[系统运维]【网络攻防原理与技术】第5章：拒绝服务攻击

5.1 概述

拒绝服务攻击（DoS Denial of Service）， 通过消耗?络带宽或者系统资源，使得?络或者系统不堪负荷，以?于瘫痪?停?提供正常的?络服务或者?络服务质量显著下降，或者通过更改系统配置使得系统?法正常?作，大多数情况下，拒绝服务攻击指的是前者。

DDoS指多个攻击者同时向?个多个?标发起拒绝服务攻击。

拒绝服务攻击的分类：
（1）按攻击目标分类

• 结点型DoS
  • 主机型：主要对主机的CPU、磁盘、操作系统等进行DoS攻击
  • 应用型：主要对应用软件进行DoS攻击
• ?络连接型：
  利??标?户获取服务器资源时需要交换DNS数据包的特性，发送?量的
  伪装DNS数据包导致?标?户?络拥塞，不能访问?标服务器。

（2）按攻击方式分类

• 资源破坏型DoS：耗尽网络带宽、主机内存、CPU和磁盘等
• 物理破坏型DoS：摧毁主机或网络结点的DoS攻击
• 服务终止型DoS：攻击导致服务崩溃或终止

（3）按受害者类型分类

• 服务器端DoS：以服务器端为攻击目标
• 客户端DoS：以客户端为目标

（4）按攻击是否直接针对受害者分类

• 直接型DoS：直接对受害者攻击
• 间接型DoS：

（5）属性分类法

• 攻击静态属性
• 攻击动态属性
• 攻击交互属性

（6）舞厅分类法

• 舞伴类：与受害主机通信
• 风暴类：用大量噪声干扰受害者
• 陷阱类：干扰正常用户与受害主机的通信
• 介入类：切断正常用户与受害主机的通信连接

（7）按攻击机制分类

• 剧毒包（杀手包）：利用协议本身或软件的漏洞，向目标发送一些异常的包，使目标系统在处理时出现异常
• 风暴型：向目标发送大量数据包
• 重定向型（中间人攻击）：如果重定向的目的主机不存在则为拒绝服务攻击

5.2 剧毒包型拒绝服务攻击

利?协议本身或者软件的漏洞，向受害者主机发送?些畸形的数据包使得受害者的主机崩溃。

1. 碎片攻击（Teardrop）
   利?异常的数据分?导致接收?在处理分?数据时崩溃。
2. Ping of Death攻击（死亡之ping 或 ICMP Bug攻击）
   利?协议实现时的漏洞，向受害者发送超?的ping包，导致受害者系统异常
3. Land攻击
   向受害者发送TCP SYN包，?这些包的源地址和?的IP地址被伪装成受害者的IP地 址。源端?和?的端?也是相同的。（感觉有点像是自身形成了一个回路，然后系统就崩溃了）
4. 循环攻击（振荡攻击）
   当两个都会产?输出的端?之间建?连接以后，第?个端?的输出成为第?个端?的输?，导致第?个端?产?输出，同时第?个端?的输出也成为第?个端?的输?。如此，?两个端?之间就会有?量的数据包产?。导致拒绝服务。

5.3 风暴型拒绝服务攻击

主要通过向攻击目标发送大量的数据包，达到瘫痪的目的

攻击原理（步骤）：
（1）攻击者通过扫描工具寻找一个或多个能够入侵的系统
（2）攻击者利用扫描工具大量扫描并攻击存在安全漏洞的系统
（3）攻击者通过Handler通知Agent攻击的目标和攻击类型等

风暴型拒绝服务攻击能够成功的原因：
（1）TCP/IP协议存在漏洞
（2）网络提供best-effort服务，不区分数据流量是否为攻击流量
（3）因特网没有认证机制，从而容易进行IP欺骗
（4）因特网中的路由器不具备数据追踪功能，因而无法验证一个数据包是否来自其声称的地方
（5）网络带宽和系统资源是有限的，这是最根本的原因

• 直接?暴型攻击
  ?于攻击的分组类型包括：TCP floods、ICMP echo请求/响应报?、UDP洪流
  • PING?暴攻击
  • SYN?暴攻击（建?TCP半连接），消耗服务器半连接资源。
  • TCP连接耗尽型(建?完整的TCP连接)
  • UDP?暴攻击：向受害者主机发送?量较?的UDP数据包，占??络带宽，达到阻塞?络的?的。
  • HTTP?暴攻击：?HTTP协议对??上的资源进?合法请求，不停地从受害者出获取数据，占?连接的同时占?带宽。
  • 对邮件系统的攻击
    • 邮件炸弹：往?个邮件地址发送?量相同的邮件，耗尽其存储空间。
    • 垃圾邮件

