DOSDDOS原理及攻击防御方法浅谈.docx

1、DOSDDOS原理及攻击防御方法浅谈DoS的英文全称是Denial of Service，也就是“拒绝服务”的意思。广义的DOS攻击是指：“任何导致被攻击的服务器不能正常提供服务的攻击方式”。DoS攻击和其他类型的攻击不大一样 攻击者并不是去寻找进入内部网络的入口 而是去阻止合法的用户访问资源或路由器。 中国通信人博客jL5cTvDOS攻击的基本原理是设法使被攻击服务器充斥大量要求回复的信息，消耗网络带宽或系统资源导致网络或系统不胜负荷以至于瘫痪而宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。DoS攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带

2、宽小等等各项性能指标不高时攻击的效果就更明显。:m/UV5M DS,e6OX DF0 随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这些变化都使得目标计算机有足够的资源来应付这些DoS攻击报文，这使得DoS攻击的困难程度加大，效果减小。wgE ZQ1J K0 在这种情况下， DDoS攻击方法就应运而生，DDoS是英文Distributed Denial of Service的缩写，即“分布式拒绝服务”，它是一种基于DoS的特殊形式的拒绝服务攻击。前面已经提到了，当今的计算机和网络速度都普遍比较快，尤其是大型服务器和数据中心，那数据处理能力和网络

3、速度简直令人叹为观止，因此传统的基于一对一的DoS攻击效果已不再那么明显。中国通信人博客VBN/K/FS3r g/e 于是，我们伟大的IT高手们秉承“办法总比困难多”的励志理念，汲取街头打架斗殴场景中的精髓，既然一个人打不过，那就来群殴。中国通信人博客.:S?2y:nd( V$Q DDoS攻击便是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令，即使性能再高的服务器也无法应付，因此产生的破坏性极大。主要目标是较大的站点，像商业公司、搜索引擎和政府部门的站点。8&Je |#?+Q0na0 8x6pj4k Opu0 DDoS攻击的4个组成部分：中国通信人博客7Nc$tM6te1W+o1

4、).攻击者中国通信人博客-:4*Nf攻击者所用的主机，也称为攻击主控台；ZSW*D0 2).主控端中国通信人博客)g;B|:wDe0m攻击者侵入并控制的一些主机，分别控制大量代理攻击主机；中国通信人博客2*so P&Ux!Q K3I 3).代理攻击端!X4KY)z TB2PO0 攻击者侵入并控制的一批主机，其上面运行攻击程序，接收和运行主控端发来的命令，代理攻击端俗称“肉鸡”；)p0YE,?skk, US0 4).受害者r#B#C$h p%d0 被攻击的目标主机。FJ.yO5NO!Pv0 DDoS攻击示意图如下：4Z8ZhS6dT8Q VH0 a(Qa9|AK0 上图为DDoS直接攻击方式，另

5、外还有一种威力更大、更隐蔽的DDoS间接攻击方式，其原理是攻击者伪造源地址为受害者地址的SYN连接请求包发送给大量服务器，随后，服务器群会向源IP（也就是受害者）发出大量的SYN+ACK或RST包来进行响应，大量服务器的响应数据包最终在受害者处汇集为洪水，使受害者网络瘫痪，甚至死机，此攻击方式隐蔽性非常强，受害方很难找到攻击来源。其攻击示意图如下所示。中国通信人博客 u6y*# T%F| r+ 中国通信人博客ybzt9Pk%Z/j#I中国通信人博客$( E v f;z DDoS攻击步骤+Y X M 4R!|g0 1).搜集攻击目标信息。包括目标主机的地址、配置、性能、带宽等。并根据目标主机的相

6、关参数设计合理的攻击强度，做到知己知彼，百战不殆；y8Jq5uiD,b0 2).占领傀儡机。攻击者通过工具扫描互联网上那些有漏洞的机器，随后就是尝试攻击。攻击成功后，就可以占领和控制被攻击的主机，即“肉鸡”。攻击者可以利用FTP/TFTP等协议把DDoS攻击用的程序上传到“肉鸡”中。“肉鸡”包括主控端和代理端主机，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。1MK?y7f1s/zm0 不过，攻击者如果想省事的话，可以直接从网络上购买“肉鸡”，一般是几角钱一只，量多优惠。这些“肉鸡”就是被黑客成功控制的计算机，并用于出售目的。O.O/XvwVj*TK0 3). 实施攻击。攻击者登

