端DDOS防御系统 ，检测和限制向外发出的拒绝服务攻击，同时对合法用户的影响要尽量小。,部署在源路由器,检查从两个方向通过路由器的通信并进行融合分析，检测异常现象。,52,中端防御,在攻击性数据包的发送途中采取的防范措施,该方法只能限制,IP,伪造的空间,而不能杜绝,IP,伪造,无法阻止没有伪造的,DDOS,攻击,.,攻击检测,源端防火墙,门限异常检测,双向数据动态分析,伪造包检测,连接语义分析,攻击响应,限流,53,COSSACK,分布式,DDOS,检测与响应机制，部署于因特网的边界网络中,信息获取方式,SNMP,统计,Cisco,NetFlow,入侵检测系统，如：,Snort,每个看门狗功能,本地检测,协同检测,54,COSSACK,攻击响应,指令,IDS,整理攻击数据的源地址信息和攻击特征信息,向其他的可能是攻击发出端网络的看门狗广播攻击通告，并根据攻击特征的不同向那些可能参与协同的看门狗和广播。,可能的攻击源网络的看门狗均加入到协同广播组群,在接收到攻击信息后，每个源端网络的看门狗将对其特定的外出数据流进行深入的检查，确定其范围内是否存在傀儡机,检测到傀儡机的源网络需要采取措施防止攻击的继续,55,拒绝服务攻击检测,56,主机异常现象检测,异常现象,1,：,受害网络通信流量超出工作极限,主干路由器建立访问控制规则监测和过滤异常通信,异常现象,2,：,特大型的,ICMP,和,UDP,数据包,数据包捕获,异常现象,3,：,不属于正常连接通信的,TCP,和,UDP,数据包,合理配置防火墙和路由规则,异常现象,4,：,数据段内容只包含字母和数字字符的数据包（,TFN2K,）,57,主机异常现象检测,异常现象,5,：,数据段内容只包含二进制和高位,bit,为,1,的字符的数据包,异常现象,6,：,域名服务器会收到大量的逆向解析目标,IP,主机名的,PTR,查询请求,异常现象,7,：,检测到大量的,ICMP,目标不可达消息,异常现象,8,：,收到大量的,TCP,SYN,（,SYN,风暴）包或者大量的,SYN-ACK,（,SMURF,攻击）数据包,58,主机网络连接特征检测,59,伪造数据包的检测,基于主机的主动检测,直接的,TTL,探测,IP,识别号探测,伪造,TCP,数据包检测,基于主机的被动检测,基于,TTL,的被动检测,操作系统特征检测,60,交流与讨论,61,