反射型拒绝服务攻击：

• 不直接向目标主机发送数据包，而是通过中间主机间接向目标主机发送大量数据包。攻击者?般伪装源地址为受害主机的IP地 址，向?台?速、?带宽服务器或者?量服务器发送?量数据包。服务器收到这些包以后就向这个源地址回复?量响应包。这样就变成了多台?性能的服务器向?标主机发起DoS攻击。?般攻击者会选择使?回复响应包数量远?于请求数据包的协议服务器，形成流量放?攻击，增强破坏性。

• NTP反射式拒绝服务攻击

  • NTP协议：?络中?来同步各个计算机时间的协议。使?UDP通信。当?个NTP服务器收到?个monlist请求包以后，就会返回与NTP服务器进?通信过
    的最后600个客户端的IP地址。响应包按照6个IP地址?组，?次请求最多会返回100个响应包。
  • 攻击者实施NTP攻击的步骤
    • 扫描。利?扫描软件在Internet上扫描开放了123端?的服务器。并进?步确认其是否开启了NTP服务。
    • 攻击。利?控制的僵??络伪装被攻击主机的IP向NTP服务器发送monlist请求。
  • 防治?法
    需要基础电信运营商在全?范围内组织实施源地址验证。
    在国际出??和互联互通层?对NTP流量进?监测和调控，降低来?国外?规模NTP DRDoS攻击的可能性。

• SSDP反射式拒绝服务攻击
  Simple Service Discovery Protocol 。?于在局域?内发现通?的即插即?设备。UPnP协议。（通?即插即?技术）

  • SSDP DRDoS 攻击流量就是?量的SSDP应答消息。
  • 攻击者通过伪造SSDP请求源地址字段，使得智能即插即?设备将SSDP应答消息发送?攻击?标
  • 防范：
    • 关闭不需要要启动即插即?服务设备的即插即?服务。
    • 确认所有连接外?的设备没有将即插即?服务暴露于互联?上。对?信任?络禁?SSDP协议。防?设备被攻击者利?为攻击反射结点。

• 僵尸网络
  僵?主?通过命令与控制信道控制的具有协同性的恶意计算机群

  • IRC僵??络
    

    • 控制者通过?个IRC服务器控制?量僵?主机。但是当IRC服务器被攻破，控制者就回失去对僵??络的控制权。结构简单，但是健壮性差，容易被摧毁。

  • P2P僵??络
    
    基于P2P控制与命令机制。?络中的每?台僵?主机都与该僵??络中的某台或者某些僵?主机建?连接。?且建?连接之后，它还可以对所要连接的主机进?更新。这样，僵??络主?只要通过向?台对等主机发送控制信息，进?控制整个?络。

5.4 拒绝服务攻击的应用

拒绝服务攻击除了直接用于瘫痪攻击目标外，还可以作为特权提升攻击，获得非法访问的一种辅助技术。
SYN Flood可以用于IP劫持、IP欺骗等。
一些系统在启动时会有漏洞，可以通过拒绝服务攻击使之重启，然后利用漏洞
对DNS的拒绝服务攻击可以达到冒充地址的目的。

5.5 拒绝服务攻击的检测及响应技术

拒绝服务攻击检测技术

• DoS攻击工具的特征标志检测：特定端口、标志位、特定数据内容
• 根据异常流量来检测：大量目标主机域名解析、极限通讯流量、特大型的ICMP和UDP数据包、不属于正常连接通信的TCP和UDP数据包、数据段内容只包含文字和数字字符

拒绝服务攻击响应技术

从原理上讲，主要有4种应对DoS攻击的方法：第一种是通过丢弃恶意分组的方法；第二种是在源端控制DoS攻击；第三种是追溯发起攻击的源端；第四种是路由器动态检测流量并进行监控

• 分组过滤，丢弃恶意分组
• 源端控制：通常参与DoS攻击的分组使用的源IP地址都是假冒的，可以通过源端过滤减少或消除假冒IP地址的访问，如使用路由器检查来自与其直连的网络分组源IP地址，如果非法则扔掉。
• 追溯：IP追溯、ICMP追溯、链路测试（从离受害主机最近的路由器开始，交互测试其上游链路，递归执行，知道确定攻击路径）
• 路由器动态检测和控制：攻击检测系统、攻击缓解系统、监控管理系统
• 流量清洗（最有效）对DDoS攻击与正常业务数据混合在?起的流量进?净化，净化掉DDoS攻击流量，保留正常的业务流量。