网络攻击技术――拒绝服务
时间:2022-06-01 04:45:23
摘要:DoS是Denial of Service的简称,即拒绝服务。造成DoS的攻击行为被称为DoS攻击,拒绝服务攻击是指一个用户占据了大量的共享资源,使系统没有剩余的资源给其它用户提供服务的一种攻击方式。拒绝服务攻击的结果可以降低系统资源的可用性,这些资源可以是网络带宽、CPU时间、磁盘空间、打印机、甚至是系统管理员的时间。
关键词:DOS;攻击;拒绝
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2010)05-1096-02
Network Attack Technique,Denial of Service
YAN Zhi-min
(Nanjing Xiaozhuang University Xingzhi College,Nanjing 211171,China)
Abstract: DoS is a Denial of Service abbreviation,Namely, denial of service。Namely, denial of service caused by DoS attacks is known as a DoS attack,Denial of service attack is a user account for a large number of shared resources,The system is no remaining resources to other users of a service attack. Result of denial of service attack can reduce the availability of system resources,These resources can be network bandwidth, CPU time, disk space, printers, and even the system administrator's time.
Key words: DOS;Attack;Refused
最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求,如图1所示。
1 分布式拒绝服务
DDoS(分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,
一个比较完善的DDoS攻击体系分成三层,如图2。
1)攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。
2)主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的主机。主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到主机上。
3)端:端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令。端主机是攻击的执行者,由它向受害者主机实际发起攻击。
2 DDoS的主要攻击方式及防范策略
2.1 死亡之ping (ping of death)
由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方宕机。
2.2 SYN Flooding攻击
对Windows NT攻击很有效,使用一个伪装的地址向目标计算机发送连接请求叫做IP欺骗技术。当目标计算机收到这样的请求后,就会使用一些资源来为新的连接提供服务,接着回复请求一个肯定答复(叫做SYN-ACK)。由于SYN-ACK是返回到一个伪装的地址,没有任何响应。于是目标计算机将继续设法发送SYN-ACK。一些系统都有缺省的回复次数和超时时间,只有回复一定的次量、或者超时时,占用的资源才会释放。NT设罢为可回复5次,每次等待时间加倍:则:3+6+12+24+48+96=189S
2.3 Land攻击
在Land攻击中,一个特别打造的SYN包它的源地址和目标地址都被设置成某一个服务器地址,此举将导致接收服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。
2.4 Smurf攻击
基于互联网控制信息包(ICMP)的Smurf攻击是一种强力的拒绝服务攻击方法,主要利用的是IP协议的直接广播特性。Smurf攻击对被攻击的网络,以及被利用来做扩散器的网络都具有破坏性。在这种拒绝服务攻击中,主要的角色有:攻击者、中间(也就是所说的扩散器);牺牲品(目标主机)。
2.4.1 Smurf攻击的过程
Smurf攻击并不十分可怕;它仅仅是利用IP路由漏洞的攻击方法。攻击通常分为以下五步:
1)锁定一个被攻击的主机(通常是一些Web服务);
2)寻找可做为中间的站点,用来对攻击实施放大(通常会选择多个,以便更好地隐藏自己,伪装攻);
3)黑客给中间站点的广播地址发送大量的ICMP包(主要是指Ping echo包)。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址;
4)中间向其所在的子网上的所有主机发送源IP地址欺骗的数据包;
5)中间主机对被攻击的网络进行响应。
2.4.2 防止你的网络遭受Smurf攻击
首先,千万不能让你的网络里的人发起这样的攻击。在Smurf攻击中,有大量的源欺骗的IP数据包离开了第一个网络
通过在路由器上使用输出过滤,你就可以滤掉这样的包,从而阻止从你的网络中发起的Smurf攻击。
在路由器上增加这类过滤规则的命令是:
Access-list 100 permit IP {你的网络号} {你的网络子网掩码} any
Access-list 100 deny IP any any
其次,停止你的网络做为中间。如果没有必须要向外发送广播数据包的情况,就可以在路由器的每个接口上设置禁止直接广播,命令如下:
no ip directed-broadcast
2.5 Fraggle攻击
Fraggle攻击与Smurf攻击类似,但它使用的不是ICMP,而是 UDP Echo。
可以在防火墙上过滤掉UDP应答消息来防范
2.6 炸弹攻击
炸弹攻击的基本原理是利用工具软件,集中在一段时间内,向目标机发送大量垃圾信息,或是发送超出系统接收范围的信息,使对方出现负载过重、网络堵塞等状况,从而造成目标的系统崩溃及拒绝服务。常见的炸弹攻击有邮件炸弹、聊天室炸弹等。
防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。
3 配置路由器、防火墙和入侵检测系统来抵御DDoS攻击
3.1 抵御Smurf
1) 确定是否成为了攻击平台:对不是来自于内部网络的信息包进行监控;监控大容量的回音请求和回音应答信息包。
2) 避免被当做一个攻击平台:在所有路由器上禁止IP广播功能;将不是来自于内部网络的信息包过滤掉。
3)减轻攻击的危害:在边界路由器对回音应答信息包进行过滤,并丢弃;对于Cisco路由器,使用CAR来规定回音应答信息包可以使用的带宽最大值。
3.2 抵御trinoo
1)确定是否成为了攻击平台:在master程序和程序之间的通讯都是使用UDP协议,因此对使用UDP协议(类别17)进行过滤;攻击者用TCP端口27655与master程序连接,因此对使用TCP(类别6)端口27655连接的流进行过滤;master与之间的通讯必须要包含字符串“l44”,并被引导到的UDP端口27444,因此对与UDP端口27444连接且包含字符串“l44”的数据流进行过滤。
2) 避免被用作攻击平台:将不是来自于你的内部网络的信息包过滤掉。
3)减轻攻击的危害:从理论上说,可以对有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列进行过滤,并丢弃它们。
3.3 抵御TFN和TFN2K
1) 确定是否成为了攻击平台:对不是来自于内部网络的信息包进行监控。
2) 避免被用作攻击平台:不允许一切到你的网络上的ICMP回音和回音应答信息包,当然这会影响所有要使用这些功能的Internet程序;将不是来源于内部网络的信息包过滤掉。
3.4 抵御Stacheldraht
1)确定是否成为了攻击平台:对ID域中包含值666、数据域中包含字符串“skillz”或ID域中包含值667、数据域中包含字符串“ficken”的ICMP回音应答信息包进行过滤;对源地址为“3.3.3.3”的ICMP信息包和ICMP信息包数据域中包含字符串“spoofworks”的数据流进行过滤。
2)避免被用作攻击平台:不允许一切到你的网络上的ICMP回音和回音应答信息包, 当然这会影响所有要使用这些功能的Internet程序;将不是来源于内部网络的信息包过滤掉;将不是来源于内部网络的信息包过滤掉。
4 总结
网络安全中,拒绝服务攻击以其危害巨大,难以防御等特点成为黑客经常采用的攻击手段。本文从原理、对网络的危害以及防范方法上面来分析拒绝服务攻击,如何防范拒绝服务攻击。
参考文献:
[1] 赵安军.网络安全技术与应用[M].北京:人民邮电出版社,2007.
[2] 俞承杭.计算机网络与信息安全技术[M].北京:机械工业出版社,2008.
[3] 陈广山.网络与信息安全技术[M].北京:机械工业出版社,2007.