【文章內(nèi)容簡介】 攻擊目標。 ，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。 ，為信息系統(tǒng)提供安全體系管理、監(jiān)控，渠護及緊急情況服務。 1. 4 小結 ： 本章主要介紹了網(wǎng)絡 安全 的意義和目的，并對一下 攻擊 和 防范 做了進一步的分析。 四川 職業(yè)技術學院 計科系論文 5 第二章 講述 DOS（拒絕服務） 什么是 DOS 攻擊？ DOS 攻 擊 (Denial of Service，簡稱 DOS)即拒絕服務攻擊，是指攻擊者通過消耗受害網(wǎng)絡的帶寬，消耗受害主機的系統(tǒng)資源，發(fā)掘編程缺陷，提供虛假路由或 DNS 信息，使被攻擊目標不能正常工作。 DOS 攻擊概念 WWW 安全 FAQ[1]給 DOS 攻擊下的定義為：有計劃的破壞一臺計算機或者網(wǎng)絡，使得其不能夠提供正常服務的攻擊。 DOS 攻擊發(fā)生在訪問一臺計算機時，或者網(wǎng)絡資源被有意的封鎖或者降級時。這類攻擊不需要直接或者永久的破壞數(shù)據(jù)，但是它們故意破壞資源的可用性。最普通的 DOS 攻擊的目標是計算 機網(wǎng)絡帶寬或者是網(wǎng)絡的連通性。帶寬攻擊是用很大的流量來淹沒可用的網(wǎng)絡資源，從而合法用戶的請求得不到響應，導致可用性下降。網(wǎng)絡連通性攻擊是用大量的連接請求來耗盡計算機可用的操作系統(tǒng)資源，導致計算機不能夠再處理正常的用戶請求。 DOS 攻擊廣義上指任何導致被攻擊的服務器不能正常提供服務的攻擊方式。具體而言 ,DOS 攻擊是指攻擊網(wǎng)絡協(xié)議實現(xiàn)的缺陷或通過各種手段耗盡被攻擊對象的資源 , 以使得被攻擊計算機或網(wǎng)絡無法提供正常的服務 ,直至系統(tǒng)停止響應甚至崩潰的攻擊方式。 DOS 攻擊的服務資源包括網(wǎng)絡帶寬 , 文件系統(tǒng)空間容量 ,開放 的進程或者允許的連接等。 DOS 攻擊的原理及方式 要對服務器實施拒絕服務攻擊 , 主要有以下兩種方法 : 迫使服務器的緩沖區(qū)滿 , 不接收新的請求 。 使用 IP 欺騙 , 迫使服務器把合法用戶的連接復位 , 影響合法用戶的連接 , 這是 DOS 攻擊實施的基本思想。為便于理解 ,以下介紹一個簡單的 DOS 攻擊基本過程。 如圖 1 所示 , 攻擊者先向受害者發(fā)送大量帶有虛假地址的請求 ,受害者發(fā)送回復信息后等待回傳信息。由于是偽造地址 ,所以受害者一直等不到回傳信息 ,分配給這次請求的資源就始終不被釋放。當受害者等待一定時間 后 , 連接會因超四川 職業(yè)技術學院 計科系論文 6 時被切斷 ,此時攻擊者會再度傳送一批偽地址的新請求 ,這樣反復進行直至受害者資源被耗盡 ,最終導致受害者系統(tǒng)癱瘓。 圖 1 DOS 攻擊的基本原理 攻擊方式 SYN Flood 攻擊 SYN Flood 攻擊是一種最常見的 DOS 攻擊手段，它利用 TCP/IP 連接的 “三次握手”過程，通過虛假 IP, 源地址發(fā)送大量 SYN 數(shù)據(jù)包，請求連接到被攻擊方的一個或多個端口。當被攻擊方按照約定向這些虛假 IP,地址發(fā)送確認數(shù)據(jù)包后，等待對方連接，虛假的 IP 源地址將不給予響應。這樣，連接請求 將一直保存在系統(tǒng)緩存中直到超時。如果系統(tǒng)資源被大量此類未完成的連接占用，系統(tǒng)性能自然會下降。后續(xù)正常的 TCP 連接請求也會因等待隊列填滿而被丟棄，造成服務器拒絕服務的現(xiàn)象。 Syn Flood原理 三次握手 ， Syn Flood利用了 TCP/IP協(xié)議的固有漏洞。