【课】DOS攻击

目录

目录

• DOS攻击与防御
  • 初识DOS攻击与防御
    • DOS攻击概念
    • DOS攻击原因
    • DOS攻击原理
    • DOS攻击方法
  • DOS常见攻击技术
    • SYN Flood - 最经典的攻击之一
    • ICMP Flood
    • Land 攻击 - 局域网拒绝服务攻击
    • TearDrop 攻击 - 泪滴攻击
  • DDOS攻击与防御
    • 认识DDOS攻击 -分布式拒绝服务
    • CC攻击 -应用层的DDOS攻击

DOS攻击与防御

---

初识DOS攻击与防御

- 针对信息安全的可用性

DOS攻击概念

所谓DOS攻击，通常是利用传输协议中的某个弱点、系统或服务存在的漏洞，对目标系统发起大规模进攻的，使其无法处理合法用户的正常请求和提供正常服务，最终导致网络服务瘫痪，甚至系统死机。简言之，DOS攻击是使目标系统瘫痪，是一种典型的损人不利己的攻击。

DOS攻击原因

• 内因 网络协议的安全缺陷
• 外因 利益驱使的蓄意行为或偶然无意事件

DOS攻击原理

• 攻击原理：
  利用合理的请求占用过多的服务资源，使得服务超载，无法响应正常的服务请求。
  • 服务资源包括：
    网络带宽、文件系统空间容量、开放的进程、允许的连接

DOS攻击方法

• 耗尽计算机资源，如带宽、内存、磁盘空间、处理器时间。
• 破坏配置信息，如路由信息
• 破坏状态信息，如TCP连接中断
• 破坏网络硬件
• 破坏通信介质，阻挡正常通信

---

DOS常见攻击技术

• 学习目标：了解常见DOS攻击技术及相对应的防护措施

DOS攻击技术

SYN Flood - 最经典的攻击之一

是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽的攻击手段

• 基本思想
  发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式
• 基本原理
  基于正常TCP连接过程，SYN→SYN/ACK→ACK（三次握手）
  在第三次握手时，若客户机因各种原因不向服务器返回ACK确认，形成半开连接，服务器会重试发送三到五次SYN/ACK（SYN Timeout）大约30s ~ 2min
  若客户机伪造大量源IP地址发送大量SYN给服务器，使服务器形成大量半开连接列表，占用非常多的资源，消耗大量CUP资源和内存，导致无法处理 正常请求甚至堆栈溢出崩溃
• 攻击方法
  • 阻断应答
    向目标端发送SYN分组，并确保IP地址不会应答SYN/ACK分组
    需要监听数据包，并且在主机或路由器上进行阻断
  • 伪装不在线的IP地址 - 最常见攻击方式
    显然不会应答
• 防御措施
  • 缩短SYN Timeout时间
    攻击效果 = SYN攻击频率 * SYN Timeout
    仅对攻击方频率不高的情况有效
  • SYN Cookie
    给每个连接请求的IP地址分配一个Cookie，短时间内收到某IP重复的SYN报文，则认定受到攻击，丢弃该IP发来的之后的数据包
    依赖于攻击方使用真实的IP地址
  • 设置半开连接数量
    通过路由器和防火墙设置控制半开连接数量，防止占满缓冲区wireshark抓包
• 攻击案例
  使用kali的hping进行攻击

ICMP Flood

利用ICMP协议做手脚

• 典型基于ICMP的攻击
  • Smurf Flood
    攻击者发送源地址伪造的ICMP数据包，目的地址为某网络广播地址。使得被攻击主机被成千上万的返回应答包淹没，造成拒绝服务
    • 防御措施
      配置路由器禁止IP广播包进网
  • Ping of Death
    发送一些尺寸(♂)超大（大于64K）的ICMP包。
    • 防御：
      禁止ICMP报文通过网络安全设备

Land 攻击 - 局域网拒绝服务攻击

• 方式
  发送具有相同源地址和目标地址的欺骗数据包，使得目标主机建立大量无效连接，使得系统崩溃
• 防御
  • 防火墙拦截
  • 操作系统修复漏洞
  • 配置路由器

TearDrop 攻击 - 泪滴攻击

基于UDP的病态分片数据包的攻击方法
攻击者向目标发送大量过大的错位IP碎片，某些系统会因重组BUG导致崩溃重启

• 现象
  Windows会导致蓝屏死机，并显示STOP 0x0000000A错误
• 防御
  添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计

---

DDOS攻击与防御

- 安全领域最难解决的攻击之一，尚未有效防御手段

认识DDOS攻击 -分布式拒绝服务

利用合理请求造成资源过载，导致服务不可用的一种攻击。是一种分布的，协同的大规模攻击方式

• 特点
  利用若干个网络节点（肉鸡、僵尸网络）同时向目标发起攻击。
  网络层的攻击
• 攻击流程
  攻击者控制大量肉鸡，进入肉鸡后安装可远程控制的代理程序，一部分当 主控端，另一部分当代理端，攻击者通过主控端控制代理端发送大量残缺的数据包构成的连接请求，使目标系统崩溃
• 防御
  • 抗DDOS产品
    综合使用各种算法，结合攻击特征，流量清洗
  • 抗DDOS的网络设备
    串联或并联在网络出口处

CC攻击 -应用层的DDOS攻击

Challenge Collapsar 挑战黑洞
ADS防御已可防御

• 攻击对象 - 网页页面
• 攻击原理
  对一些资源消耗较大的应用页面不断发起正常请求，以达到造成消耗服务器端资源的目的
• 攻击范例
  SQL代码 爬虫将小网站趴死
• 防御
  • 优化服务器性能
    • 应用代码性能优化
    • 网络架构优化
  • 限制请求频率
    通过IP地址和Cookie定位一个客户端，针对过频繁访问，采取重定向页面
  • 利用验证码机制阻止自动化重放攻击
• 实例
  利用kali的hping3进行攻击