【正文】 ? 其他資源 ?處理時間 ?磁盤空間 ?賬號封鎖 ? 配置信息的改變 DoS分類 ? Syn flood ? 其他 flood（ smurf等） ? 分布式 DoS(DDoS) Syn flood 攻擊原理 ? 攻擊 TCP協(xié)議的實現(xiàn) ? 攻擊者不完成 TCP的三次握手 ? 服務(wù)器顯示 TCP半開狀態(tài)的數(shù)目 ? 與帶寬無關(guān) ? 通常使用假冒的源地址 ? 給追查帶來很大的困難 TCP ThreeWay Handshake SYN Client wishes to establish connection SYNACK Server agrees to connection request ACK Client finishes handshake Client initiates request Connection is now halfopen Client connection Established Server connection Established Client connecting to a TCP port SYN Flood Illustrated Client spoofs request halfopen S halfopen S halfopen S Queue filled S Queue filled S Queue filled S SA Client SYN Flood Syn flood攻擊實例 ? 服務(wù)器很容易遭到該種攻擊 ? 南郵“紫金飛鴻”曾遭受該攻擊的困擾 SYN Flood Protection ? Cisco routers ? TCP 截取 ? 截取 SYN報文，轉(zhuǎn)發(fā)到 server ? 建鏈成功后在恢復(fù) client與 server的聯(lián)系 ? Checkpoint Firewall1 ? SYN Defender ? 與 Cisco 路由器的工作原理累死 ? 攻擊者依然可以成功 ? 耗盡路由器或者防火墻的資源 TCP Intercept Illustrated Request connection Answers for server S SA Finishes handshake A Request connection Server answers S SA Finishes handshake A Knit half connections SYN Flood Prevention ? 增加監(jiān)聽隊列長度 ? 依賴與操作系統(tǒng)的實現(xiàn) ? 將超時設(shè)短 ? 半開鏈接能快速被淘汰 ? 有可能影響正常使用 ? 采用對該攻擊不敏感的操作系統(tǒng) ? BSD ? Windows Smurf 攻擊原理 ? 一些操作系統(tǒng)的實現(xiàn)會對目的地址是本地網(wǎng)絡(luò)地址的 ICMP應(yīng)答請求報文作出答復(fù)。 ? 以網(wǎng)絡(luò)地址為目標(biāo)地址發(fā)送 ICMO應(yīng)答請求報文，其中很多主機會作出應(yīng)答。 ? 攻擊者將 ICMP報文源地址填成受害主機，那么應(yīng)答報文會到達(dá)受害主機處，造成網(wǎng)絡(luò)擁塞。 Smurf Attack Illustrated ICMP Echo Request Src: target Dest: Attacker spoofs address Amplifier: Every host replies Smurf攻擊的預(yù)防 ? 關(guān)閉外部路由器或防火墻的廣播地址特性；防止目標(biāo)地址為廣播地址的 ICMP報文穿入。 ? 成為 smurf攻擊的目標(biāo)，需要在上級網(wǎng)絡(luò)設(shè)備上做報文過濾。 分布式 DoS(Distributed DOS) ? 從多個源點發(fā)起攻擊 ? 堵塞一個源點不影響攻擊的發(fā)生 ? 采用攻擊二級結(jié)構(gòu) ? 攻擊控制用的稱為 handlers ? 發(fā)起攻擊用的 agents ? 攻擊目標(biāo)為 targets DDOS Illustrated Client Agent Handler Agent Agent Handler Agent Agent Agent DDoS攻擊 ? 目前沒有 很好的預(yù)防方法 ? DDoS攻擊開銷巨大 ? 但是一般主機不可能成為 DDoS的目標(biāo) ? Yahoo曾經(jīng)遭受過 DDoS攻擊 ? Sadmind/unicode蠕蟲為 DDoS做準(zhǔn)備 針對主機的攻擊 ? 