拒绝服务攻击拒绝服务攻击原理常见方法及防范.docx

1、拒绝服务攻击拒绝服务攻击原理常见方法及防范 网 络 安 全 原 理 与 应 用 系别：计算机科学与技术系班级：网络信息与技术姓名：x x x学号：xxxxxxxxxxxxx 拒绝服务攻击原理、常见方法及防范什么是DOS攻击 DOS：即Denial Of Service，拒绝服务的缩写，可不能认为是微软的dos操作系统了。DOS攻击即攻击者想办法让目标机器停止提供服务或资源访问，这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。比如： * 试图FLOOD服务器，阻止合法的网络通讯 * 破坏两个机器间的连接，阻止访问服务 * 阻止特殊用户访问服务 * 破坏服务器的服务或者导致服

2、务器死机不过，只有那些比较阴险的攻击者才单独使用DOS攻击，破坏服务器。通常，DOS攻击会被作为一次入侵的一部分，比如，绕过入侵检测系统的时候，通常从用大量的攻击出发，导致入侵检测系统日志过多或者反应迟钝，这样，入侵者就可以在潮水般的攻击中混骗过入侵检测系统。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算

3、机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的消化能力加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。高速广泛连接的网络给大家带

4、来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。有关TCP协议的东西 TCP（transmission control protocol，传输控制协议），是用来在不可靠的因特网上提供可靠的、端到端的字节流通讯协议，在RFC793中有正式定义，还有一些解决错误的东西在RFC 1122中有记录，RFC

5、1323则有TCP的功能扩展。 我们常见到的TCP/IP协议中，IP层不保证将数据报正确传送到目的地，TCP则从本地机器接受用户的数据流，将其分成不超过64K字节的数据片段，将每个数据片段作为单独的IP数据包发送出去，最后在目的地机器中再组合成完整的字节流，TCP协议必须保证可靠性。 发送和接收方的TCP传输以数据段的形式交换数据，一个数据段包括一个固定的20字节头，加上可选部分，后面再跟上数据，TCP协议从发送方传送一个数据段的时候，还要启动计时器，当数据段到达目的地后，接收方还要发送回一个数据段，其中有一个确认序号，它等于希望收到的下一个数据段的顺序号，如果计时器在确认信息到达前超时了，发

6、送方会重新发送这个数据段。上面，我们总体上了解一点TCP协议，重要的是要熟悉TCP的数据头（header）。因为数据流的传输最重要的就是header里面的东西，至于发送的数据，只是header附带上的。客户端和服务端的服务响应就是同header里面的数据相关，两端的信息交流和交换是根据header中的内容实施的，因此，要实现DOS，就必须对header中的内容非常熟悉。 下面是TCP数据段头格式。 Source Port和 Destination Port :是本地端口和目标端口 Sequence Number 和 Acknowledgment Number ：是顺序号和确认号，确认号是希望接

7、收的字节号。这都是32位的，在TCP流中，每个数据字节都被编号。 Data offset :表明TCP头包含多少个32位字，用来确定头的长度，因为头中可选字段长度是不定的。 Reserved : 保留的6位，现在没用，都是0 接下来是6个1位的标志，这是两个计算机数据交流的信息标志。接收和发送断根据这些标志来确定信息流的种类。下面是一些介绍： URG：（Urgent Pointer field significant）紧急指针。用到的时候值为1，用来处理避免TCP数据流中断 。 ACK：（Acknowledgment field significant）置1时表示确认号（Acknowledgm

8、ent Number）为合法，为0的时候表示数据段不包含确认信息，确认号被忽略。 PSH：（Push Function），PUSH标志的数据，置1时请求的数据段在接收方得到后就可直接送到应用程序，而不必等到缓冲区满时才传送。 RST：（Reset the connection）用于复位因某种原因引起出现的错误连接，也用来拒绝非法数据和请求。如果接收到RST位时候，通常发生了某些错误。 SYN：（Synchronize sequence numbers）用来建立连接，在连接请求中，SYN=1，ACK=0，连接响应时，SYN=1，ACK=1。即，SYN和ACK来区分Connection Reque

9、st和Connection Accepted。 FIN：（No more data from sender）用来释放连接，表明发送方已经没有数据发送了。 知道这重要的6个指示标志后，我们继续来。16位的WINDOW字段：表示确认了字节后还可以发送多少字节。可以为0，表示已经收到包括确认号减1（即已发送所有数据）在内的所有数据段。 接下来是16位的Checksum字段，用来确保可靠性的。 16位的Urgent Pointer，和下面的字段我们这里不解释了。不然太多了。呵呵，偷懒啊。 我们进入比较重要的一部分：TCP连接握手过程。这个过程简单地分为三步。 在没有连接中，接受方（我们针对服务器），服

