计算机病毒第四章 拒绝服务攻击

第4章拒绝服务攻击 4.1拒绝服务攻击 4.2分布式拒绝服务攻击 4.3分布式反射拒绝服务攻击 4.4小结*4.1拒绝服务攻击 4.1.1DoS攻击的网络基础 4.1.2DoS攻击的原理 4.1.3典型的DoS攻击*4.1.1DoS攻击的网络基础 要明白DoS攻击的基本原理，必须深入理解TCP报文头部及TCP连接建立的过程。（1）TCP报文头部（2）“三次握手”*4.1.2DoS攻击的原理*4.1.3典型的DoS攻击 1.死亡之ping 2.泪滴 3.UDP洪水 4.SYN洪水 5.Land攻击 6.IP欺骗DoS攻击 7.塞满服务器的硬盘 8.利用安全策略进行DoS攻击*死亡之ping ICMP(InternetControlMessageProtocol，Internet控制信息 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 )在Internet上用于错误处理和传递控制信息。它的功能之一是与主机联系，通过发送一个“回音请求”（echorequest）信息包看看主机是否处于活动状态。最普通的ping程序就是这个功能。而在TCP/IP的RFC文档中对包的最大尺寸都有严格限制规定，许多操作系统的TCP/IP协议栈都规定ICMP包大小为64KB，且在对包头进行读取之后，要根据该包头包含的信息来为有效载荷生成缓冲区。“PingofDeath”就是故意产生畸形的测试Ping包，声称自己的尺寸超过ICMP上限，也就是加载的尺寸超过64KB上限，使未采取保护措施的网络系统出现内存分配错误，导致TCP/IP协议栈崩溃，最终接收方死机。泪滴 对于一些大的IP包，需要对其进行分片传送，这是为了迎合链路层MTU（最大传输单元）的 要求 对教师党员的评价套管和固井爆破片与爆破装置仓库管理基本要求三甲医院都需要复审吗 。比如，一个4500字节的IP包，在MTU为1500的链路上传输的时候，就需要分成三个IP包。在IP报头中有一个偏移字段和一个分片标志（MF），如果MF标志设置为1，则表面这个IP包是一个大IP包的片断，其中偏移字段指出了这个片断在整个IP包中的位置。例如，对一个4500字节的IP包进行分片（MTU为1500），则三个片断中偏移字段的值依次为：0，1500，3000。这样接收端就可以根据这些信息成功的组装该IP包。如果一个攻击者打破这种正常情况，把偏移字段设置成不正确的值，即可能出现重合或断开的情况，就可能导致目标操作系统崩溃。比如，把上述偏移设置为0，1300，3000。这就是所谓的泪滴攻击。 泪滴是采用碎片包进行攻击的一种远程攻击工具，他的最大的特点是除了Windows平台外，还可攻击Linux。UDP洪水 如今在Internet上UDP（用户数据报协议）的应用比较广泛，很多提供WWW和Mail等服务设备通常是使用Unix的服务器，它们默认打开一些被黑客恶意利用的UDP服务。如echo服务会显示接收到的每一个数据包，而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符。UDPflood假冒攻击就是利用这两个简单的TCP/IP服务的漏洞进行恶意攻击，通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，通过将Chargen和Echo服务互指，来回传送毫无用处且占满带宽的垃圾数据，在两台主机之间生成足够多的无用数据流，这一拒绝服务攻击可以飞快地导致网络可用带宽耗尽。SYN洪水 SYNFlood是当前最流行的DoS与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。 SYNFlood利用服务器的连接缓冲区（BacklogQueue）的局限，向服务器不断地大量发送只有SYN标志的TCP连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。 如果SYN请求超过了服务器能容纳的限度，缓冲区队列满，那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。Land攻击 在Land攻击中，黑客利用一个特别打造的SYN包——它的源地址和目标地址都被设置成某一个服务器地址——进行攻击。此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时。在Land攻击下，许多Unix将崩溃，WindowsNT变得极其缓慢（大约持续五分钟）。IP欺骗DoS攻击 这种攻击利用TCP协议栈的RST位实现。黑客通过使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。假设现在有一个合法用户(100.100.100.100)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为100.100.100.100，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从100.100.100.100发送的连接有错误，就会清空缓冲区中已建立好的连接。这时，合法用户100.100.100.100再发送合法数据，服务器就已经没有这样的连接了，该用户就被拒绝服务而只能重新开始建立新的连接。塞满服务器的硬盘 如果服务器可以没有限制地执行写操作，那么都能成为塞满硬盘造成DoS攻击的途径，比如： 发送垃圾邮件。一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。破坏者可以发送大量的垃圾邮件，这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中，直到邮箱被撑破或者把硬盘塞满。 