網(wǎng)絡(luò)安全羅敏武漢大學(xué)計(jì)算機(jī)學(xué)院

jsjgfzx@第3章回顧網(wǎng)絡(luò)掃描網(wǎng)絡(luò)監(jiān)聽(tīng)口令破解第4章拒絕服務(wù)攻擊本章介紹DoS攻擊的定義、思想和分類，對(duì)SYNFlooding攻擊、Smurf攻擊、利用處理程序錯(cuò)誤的拒絕服務(wù)攻擊、電子郵件轟炸攻擊和分布式拒絕服務(wù)攻擊(DdoS)方法分別進(jìn)行了詳細(xì)的分析，并對(duì)每一種攻擊提供了防范措施。第4章拒絕服務(wù)攻擊4.1拒絕服務(wù)攻擊概述4.2拒絕服務(wù)攻擊分類4.3服務(wù)端口攻擊4.4電子郵件轟炸4.5分布式拒絕服務(wù)攻擊DDoS拒絕服務(wù)攻擊概述DoS定義拒絕服務(wù)攻擊DoS（DenialofService）是阻止或拒絕合法使用者存取網(wǎng)絡(luò)服務(wù)器的一種破壞性攻擊方式

這種攻擊往往是針對(duì)TCP／IP協(xié)議中的某個(gè)弱點(diǎn)，或者系統(tǒng)存在的某些漏洞，對(duì)目標(biāo)系統(tǒng)發(fā)起的大規(guī)模進(jìn)攻使服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致目標(biāo)網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而無(wú)法向合法的用戶提供正常的服務(wù)第4章第1節(jié)拒絕服務(wù)攻擊概述從某種程度上可以說(shuō)，DoS攻擊永遠(yuǎn)不會(huì)消失。而且從技術(shù)上，目前還沒(méi)有根本的解訣辦法。第4章第1節(jié)拒絕服務(wù)攻擊概述DoS攻擊思想及方法服務(wù)器的緩沖區(qū)滿，不接收新的請(qǐng)求使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。這也即是DoS攻擊實(shí)施的基本思想DoS攻擊的實(shí)現(xiàn)方式資源消耗、服務(wù)中止、物理破壞等第4章第1節(jié)拒絕服務(wù)攻擊分類攻擊模式消耗資源網(wǎng)絡(luò)帶寬、存儲(chǔ)空間、CPU時(shí)間等破壞或改變配置信息物理破壞或者改變網(wǎng)絡(luò)部件利用服務(wù)程序中的處理錯(cuò)誤使服務(wù)失效發(fā)起方式傳統(tǒng)的拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊（DistributedDenialofService）第4章第2節(jié)拒絕服務(wù)攻擊分類攻擊模式消耗資源針對(duì)網(wǎng)絡(luò)連接的拒絕服務(wù)攻擊ping、flooding、SYNfloodingping、finger廣播包廣播風(fēng)暴（SMURF攻擊）消耗磁盤空間EmailERROR-LOGFTP站點(diǎn)的incoming目錄制造垃圾文件第4章第2節(jié)拒絕服務(wù)攻擊分類攻擊模式消耗資源消耗CPU資源和內(nèi)存資源main(){ Fork()； main()；｝第4章第2節(jié)拒絕服務(wù)攻擊分類攻擊模式破壞或更改配置信息修改服務(wù)用戶群(deny)刪除口令文件第4章第2節(jié)拒絕服務(wù)攻擊分類攻擊模式物理破壞或改變網(wǎng)絡(luò)部件計(jì)算機(jī)、路由器、網(wǎng)絡(luò)配線室、網(wǎng)絡(luò)主干段、電源、冷卻設(shè)備、其它的網(wǎng)絡(luò)關(guān)鍵設(shè)備利用服務(wù)程序中的處理錯(cuò)誤使服務(wù)失效LAND第4章第2節(jié)拒絕服務(wù)攻擊分類攻擊模式拒絕服務(wù)攻擊分析加強(qiáng)管理機(jī)房管理設(shè)備分離定時(shí)檢查各種配置定時(shí)檢查關(guān)鍵資源的使用情況定時(shí)檢查升級(jí)包第4章第2節(jié)服務(wù)端口攻擊SYNFloodingSmurf攻擊