7、录到作为控制台的“肉鸡”中，向所有做为代理端主机的“肉鸡”发出命令，这时候埋伏在“肉鸡”中的DDoS攻击程序就会响应控制台的命令，同时向受害主机以高速度发送大量的数据包，导致受害主机死机或是无法响应正常的请求。 中国通信人博客L.O/u#R7?/An在DOS/DDOS原理及攻击防御方法浅谈(一)中我们已经了解了DOS/DDOS攻击的原理及步骤，下面我们接着介绍DOS/DDOS的常用攻击方法及防御手段。中国通信人博客 H x1lOE W)a Uw Dos攻击种类有很多，主要有：IP Spoofing攻击、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、SYN Flood攻击

8、、ICMP Flood攻击、UDP Flood攻击、ICMP-Redirect攻击及ICMP-Unreachable攻击等。eP I-Rx7Q:m.H0 中国通信人博客#N J-yta6uUP|W 1). IP Spoofing攻击中国通信人博客P+m|T0p GE IP Spoofing也叫IP欺骗，其原理是攻击者机器A利用软件构造一个虚假不存在的IP地址，并以此不存在地址为源IP地址向受害者机器B发送SYN报文，请求建立TCP/IP连接。目标机器B接收到这个SYN报文后，会将收到的SYN报文中的源IP地址提取出来，并将此IP作为目的IP，回复一个ACK/SYN确认报文给B，并等待接收来自B

9、的确认报文。由于这个目的IP是攻击者A伪造的，实际网络中根本不存在，所以这个ACK/SYN确认报文也就无法到达，B也就不可能接收到它的确认报文。6H3oy,e(Lxw%_K0 但是，根据TCP/IP协议规范，受害者B必须一直等待接收A回复的确认报文，直到受害者B内部的定时器超时才放弃等待。这就是一次IP Spoofing攻击，假如攻击者A使用软件以每秒几百次几千次乃至几万次的速度向同一个受害者B发送虚假SYN报文，那么受害者机器B上就会产生大量的TCP/IP半连接，并且都要等待这些半连接超时(在等待的时候要专心，不能干别的事情的，呵呵)，从而使系统资源耗尽，不能及时响应正常的服务请求。l(DR

10、$XX v;|&ax 0 如果攻击者A控制几百几千台乃至几万台机器同时使用软件分别以每秒几百次几千次乃至几万次的速度向同一个受害者B发送虚假SYN报文，这样，受害者B所建立的TCP/IP半连接数量会呈指数上升，即使B的处理能力再强，网络带宽再宽，系统也会在瞬间崩溃，这就是DDoS攻击。中国通信人博客.b bm.KV E7R 为了大家更好的理解IP Spoofing攻击方法，这里再补充介绍下TCP链接的建立过程。大家都知道，目前网络中的绝大部分上层应用程序都是基于TCP协议的。fOuEd,P#f)F#A0 TCP是Transmission Control Protocol的缩写，即传输控制协议。

11、TCP是一种面向连接的高可靠性协议，它的建立过程包括三个过程，简称“三次握手”。如下图所示。中国通信人博客 gL&T6BuY 中国通信人博客U&h-bop3W8b如上图所示，客户A想要从服务器B取得服务，首先需要向B发送一个SYN报文，请求建立TCP链接，这就是“第一次握手”。服务器B收到SYN报文后，会将SYN的源IP地址提取出来作为目的IP地址，回复一个SYN/ACK报文给客户A，这就是“第二次握手”。客户A收到来自服务器B的SYN/ACK报文后，再将此报文的源IP地址提取出来作为目的IP地址，回复一个ACK确认报文给服务器B，这就是“第三次握手”。服务器B收到这个ACK报文后，立即启动对

12、客户A的相应服务。中国通信人博客| v:JO1DE rK 上面介绍的IP Spoofing就是因为A伪造了自己的IP，使得“第二次握手”的SYN/ACK报文不能到达A，A也不会发ACK报文进行“第三次握手”，但是B却一直在苦苦等待“第三次握手”报文ACK的到来。中国通信人博客$H$Rb dE&i+W4CQyzF0 在网络安全设备中，是通过如下方法来防御IP Spoofing攻击的：检测每个接口流入的IP报文的源IP地址和目的IP地址，并对报文的源IP地址反查路由表，如果该IP报文的的入接口与以该地址为目的地址的最佳出接口不相同的话，则视为IP Spoofing攻击报文，将禁止其通过，并进行攻击