面向連接的 TCP 三次握手是 Syn Flood 存在的基礎。 圖 2 SYN Flood 攻擊 如圖 2，在第一步中，客戶端向服務端提出連接請求。這時 TCP SYN 標志置位?？蛻舳烁嬖V服務端序列號區(qū)域合法，需要檢查。客戶端在 TCP 報頭的序列號區(qū)中插入 自己的 ISN。服務端收到該 TCP 分段后，在第二步以自己的 ISN 回應四川 職業(yè)技術學院 計科系論文 7 (SYN 標志置位 )，同時確認收到客戶端的第一個 TCP 分段 (ACK 標志置位 )。在第三步中，客戶端確認收到服務端的 ISN(ACK 標志置位 )。到此為止建立完整的 TCP連接，開始全雙工模式的數(shù)據(jù)傳輸過程，而 Syn Flood 攻擊者不會完成三次握手。 圖 3 三次 握手 如圖 3， 假設一個用戶向服務器發(fā)送了 SYN 報文后突然死機或掉線，那么服務器在發(fā)出 SYN+ACK 應答報文后是無法收到客戶端的 ACK 報文的（第三次握手無法完成），這種情況下服務器端一般會 重試（再次發(fā)送 SYN+ACK 給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為 SYN Timeout，一般來說這個時間是分鐘的數(shù)量級（大約為 30 秒 2 分鐘）；一個用戶出現(xiàn)異常導致服務器的一個線程等待 1 分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源 數(shù)以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的 CPU 時間和內(nèi)存，何況還要不斷對這個列表中的 IP 進行 SYN+ACK 的重試。實際上如果服務器的 TCP/IP 棧不夠強大，最后的結果往往是堆棧溢出崩潰 即使服務器端的系統(tǒng)足夠強大，服務器端也將忙于處理攻擊者偽造的 TCP 連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之小），此時從正常客戶的角度看來，服務器失去響應，這種情況我們稱做：服務器端受到了 SYN Flood 攻擊（ SYN 洪水攻擊）。 ..2 Land 攻擊 Land 攻擊是利用向目標主機發(fā)送大量的源地址與目標地址相同的數(shù)據(jù)包，四川 職業(yè)技術學院 計科系論文 8 造成目標主機解析 Land 包時占用大量系統(tǒng)資源，從而使網(wǎng)絡功能完全癱瘓的攻擊手段。其方法是將一個特別設 計的 SYN 包中的源地址和目標地址都設置成某個被攻擊服務器的地址，這樣服務器接收到該數(shù)據(jù)包后會向自己發(fā)送一個 SYN—ACK 回應包， SYN— ACK 又引起一個發(fā)送給自己的 ACK 包，并創(chuàng)建一個空連接。每個這樣的空連接到將暫存在服務器中，當隊列足夠長時，正常的連接請求將被丟棄，造成服務器拒絕服務的現(xiàn)象。 Smurf 攻擊 如圖 4 所示 ， Smurf 攻擊是一種放大效果的 ICMP 攻擊方式，其方法是攻擊者偽裝成被攻擊者向某個網(wǎng)絡上的廣播設備發(fā)送請求，該廣播設備會將這個請求轉發(fā)到該網(wǎng)絡的其他廣播設備，導致這些設備 都向被攻擊者發(fā)出回應，從而達到以較小代價引發(fā)大量攻擊的目的。例如，攻擊者冒充被攻擊者的 IP 使用 PING來對一個 C 類網(wǎng)絡的廣播地址發(fā)送 ICMP 包，該網(wǎng)絡上的 254 臺主機就會對被攻擊者的 IP 發(fā)送 ICMP 回應包，這樣攻擊者的攻擊行為就被放大了 254 倍。 