利用處理程序錯(cuò)誤的拒絕服務(wù)攻擊第4章第3節(jié)4.3服務(wù)端口攻擊SYNFloodingACK=y+1SYN,SEQ=y,ACK=x+1SYN,SEQ=x發(fā)送端S接收端D圖4-1TCP連接的三次握手第4章第3節(jié)服務(wù)端口攻擊SYNFlooding10->55NBTDatagramServiceType=17Source=ROOTDC[20]47->55NBTDatagramServiceType=17Source=TSC[0]?->(broadcast)ETHERType=886F(Unknown),size=1510bytes00->(broadcast)ARPCWhois02,02?78->TCPD=124S=1352SynSeq=674711609Len=0Win=6553578->TCPD=125S=1352SynSeq=674711609Len=0Win=6553578->TCPD=126S=1352SynSeq=674711609Len=0Win=6553578->TCPD=128S=1352SynSeq=674711609Len=0Win=6553578->TCPD=130S=1352SynSeq=674711609Len=0Win=6553578->TCPD=131S=1352SynSeq=674711609Len=0Win=6553578->TCPD=133S=1352SynSeq=674711609Len=0Win=6553578->TCPD=135S=1352SynSeq=674711609Len=0Win=65535…………第4章第3節(jié)服務(wù)端口攻擊SYNFlooding同步包風(fēng)暴拒絕服務(wù)攻擊具有以下特點(diǎn)

針對(duì)TCP/IP協(xié)議的薄弱環(huán)節(jié)進(jìn)行攻擊發(fā)動(dòng)攻擊時(shí)，只要很少的數(shù)據(jù)流量就可以產(chǎn)生顯著的效果攻擊來(lái)源無(wú)法定位在服務(wù)端無(wú)法區(qū)分TCP連接請(qǐng)求是否合法第4章第3節(jié)服務(wù)端口攻擊SYNFlooding同步包風(fēng)暴攻擊的本質(zhì)是利用TCP/IP協(xié)議集的設(shè)計(jì)弱點(diǎn)和缺陷只有對(duì)現(xiàn)有的TCP/IP協(xié)議集進(jìn)行重大改變才能修正這些缺陷目前還沒(méi)有一個(gè)完整的解決方案，但是可以采取一些措施盡量降低這種攻擊發(fā)生的可能性

第4章第3節(jié)服務(wù)端口攻擊SYNFlooding應(yīng)對(duì)優(yōu)化系統(tǒng)配置優(yōu)化路由器配置使用防火墻主動(dòng)監(jiān)視完善基礎(chǔ)設(shè)施第4章第3節(jié)服務(wù)端口攻擊Smurf攻擊

這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)數(shù)據(jù)充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常請(qǐng)求進(jìn)行服務(wù)

第4章第3節(jié)服務(wù)端口攻擊Smurf攻擊目標(biāo)主機(jī)黑客主機(jī)路由器網(wǎng)絡(luò)主機(jī)n因特網(wǎng)1.黑客向網(wǎng)絡(luò)廣播地址發(fā)ICMP包2.路由器不過(guò)濾廣播包5.目標(biāo)主機(jī)受到大量ICMP包攻擊4.網(wǎng)絡(luò)上各個(gè)主機(jī)都向目的主機(jī)回應(yīng)ICMP包網(wǎng)絡(luò)主機(jī)1網(wǎng)絡(luò)主機(jī)2……3.網(wǎng)絡(luò)上各個(gè)主機(jī)都收到ICMP廣播包（圖中實(shí)線部分表示攻擊者發(fā)出的ICMP包，虛線部分表示對(duì)目的攻擊的ICMP包）第4章第3節(jié)服務(wù)端口攻擊Smurf攻擊應(yīng)對(duì)實(shí)際發(fā)起攻擊的網(wǎng)絡(luò)過(guò)濾掉源地址為其他網(wǎng)絡(luò)的數(shù)據(jù)包被攻擊者利用的中間網(wǎng)絡(luò)配置路由器禁止IP廣播包被攻擊的目標(biāo)與ISP協(xié)商，由ISP暫時(shí)阻止這些流量第4章第3節(jié)服務(wù)端口攻擊錯(cuò)誤處理PingofDeathTeardropWinnukeLand…第4章第3節(jié)服務(wù)端口攻擊錯(cuò)誤處理PingofDeathC:\>ping-l65507-n107Badvalueforoption-l,validrangeisfrom0to65500.第4章第3節(jié)服務(wù)端口攻擊錯(cuò)誤處理Teardrop攻擊舉個(gè)例子來(lái)說(shuō)明這個(gè)漏洞：第一個(gè)碎片：mf=1offset=0payload=20第二個(gè)碎片：mf=0offset=10payload=9fp-〉len=19-20=-1；那么memcpy將拷貝過(guò)多的數(shù)據(jù)導(dǎo)致崩潰。第4章第3節(jié)服務(wù)端口攻擊錯(cuò)誤處理Winnuke攻擊