13、日志记录。中国通信人博客2?r PLQYTurU#Qm)K-cp5IOC0 2). Land攻击中国通信人博客A v#_w C(T5E Land攻击其实是IP Spoofing攻击的一个变种。其原理是攻击者机器A向受害者机器B发送一个伪造的SYN报文，此SYN报文的源IP地址和目的IP地址都被设成受害者机器B的IP地址，源端口号和目的端口号也相同。中国通信人博客%M$FJjgj)8n 受害者机器B接收到此SYN报文后，提取报文的源IP地址(其实是B机器自己的IP地址)，并将其作为目的IP地址发送一个SYN/ACK 报文(其实是向它自己发送了一个SYN/ACK报文)，结果这个地址又发回ACK确认

14、报文，从而创建了一个空连接，每一个这样的空连接都将保留到内部定时器超时后才释放，从而消耗掉大量的系统资源。对于Land 攻击，各种操作系统的反应也有所不同，UNIX 系统将会崩溃，而NT 系统将变的极其缓慢，时间大约持续五分钟。中国通信人博客d*Y_b8L中国通信人博客I9?R Uo7P5l Nk(K 在网络安全设备中，是通过如下方法来防御Land攻击的：检测每个接口流入的IP报文的源IP地址和目的IP地址，阻止那些源IP地址落在所保护网络IP地址段内的报文进入。但是，此方法也具有局限性，即不能防御那些从所保护网络内部发起的Land攻击。m2v9Y7aV8N,t0 t8d&bg2T:x(E;q

15、GYx0 3). SYN Flood攻击!I hI QX$T0 SYN Flood 是当前最流行的DoS/与DDoS攻击方式之一，其原理原理跟上面介绍过的IP Spoofing攻击是一样的，都是利用TCP协议的缺陷，伪造不存在的源IP向受害者发送SYN报文，使得受害者机器建立大量TCP半连接，每个半连接差不多等待30秒2分钟后才超时释放。“Flood” 的中文意思是“洪水”，顾名思义，SYN Flood攻击时，无数伪造的SYN攻击报文就像洪水一样涌向受害者机器，如果受害者机器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出而使系统崩溃，即使其系统足够强大，也会因忙于处理伪造的SYN报文而无法

16、响应客户的正常请求，此时从正常客户的角度看来，服务器失去响应。中国通信人博客Ol)lUfn V,Ufk/m6Z*c0 针对SYN Flood攻击，一种有效的防御方法是限制系统TCP半连接的数量，并且在TCP半连接超过一定数量后，在防火墙端启动TCP代理功能。所谓TCP代理功能，就是在客户发起TCP连接时，防火墙不把SYN报文发给目标机器，而是自己伪装成目标机器对SYN报文做出SYN/ACK应答。z8CeyF0y0 (f.? |o aJI0 4). UDP Flood攻击jR(Z(j:Co4t J N&B0 为了更好的介绍UDP Flood攻击，我们先来看一下UDP协议与TCP协议的区别。中国通

17、信人博客n:n2CFn9B&OP TCP(Transmission Control Protocol) 是一种面向连接、可靠的字节流服务。当客户和服务器彼此交换数据前，必须先在双方之间建立一个TCP连接，之后才能传输数据。TCP提供超时重发，丢弃重复数据，检验数据，流量控制等功能，保证数据能从一端传到另一端。xm Wu mp#b+tN R0 UDP(User Datagram Protocol，用户数据报协议)是一个简单的面向数据报的运输层协议。UDP不提供可靠性，它只是把应用程序传给IP层的数据报发送出去，但是并不能保证它们能到达目的地。由于UDP在传输数据报前不用在客户和服务器之间建立一个

18、连接，且没有超时重发等机制，故而传输速度很快。中国通信人博客k+GJ4OY_6i从专业的角度说，TCP的可靠保证，是它的三次握手机制，这一机制保证校验了数据，保证了他的可靠性。而UDP就没有了，所以不可靠。不过UDP的速度是TCP比不了的，而且UDP的反应速度更快，QQ就是用UDP协议传输的，HTTP是用TCP协议传输的。中国通信人博客 L-VVrfn UDP Flood攻击的原理是攻击者机器A伪造一个并不存在的IP地址，并以此为源IP地址向受害者机器B发送一个UDP报文，B收到UDP报文后，发现上层没有任何应用程序在等待UDP端口，于是B就会生成一个ICMP报文发给该伪造的源IP地址，告诉对