填满日志记录。入侵者可以构造大量的错误信息发送出来，服务器记录这些错误，可能就造成日志文件非常庞大，甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志，甚至就不能发现入侵者真正的入侵途径。 向匿名FTP塞垃圾文件，这样也可以塞满硬盘空间。利用安全策略进行DoS攻击 一般服务器都有关于帐户锁定的安全策略，比如，某个帐户连续3次登录失败，那么这个帐号将被锁定。这点也可以被破坏者利用，他们伪装一个帐号去错误登录，这样使得这个帐号被锁定，而正常的合法用户就不能使用这个帐号去登录系统了。4.2分布式拒绝服务攻击 4.2.1分布式拒绝服务攻击的原理 4.2.2DDoS攻击的危害 4.2.3典型的DDoS攻击*4.2.1分布式拒绝服务攻击的原理 分布式拒绝服务(DistributedDenialofService，DDoS)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。*4.2.2DDoS攻击的危害 在DDoS攻击期间，如果有一个不知情的用户发出了正常的页面请求，这个请求会完全失败，或者是页面下载速度变得极其缓慢，看起来就是站点无法使用。典型的DDoS攻击利用许多计算机同时对目标站点发出成千上万个请求。为了避免被追踪，攻击者会闯进网上的一些无保护的计算机内，在这些计算机上藏匿DDoS程序，将它们作为同谋和跳板，最后联合起来发动匿名攻击。*4.2.3典型的DDoS攻击1.Smurf攻击2.Trinoo攻击3.TribalFloodNetwork和TFN2K攻击4.Stacheldraht攻击*Smurf攻击 Smurf是一种简单但有效的DDoS攻击技术。Smurf还是利用ping程序进行源IP假冒的直接广播进行攻击。在Internet上广播信息可以通过一定的手段（通过广播地址或其他机制）发送到整个网络中的机器上去。当某台机器使用广播地址发送一个ICMPecho请求包时（例如Ping），一些系统会发出一个ICMPecho回应包，这样发送一个包会收到许多的响应包。Smurf攻击就是使用这个原理来进行的，同时它还需要一个假冒的源地址。也就是说Smurf在网络中发送的源地址为要攻击的主机地址，目的地址为广播地址的ICMPecho请求包，使许多的系统同时响应并发送大量的信息给被攻击主机（因为他的地址被攻击者假冒了）。Smurf是用一个伪造的源地址连续ping一个或多个计算机网络，这就导致所有计算机响应的那个主机地址并不是实际发送这个信息包的攻击计算机。这个伪造的源地址，实际上就是攻击的目标，它将被极大数量的响应信息量所淹没。对这个伪造信息包做出响应的计算机网络就成为攻击的不知情的同谋。一个简单的smurf攻击最终导致网络阻塞和第三方崩溃，这种攻击方式要比pingofdeath洪水的流量高出一两个数量级。这种使用网络发送一个包而引出大量回应的方式也被叫做“Smurf放大”。Trinoo攻击 Trinoo是复杂的DDoS攻击程序，是基于UDPflood的攻击软件。它使用master程序对实际实施攻击的任何数量的代理程序实现自动控制。当然在攻击之前，侵入者为了安装软件，已经控制了装有master程序的计算机和所有装有代理程序的计算机。攻击者连接到安装了master程序的计算机，启动master程序，然后根据一个IP地址的列表，由master程序负责启动所有的代理程序。接着，代理程序用UDP信息包冲击网络，向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，甚至崩溃。TribalFloodNetwork和TFN2K攻击 TribalFloodNetwork与trinoo一样，使用一个master程序与位于多个网络上的攻击代理进行通讯，利用ICMP给代理服务器下命令，可以伪造来源。TFN可以并行发动数不胜数的DoS攻击，类型多种多样，而且还可建立带有伪装源IP地址的信息包。可以由TFN发动的攻击包括：SYNflood、UDPflood、ICMPechoreplyflood及Smurf（利用多台服务器发出海量数据包，实施DoS攻击）等攻击。TFN的升级版TFN2k进一步对命令数据包加密，命令内容更难查询，命令来源可以做假，还有一个后门控制代理服务器。Stacheldraht攻击 Stacheldraht也是基于TFN和trinoo一样的客户机/服务器模式，其中Master程序与潜在的成千个代理程序进行通讯。在发动攻击时，侵入者与master程序进行连接。Stacheldraht增加了新的功能：攻击者与master程序之间的通讯是加密的，伪造命令来源，而且可以防范一些路由器用RFC2267过滤，若检查出有过滤现象，它将只伪造IP地址最后8位，从而让用户无法了解到底是哪几个网段的哪台机器被攻击；同时使用rcp(remotecopy，远程复制)技术对代理程序进行自动更新。Stacheldraht也可以建立带有伪装源IP地址的信息包。Stacheldraht所发动的攻击包括UDPFlood、TCPSYNFlood、ICMPechoreplyflood。4.3分布式反射拒绝服务攻击 2002年1月11日凌晨两点，grc.com被一些更先进的恶意洪水数据包攻击。这种新型的DDoS攻击即分布式反射拒绝服务攻击。攻击在凌晨两点左右开始，这次攻击使Verio（grc.com的网络提供商）的集群路由器将攻击数据挤满了两条T1线路。grc.com的网站服务器因为这次攻击而无法处理其它合法的请求，陷入瘫痪。 *分布式反射拒绝服务攻击原理*4.4小结 拒绝服务攻击（DoS）即让目标主机停止提供服务或资源访问。 DDoS就是从许多分布的主机同时攻击一个目标，导致目标瘫痪，从而成倍地提高拒绝服务攻击的威力。*************