10、务器处于LISTEN状态，等待其他机器发送连接请求。 第一步：客户端发送一个带SYN位的请求，向服务器表示需要连接，比如发送包假设请求序号为10，那么则为：SYN=10，ACK=0， 然后等待服务器的响应。 第二步：服务器接收到这样的请求后，查看是否在LISTEN的是指定的端口，不然，就发送RST=1应答，拒绝建立连接。如果接收 连接，那么服务器发送确认，SYN为服务器的一个内码，假设为100，ACK位则是客户端的请求序号加1，本例中发送的数据是： SYN=100，ACK=11，用这样的数据发送给客户端。向客户端表示，服务器连接已经准备好了，等待客户端的确认 这时客户端接收到消息后，分析得到的

11、信息，准备发送确认连接信号到服务器 第三步：客户端发送确认建立连接的消息给服务器。确认信息的SYN位是服务器发送的ACK位，ACK位是服务器发送的SYN位加1。 即：SYN=11，ACK=101。 这时，连接已经建立起来了。然后发送数据，。这是一个基本的请求和连接过程。需要注意的是这些标志位的关系，比如SYN、ACK。上面的介绍，我们了解TCP协议，以及连接过程。要对SERVER实施拒绝服务攻击，实质上的方式就是有两个： 一， 迫使服务器的缓冲区满，不接收新的请求。 二， 使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接，这就是DOS攻击实施的基本思想。被DDoS攻击时的现象：

12、被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用的数据包，源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求， 使受害主机无法及时处理所有正常请求 严重时会造成系统死机 攻击进行原理：如图一，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是

13、部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。有的朋友也许会问道：为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不愿意被捉到（我在小时候向别人家的鸡窝扔石头的时候也晓得在第一时间逃掉，呵呵），而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者

14、会首先做两件事：1. 考虑如何留好后门（我以后还要回来的哦）！2. 如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就

15、会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。黑客是如何组织一次DDoS攻击的？这里用组织这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过这样的步骤：1. 搜集了解目标的情况 下列情况是黑客非常关心的情报： 被攻击目标主机数目、地址情况 目标主机的配置、性能 目标的带宽 对于DDoS攻击者来说，攻击互联网上的某个站点，如，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主

16、机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供服务的： 66.218.71.87 66.218.71.88 66.218.71.89 66.218.71.80 66.218.71.81 66.218.71.83 66.218.71.84 66.218.71.86 如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使66.218.71.87这台机器瘫掉，但其他的主机还是能向外提供www服务，所以想让别人访问不到的话，要所有这些IP地址的机器都瘫掉才行。在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者使用了四层或七层交换机来做负载均衡，把对一个

17、IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。但在实际过程中，有很多黑客并不进行情报的搜集而直接进行DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。其实做黑客也象网管员一

18、样，是不能偷懒的。一件事做得好与坏，态度最重要，水平还在其次。2. 占领傀儡机 黑客最感兴趣的是有下列情况的主机： 链路状态好的主机 性能好的主机 安全管理水平差的主机 这一部分实际上是使用了另一大类的攻击手段：利用形攻击。这是和DDoS并列的攻击方式。简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode

19、、ftp、数据库漏洞(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了，具体的手段就不在这里多说了，感兴趣的话网上有很多关于这些内容的文章。总之黑客现在占领了一台傀儡机了！然后他做什么呢？除了上面说过留后门擦脚印这些基本工作之外，他会把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。3. 实际攻击 经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。前面的准备做得好的话，实际攻击过程反而是比较简单的。就象图示里的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令：预备 ，瞄准，开

20、火!。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击，他们不会怜香惜玉。 老到的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。DDoS攻击实例：SYN Flood攻击SYN-Flood是目前最流行的DDoS攻击手段，早先的DoS的手段在向分布式这一阶段发展的时候也经历了浪里淘沙的过程。SYN-Flood的攻击效果最好，应该是

21、众黑客不约而同选择它的原因吧。那么我们一起来看看SYN-Flood的详细情况。Syn Flood原理 - 三次握手 Syn Flood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是Syn Flood存在的基础。 TCP连接的三次握手 图二 TCP三次握手 如图二，在第一步中，客户端向服务端提出连接请求。这时TCP SYN标志置位。客户端告诉服务端序列号区域合法，需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段后，在第二步以自己的ISN回应(SYN标志置位)，同时确认收到客户端的第一个TCP分段(ACK标志置位)。在第三步中，客户端确认收到服务端的I

22、SN(ACK标志置位)。到此为止建立完整的TCP连接，开始全双工模式的数据传输过程。Syn Flood攻击者不会完成三次握手 图三 Syn Flood恶意地不完成三次握手 假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一

23、个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源-数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃-即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服务器端受到了SYN Flood攻击（SYN洪水攻击）。IP欺骗DOS攻击 这种攻击利用RST位来实现。假设现

24、在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1.1.1.1，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户1.1.1.1再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。 攻击时，伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务。 带宽DOS攻击如果你的连接带宽足够大而服务器又不是很大，你可以发送请求，来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了，配合上SYN