19、方刚才所发的UDP报文无法连接。如果A向B发送的足够多的UPD报文，受害者B将忙于处理这些无用的UDP报文，造成系统资源耗尽，导致瘫痪。中国通信人博客-cg1DuEl 3W&zKE MKmW:RD#I0 5). ICMP Flood攻击中国通信人博客W7S e# ICMP是Internet Control Message Protocol的缩写，即因特网控制消息协议的意思。ICMP协议是TCP/IP协议族的一个子协议，它是一种面向连接的网络层协议，用于传输出错报告控制信息，主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法

20、按当前的传输速率转发数据包等情况时，会自动发送ICMP消息。我们经常用来检测网络通不通的“Ping”命令就是使用ICMP协议。中国通信人博客|mu5h9oZ9k gH ICMP Flood攻击的原理就在在较短时间内向受害者机器发送大量的ICMP请求报文，使受害者机器忙于向外发送ICMP应答报文，造成系统资源耗尽，导致瘫痪。c1L Gdo#Y L0 在DOS/DDOS原理及攻击防御方法浅谈(二)中，我们已经介绍了IP Spoofing、Land、SYN Flood、UDP Flood、ICMP Flood五中常用的DOS/DDOS攻击方法及防御手段，下面我们继续介绍剩下的五中DOS/DDOS攻击

21、方法及防御手段。IS/A N1J&H0 中国通信人博客3fS+U4GD!Uy 6). Smurf攻击wRXpv6l/T;P4T0 Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。同ICMP Flood攻击一样，Smurf攻击也是利用了ICMP协议的漏洞。其原理是攻击者A向广播地址发送ICMP请求广播报文，不过该广播报文的源IP地址不是攻击者A本身，而是伪造成受害者B的IP地址，这样，广播域内所有收到该ICMP请求报文的机器都会给受害者B回复ICMP应答报文，因而产生大量的通信业务，从而导致受害者B的网络拥塞及系统瘫痪。对于Smurf攻击，广播域内的机器数量越多，攻击效果就越明

22、显。-#t0FsOh0 在网络安全设备中，是通过如下方法来防御Smurf攻击的：对通过设备的所有ICMP请求报文的目的地址进行检查，如果是子网广播地址或者子网的网络地址，则认为是Smurf攻击，直接拒绝通过。中国通信人博客zY-wO S/cms;G |n-p2Y.l_0 7). Fraggle攻击p G6y0g V5!T7h0 Fraggle 攻击的原理与 Smurf 攻击的原理类似，不过，Fraggle 攻击发送的是UDP 报文而非 ICMP 报文。因为发送的是 UDP 报文，Fraggle 攻击可以穿过一些阻止 ICMP 报文进入的防火墙。k|rBy0 Fraggle攻击的原理是攻击者A向

23、广播地址发送UDP报文，目的端口号为 7(ECHO)或19(Chargen)，报文的源IP地址伪装成受害者B的IP地址。这样，广播域中所有启用了此功能的计算机都会向受害者B发送回应报文，从而产生大量的流量，导致受害网络的阻塞或受害主机崩溃。如果广播域中的主机没有启动这些功能，这些主机将产生一个 ICMP 不可达消息发给B，仍然消耗带宽。Fraggle攻击时，也可将源端口改为端口19(Chargen)，目的端口为 7(ECHO)，这样会自动不停地产生回应报文，其危害性更大。0.Ut6q:w2X0 防御方法：关闭路由器或防火墙的广播地址特性，并在防火墙上过滤掉 UDP 报文，阻止所有目的端口或源端

24、口号为7或19的UDP报文通过。4fBPm Uoo_0 补充下计算机端口方便的知识，大家都知道通信网络的上层应用程序都是通过端口号来识别传输层协议的，比如常用的HTTP协议就使用了80端口，用于邮件的SMTP协议使用的是25端口。比如某传输层报文的端口号标识位为“80”，那么计算机收到报文后一看端口号就知道该报文是给HTTP协议的，直接转交给它处理。同样的，TCP/UDP协议是IP的上层协议，IP可能会被系统中多个应用程序应用，如何来区分多个应用程序呢？答案是TCP/UDP端口号。中国通信人博客/|M?(i;r,pTCP和UDP的端口号的编号都是独立的，都是065535。例如DNS，可以是TC