ICMP Smurf 的襲擊加深了 ICMP 的泛濫程度，導致了在一個數(shù)據(jù)包產(chǎn)生成千的 ICMP 數(shù)據(jù)包發(fā)送到一個根本不需要它們的主機中去，傳輸多重信息包的服務器用作 Smurf 的放大器。 圖 4 工作 原理 UDP 攻擊 UDP 攻擊是指通過發(fā)送 UDP 數(shù)據(jù) 包來發(fā)動攻擊的方式。在 UDP Flood 攻擊中，四川 職業(yè)技術學院 計科系論文 9 攻擊者發(fā)送大量虛假源 IP 的 UDP 數(shù)據(jù)包或畸形 UDP 數(shù)據(jù)包，從而使被攻擊者不能提供正常的服務，甚至造成系統(tǒng)資源耗盡、系統(tǒng)死機。由于 UDP 協(xié)議是一種無連接的服務，只要被攻擊者開放有一個 UDP 服務端口，即可針對該服務發(fā)動攻擊。UDP 攻擊通?？煞譃?UDP Flood 攻擊、 UDP Fraggle 攻擊和 DNS Query Flood 攻擊。 Fraggle 攻擊的原理與 Smurf 攻擊相似，也是一種“放大”式的攻擊，不同的是回應代替了 ICMP 回應。 Query Flood 攻擊是一種針對 DNS 服務器的攻擊行為。攻擊者向 DNS的 UDP 53 端口發(fā)送大量域名查詢請求，占用大量系統(tǒng)資源，使服務器無法提供正常的查詢請求。 攻擊的基本過程包括以下幾個階段： ①攻擊者向被攻擊者發(fā)送眾多的帶有虛假地址的請求； ②被攻擊者發(fā)送響應信息后等待回傳信息； ③由于得不到回傳信息，使系統(tǒng)待處理隊列不斷加長，直到資源耗盡，最終達到被攻擊者出現(xiàn)拒絕服務的現(xiàn)象。 DOS 攻擊分類 利用協(xié)議中的漏洞 一些傳輸協(xié)議在其制定過程中可能存在著一些漏洞。 攻擊者可以利用這些漏洞進行攻擊致使接受數(shù)據(jù)端的系統(tǒng)當機、掛起或崩潰。這種攻擊較為經(jīng)典的例子是半連接 SYNFlood 攻擊 ,如圖 2 所示 ,該攻擊以多個隨機的源主機地址向目的主機發(fā)送 SYN 包 ,而在收到目的主機的 SYNACK 后并不回應 , 這樣 ,目的主機就為這些源主機建立了大量的連接隊列 , 而且由于沒有收到 ACK 就一直維護著這些隊列 , 造成了資源的大量消耗而不能向正常請求提供服務。這種攻擊利用的是TCP/IP 協(xié)議的 / 三次握手 0 的漏洞完成。由于攻擊所針對的是協(xié)議中的缺陷 ,短時無法改變 , 因此較難防范。 四川 職業(yè)技術學院 計科系論文 10 利用軟件實現(xiàn)的缺陷 軟件實現(xiàn)的缺陷是軟件開發(fā)過程中對某種特定類型的報文或請求沒有處理 , 導致軟件遇到這種類型的報文時運行出現(xiàn)異常 ,從而導致軟件崩潰甚至系統(tǒng)崩潰。這些異常條件通常在用戶向脆弱的元素發(fā)送非期望的數(shù)據(jù)時發(fā)生。攻擊者攻擊時是利用這些缺陷發(fā)送經(jīng)過特殊構造的數(shù)據(jù)包 , 從而導致目標主機的癱瘓 , 圖 5 發(fā)送大量無用突發(fā)數(shù)據(jù)攻擊耗盡資源 這種攻擊方式憑借手中豐富的資源 ,發(fā)送大量的垃圾數(shù)據(jù)侵占完資源 , 導致DOS。如 ICMPFlood, ConnectionFlood 等。為了獲得比目標系統(tǒng)更多 資源 , 通常攻擊者會發(fā)動 DDOS 攻擊 ,從而控制多個攻擊傀儡發(fā)動攻擊 ,這樣能產(chǎn)生更大破壞。 欺騙型攻擊 這類攻擊通常是以偽造自身的方式來取得對方的信任從而達到迷惑對方癱瘓其服務的目的。