Windows:NetBIOS:139OOB藍(lán)屏send(sock,&c,1,MSG_OOB);第4章第3節(jié)服務(wù)端口攻擊錯(cuò)誤處理Land攻擊

攻擊者將一個(gè)包的源地址和目的地址都設(shè)置為目標(biāo)主機(jī)的地址，然后將該包通過(guò)IP欺騙的方式發(fā)送給被攻擊主機(jī)，這種包可以造成被攻擊主機(jī)因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能對(duì)Land攻擊反應(yīng)不同，許多UNIX實(shí)現(xiàn)將崩潰，而Windows會(huì)變的極其緩慢（大約持續(xù)五分鐘）

第4章第3節(jié)

電子郵件轟炸在很短時(shí)間內(nèi)收到大量無(wú)用的電子郵件

SMTP端口(25)telnetsmtpTrying…Connectedto.Escapecharacteris‘^]’.220ESMTPhello250mailfrom:abc@250Okrcptto:def@250Okdata354Enddatawith<CR><LF>.<CR><LF>垃圾郵件內(nèi)容250Ok:queuedas96FE61C57EA7Bquit第4章第4節(jié)

電子郵件轟炸郵件列表炸彈KaBoom!這種攻擊有兩個(gè)特點(diǎn)真正的匿名，發(fā)送郵件的是郵件列表難以避免這種攻擊，除非被攻擊者更換電子郵件地址，或者向郵件列表申請(qǐng)退出

病毒發(fā)送電子郵件炸彈第4章第4節(jié)

電子郵件轟炸應(yīng)對(duì)配置路由器和防火墻，識(shí)別郵件炸彈的源頭，不使其通過(guò)提高系統(tǒng)記賬能力，對(duì)事件進(jìn)行追蹤第4章第4節(jié)分布式拒絕服務(wù)攻擊DDoS分布式拒絕服務(wù)DDoS（DistributedDenialofService）攻擊是對(duì)傳統(tǒng)DoS攻擊的發(fā)展攻擊者首先侵入并控制一些計(jì)算機(jī)，然后控制這些計(jì)算機(jī)同時(shí)向一個(gè)特定的目標(biāo)發(fā)起拒絕服務(wù)攻擊第4章第5節(jié)分布式拒絕服務(wù)攻擊DDoS傳統(tǒng)的拒絕服務(wù)攻擊的缺點(diǎn)受網(wǎng)絡(luò)資源的限制隱蔽性差DDoS克服了這兩個(gè)致命弱點(diǎn)突破了傳統(tǒng)攻擊方式從本地攻擊的局限性和不安全性其隱蔽性和分布性很難被識(shí)別和防御第4章第5節(jié)分布式拒絕服務(wù)攻擊DDoS被DDoS攻擊時(shí)可能的現(xiàn)象被攻擊主機(jī)上有大量等待的TCP連接端口隨意大量源地址為假的無(wú)用的數(shù)據(jù)包高流量的無(wú)用數(shù)據(jù)造成網(wǎng)絡(luò)擁塞利用缺陷，反復(fù)發(fā)出服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理正常請(qǐng)求嚴(yán)重時(shí)會(huì)造成死機(jī)第4章第5節(jié)分布式拒絕服務(wù)攻擊DDoSDDoS的三級(jí)控制結(jié)構(gòu)第4章第5節(jié)4.5分布式拒絕服務(wù)攻擊DDoSDDoS工具TrinooUDPTFN（TribeFloodingNetwork）StacheldrahtTFN2K（TribeFloodingNetwork2000）多點(diǎn)攻擊、加密傳輸、完整性檢查、隨機(jī)選擇底層協(xié)議和攻擊手段、IP地址欺騙、啞代理、隱藏身份等特點(diǎn)