25、一起实施DOS，威力巨大。不过是初级DOS攻击。呵呵。Ping白宫？你发疯了啊！ 自身消耗的DOS攻击 这是一种老式的攻击手法。说老式，是因为老式的系统有这样的自身BUG。比如Win95 (winsock v1), Cisco IOS v.10.x, 和其他过时的系统。 这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同，发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快把资源消耗光。直接导致当机。这中伪装对一些身份认证系统还是威胁巨大的。 上面这些实施DOS攻击的手段最主要的就是构造需要的TCP数据，充分利用TCP协议。这些攻击方法都是建立在TCP基础上的。还有

26、其他的DOS攻击手段。 塞满服务器的硬盘 通常，如果服务器可以没有限制地执行写操作，那么都能成为塞满硬盘造成DOS攻击的途径，比如： 发送垃圾邮件。一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。破坏者可以发送大量的垃圾邮件，这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中，直到邮箱被撑破或者把硬盘塞满。 让日志记录满。入侵者可以构造大量的错误信息发送出来，服务器记录这些错误，可能就造成日志文件非常庞大，甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志，甚至就不能发现入侵者真正的入侵途径。 向匿名FTP塞垃圾文件。这样也可以塞满硬盘空间。 合理利用策略 一般服务器都有关于帐户锁

27、定的安全策略，比如，某个帐户连续3次登陆失败，那么这个帐号将被锁定。这点也可以被破坏者利用，他们伪装一个帐号去错误登陆，这样使得这个帐号被锁定，而正常的合法用户就不能使用这个帐号去登陆系统了。防范与抵御DDoS攻击对DDoS攻击来说并没有100有效的防御手段。但是由于攻击者必须付出比防御者大得多的资源和努力才能实现有效的攻击，所以只要我们更好地了解DDoS攻击，积极部署防御措施，还是能在很大程度上缓解和抵御这类安全威胁的。另外，加强用户的安全防范意识，提高网络系统的安全性也是很重要的措施。监控骨干网络设备，减少骨干网主机的漏洞加强对骨干网络设备的监控，常用的方法包括限制连接队列的长度以及减少处

28、理延时等。前者可以缓解系统资源的耗尽，虽然不能完全避免拒绝服务的发生，但是至少在一定程度上降低了系统崩溃的可能性，而后者能够加强系统的处理能力。通过减少延时，我们能以更快的速度抛弃队列里等待的连接，而不是任其堆满队列。不过这种方法也不是在所有的情况下都有效，因为很多DDoS的攻击机制并不是建立在类似SYN Flood这样以畸形连接淹没队列的方式之上的。几乎所有的主机平台都有抵御DDoS的设置，基本的设置有四种： 1.关闭不必要的服务。确保从服务器相应的目录或文件数据库中删除未使用的服务，如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞，黑客通过根攻击就能获得访问特权系统的权限，并能

29、访问其他系统甚至是受防火墙保护的系统。确保运行在Unix主机上的所有服务都有TCP封装程序，限制对主机的访问权限。2.限制同时打开的Syn半连接数目。3.缩短Syn半连接的time out 时间。4.及时更新系统补丁。确保所有服务器采用最新系统，并打上安全补丁，计算机紧急响应协调中心发现，几乎每个受到DDoS攻击的系统都没有及时打上补丁。因此应当及早发现系统存在的攻击漏洞，及时安装系统补丁程序。合理配置路由器及防火墙，实现IDS和防火墙的联动企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是与外界的接口设备。需要注意的是防DDoS的设置是以牺牲效率为代价的。路由器（以Cisco路由器为例

30、）1Cisco Express Forwarding（CEF）。2使用 unicast reverse-path。 3访问控制列表（ACL）过滤。 4设置SYN数据包流量速率。5升级版本过低的ISO。 6为路由器建立log server。 其中使用CEF和Unicast设置时要特别注意，使用不当会造成路由器工作效率严重下降，升级IOS也应谨慎。在思科路由器上使用 ip verfy unicast reverse-path 网络接口命令，这个功能检查每一个经过路由器的数据包。在路由器的CEF表该数据包所到达网络接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。例如，路由

31、器接收到一个源IP地址为1.2.3.4的数据包，如果CEF路由表中没有为IP地址1.2.3.4提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。 单一地址反向传输路径转发（Unicast Reverse Path Forwarding）在ISP（局端）实现阻止SMURF攻击和其他基于IP地址伪装的攻击，这能够保护网络和客户避免受来自互联网其他地方的侵扰。使用Unicast RPF需要打开路由器的“CEF swithing”或“CEF distributed switching”选项，不需要将输入接口配置为CEF交换（switching）。只要该路由器打开了CEF功能，所有独立的网络接口都可以配置为其他交换（switching）模式。RPF（反向传输路径转发）属于在一个网络接口或子接口上激活的输入端功能，处理路由器接收的数据包。防火墙1禁止对主机的非开放服务的访问。2限制同时打开的SYN最大连接数。3限制特定IP地址的访问。4启用防火墙的防DDoS属性。 5严格限制对外开放的服务器的向外访问。要限制在防火墙外与网络文件共享，因为这会使黑客有机