最常見的是偽造自己的 IP 或目的 IP(通常是一個不可到達的目標或受害者的地址 ) ,或偽造路由項目、或偽造 DNS 解析地址等 ,受攻擊的服務器因為無法辨別這些請求或無法正常響應這些請求就會造成緩沖區(qū)阻塞或死機。如 IPSpoofing DOS 攻擊。 DOS 攻擊的危害性及其難以防范的原因 DOS 攻擊的危害性主要在 于使被攻擊主機系統(tǒng)的網(wǎng)絡速度變慢甚至無法訪問無法正常地提供服務 。 最終目的是使被攻擊主機系統(tǒng)癱瘓、停止服務。該網(wǎng)絡上 DOS 攻擊工具種類繁多 ,攻擊者往往不需要掌握復雜技術 , 利用這些工具進行四川 職業(yè)技術學院 計科系論文 11 攻擊就能夠奏效。盡管可以通過增加帶寬來減少 DOS 攻擊的威脅 ,但攻擊者總是可以利用更大強度的攻擊以耗盡增加的資源。使得 DOS 攻擊成為一種當前難以防范的攻擊方式。 DOS 攻擊特點 DOS 攻擊針對的是互聯(lián)網(wǎng)上的網(wǎng)絡和設備 ,目的是使其無法繼續(xù)工作。它不需要攻擊者具備很好的技術能力 ,任何人只要有攻擊程序 , 就可以 讓未受保護的網(wǎng)絡和設備失效 , 因此 DOS攻擊相對簡單 , 且容易達到目的?，F(xiàn)在 , 隨著 DDOS和 DRDOS出現(xiàn)和進一步發(fā)展 ,DOS攻擊的破壞力變得更大 , 也更難以防范和追根溯源。 其他的 DOS 攻擊 其他的 DOS 攻擊手法主要有利用 TCP/IP 協(xié)議進行的 TCPDOS 攻擊 , 如SYNFlood 攻擊、 Land 攻擊、 Teardrop 攻擊 。 利用 UDP 服務進行的 UDPDOS 攻擊 , 如 UDP FlooDDOS 攻擊 。 利用 ICMP 協(xié)議進行的 ICMPDOS 攻擊 ,如 Pingof Death攻擊、 Smurf 攻擊等。 ：這是最古老、最常見的 DOS 攻擊。在這種攻擊中，黑客使用數(shù)據(jù)流量填滿網(wǎng)絡。脆弱的系統(tǒng)或網(wǎng)絡由于不能處理發(fā)送個他的大量流量而導致系統(tǒng)崩潰或響應速度減慢，從而阻止了合法用戶的訪問。 ：這是一種需要更多技巧的攻擊，它正變得越來越流行。這里，惡意黑客以目標系統(tǒng)從來沒有想到的方式發(fā)送數(shù)據(jù)流，如攻擊者發(fā)送大量的 SYN數(shù)據(jù)包。 ：這種攻擊包含了對組網(wǎng)技術的深刻理解，因此也是一種最高級的攻擊類型。邏輯攻擊的一個典型的實例是 LAND 攻擊，這里，攻擊者發(fā)送具有相同源 IP 地址和目標 IP 地址的偽造 數(shù)據(jù)包。很多系統(tǒng)不能夠處理這種引起混亂的行為，從而導致崩潰。 DOS 攻擊的防范技術 根據(jù)上述 DOS 攻擊原理和不斷更新的攻擊技術，很少有網(wǎng)絡可以免受 DOS攻擊， DOS 防御存在許多挑戰(zhàn)。主要原因： 、分組頭、通信信道等都有可能在攻擊過程中改變，導致 DOS 攻擊四川 職業(yè)技術學院 計科系論文 12 流不存在能用于檢測和過濾的共同特性； DOS 攻擊難以防御和跟蹤，同時，資源、目標和中間域之間缺乏合作也不能對攻擊做出快速、有效和分布式的響應； ，不斷調(diào)節(jié)攻擊工具逃避安全系統(tǒng)檢查。面對此 種情況，可以從以下幾個方面來防范 DOS 攻擊。 加固操作系統(tǒng) 對各種操作系統(tǒng)參數(shù)進行設置以加強系統(tǒng)的穩(wěn)固性。重新編譯或設置 Linux以及各種 BSD 系統(tǒng)、 Solaris 和 Windows 等操作系統(tǒng)內(nèi)核中的某些參數(shù)，