25、P的53号端口，也可以是UDP的53号端口。端口号只具有本地意义，是拿来标识程序的。只有01023是公认的系统占用，其他在通信过程中是随机生成，此次传输完成即撤消。在UDP的这些端口中，有两个很特殊的端口7和19。UDP的7号端口收到报文后，会象 ICMP Echo Reply一样回应收到的内容， 而19号端口在收到报文后，会产生一串字符流。中国通信人博客N!gSCO*中国通信人博客f T%Y h bx 8). WinNuke攻击7| sE&r8blP |0 WinNuke攻击是以最初发动这种攻击的程序名“WinNuke”来命名的。其攻击原理是利用了 WINDOWS 操作系统的一个漏洞，向13

26、9 端口发送一些携带 TCP 带外（OOB）数据报文，但这些攻击报文与正常携带 OOB 数据报文不同的是，其指针字段与数据的实际位置不符，即存在重叠， WINDOWS 操作系统在处理这些数据的时候，就会崩溃。 还有一种是 IGMP（Internet Group Management Protocol）分片报文，一般情况下，IGMP 报文是不会分片的，所以，不少系统对 IGMP 分片报文的处理有问题。如果收到IGMP 分片报文，则基本可判定受到了攻击。e2J/GCvO%X0 NetBIOS 作为一种基本的网络资源访问接口，广泛的应用于文件共享，打印共享，进程间通信（IPC），以及不同操作系统之间

27、的数据交换。一般情况下，NetBIOS 是运行在 LLC2 链路协议之上的，是一种基于组播的网络访问接口。为了在 TCP/IP 协议栈上实现 NetBIOS，RFC 规定了一系列交互标准，以及几个常用的 TCP/UDP 端口，如下。中国通信人博客/bf-7nCHE0hD A). 139：NetBIOS 会话服务的 TCP 端口；)hE0K b!a e0 B). 137：NetBIOS 名字服务的 UDP 端口；ea;HrMt z0 C). 136：NetBIOS 数据报服务的 UDP 端口。中国通信人博客r7N FvM+? Windows 操作系统实现了 NetBIOS over TCP/IP

28、 功能，并开放了 139 端口。 WinNuke 攻击就是利用了 WINDOWS 操作系统的一个漏洞，向这个 139 端口发送一些携带 TCP 带外（OOB）数据报文，但这些攻击报文与正常携带 OOB 数据报文不同的是，其指针字段与数据的实际位置不符，即存在重叠， WINDOWS 操作系统在处理这些数据的时候，就会崩溃。 还有一种是 IGMP（Internet Group Management Protocol）分片报文，一般情况下，IGMP 报文是不会分片的，所以，不少系统对 IGMP 分片报文的处理有问题。如果收到IGMP 分片报文，则基本可判定受到了攻击。中国通信人博客 Rv+l%d6l

29、6z 补充下NetBIOS协议方面的知识：NETBIOS协议是由IBM公司开发，主要用于数十台计算机的小型局域网。该协议是一种在局域网上的程序可以使用的应用程序编程接口（API），为程序提供了请求低级服务的统一的命令集，作用是为了给局域网提供网络以及其他特殊功能，系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，实现信息通讯，所以在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享。因为它占用系统资源少、传输效率高，所以几乎所有的局域网都是在NetBIOS协议的基础上工作的。j)Belbf0 防御方法：防火墙设备会扫描所有进入的“M

30、icrosoft NetBIOS 会话服务”（端口139）封包。如果防火墙设备发现某个封包上设置了TCP URG 代码位，就会检查偏移值、删除碎片重叠并根据需要纠正偏移值以防止发生OOB 错误。然后让经过修正的封包通过，并在“事件警报”日志中创建一个WinNuke 攻击日志条目。s)wFj(h0 g&ID)PYC68i;b3t0 9). ICMP-Unreachable攻击0ScFq7N:sP4SB0 ICMP-Unreachable即ICMP报文报文不可到达的意思。ICMP-Unreachable攻击原理是：某些系统在收到网络（代码为 0）或主机（代码为 1）不可达的 ICMP 报文后，对于后续发往此目的地的报文直接认为不可达。攻击者A利用这种机制，向受害者B发送虚假的 ICMP-Unreachable 报文，干扰了受害者B的路由信息，影响了报文发送。t$F( H i,? X1L,R0 !q KdVv;0eG0 10). ICMP-Redirect攻击中国通信人博客)P-W&zB_xFLvH ICMP-Redirect 攻击和 ICMP-Unreachab