緩沖區(qū)溢出 ? 后門和木馬 ? 蠕蟲、病毒 緩沖區(qū)溢出 ? 程序收到的參數(shù)比預(yù)計的長 ? 程序的棧結(jié)構(gòu)產(chǎn)生混亂 ? 任意輸入會導(dǎo)致服務(wù)器不能正常工作 ? 精心設(shè)計的輸入會導(dǎo)致服務(wù)器程序執(zhí)行任意指令 Buffer Overflow Illustrated main() { show (“THIS IS MORE THAN 24 CHARACTERS!”)。 } show(char*p) { strbuff[24]。 strcpy(strbuf,p)。 } Stack main() data main() return Saved register Show() data Strbuf 24 bytes strcpy() return E R S ! T H I S . I S . M O R E . T H A N . 2 4 . C H A R A C T Return address corrupt 緩沖區(qū)溢出的預(yù)防 ? 聯(lián)系供應(yīng)商 ? 下載和安裝相關(guān)的補丁程序 ? 如果有源代碼 ? 自己修改源代碼，編譯安裝 后門和木馬 ? 應(yīng)用背景：攻入系統(tǒng)之后，為以后方便、隱蔽的進入系統(tǒng)，有時候攻擊者會在系統(tǒng)預(yù)留后門。 ? Trojan horse: A program that appears to serve one purpose, but it reality performs an unrelated (and often malicious) task. 后門、木馬技術(shù) －－獲得系統(tǒng)控制權(quán)之后，可以做什么？ ? 修改系統(tǒng)配置 ? 修改文件系統(tǒng) ? 添加系統(tǒng)服務(wù) 后門技術(shù)通常采用以上的手段或其組合。 后門、木馬的檢測和預(yù)防 ? MD5 基線 ? 給干凈系統(tǒng)文件做 MD5校驗 ? 定時做當(dāng)前系統(tǒng)的 MD5校驗，并做比對 ? 入侵檢測系統(tǒng) ? 后門活動有一定的規(guī)律 ? 安裝入侵檢測系統(tǒng)，一定程度上能夠發(fā)現(xiàn)后門 ? 從 CDROM啟動 ? 防止后門隱藏在引導(dǎo)區(qū)中 蠕蟲 ? 能夠自行擴散的網(wǎng)絡(luò)攻擊程序 ? 各種攻擊手段的組合 ? 有時候為 DDoS做攻擊準(zhǔn)備 ? 具體問題具體分析 一個蠕蟲實例 ? 第一步 ， 隨機生成 IP作為二級受害主機的超集 ，對這些 IP所在的 C類網(wǎng)段的 111口進行橫向掃描 （ 檢測是否存在 rpc服務(wù) ） ， 保存結(jié)果 ， 獲得存在 rpc服務(wù)的主機集合； ? 第二步 ， 對上述存在 rpc服務(wù)的主機 ， 檢測是否運行 sadmind服務(wù) ， 保存檢測結(jié)果 ， 獲得存在 sadmind服務(wù)的主機集合 ， 即二級受害主機集合一； ? 第三步 ， 對二級受害主機集一以輪詢方式嘗試sadmind棧溢出攻擊； 蠕蟲實例（續(xù)上） ? 第四步 ， 檢查棧溢出攻擊是否成功 。 如果成功則進行第五步 （ 擴散攻擊系統(tǒng) ） 否則跳第九步（ 進行另一種攻擊嘗試 ） ； ? 第五步 ， sadmind棧溢出攻擊成功后 ， 攻擊程序可以通過登錄二級受害主機的 600口獲得一個具有超級用戶權(quán)限的 shell。 攻擊程序利用這個 shell， 添加二級受害主機對一級受害主機的信任關(guān)系 ， 使一級受害主機可以執(zhí)行二級受害主機的遠(yuǎn)程 shell指令 。 一個蠕蟲實例（續(xù)上） ? 第六步 ， 一級受害主機將攻擊代碼上載至二級受害主機 ， 設(shè)置二級受害主機的攻擊環(huán)境 ， 修改系統(tǒng)啟動文件并且消除入侵痕跡 。 ? 第七步 ， 一級受害主機遠(yuǎn)程啟動二級受害主機的攻擊進程 。 由于在第六步中 ， 一級受害主機設(shè)置了二級受害主機的攻擊環(huán)境 、 修改了系統(tǒng)配置 ， 因此 ， 二級受害主機不能通過重新啟動系統(tǒng)阻止 CUC攻擊的擴散 。 這樣 ， 二級受害主機迅速完成了從受害者到 “ 幫兇 ” 的角色轉(zhuǎn)換 。 一個蠕蟲實例（續(xù)上） ? 第八步 ， 一