【文章內(nèi)容簡介】 攻擊目標(biāo)。 ，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。 ，為信息系統(tǒng)提供安全體系管理、監(jiān)控，渠護(hù)及緊急情況服務(wù)。 1. 4 小結(jié) ： 本章主要介紹了網(wǎng)絡(luò) 安全 的意義和目的，并對一下 攻擊 和 防范 做了進(jìn)一步的分析。 四川 職業(yè)技術(shù)學(xué)院 計科系論文 5 第二章 講述 DOS（拒絕服務(wù)） 什么是 DOS 攻擊？ DOS 攻 擊 (Denial of Service，簡稱 DOS)即拒絕服務(wù)攻擊，是指攻擊者通過消耗受害網(wǎng)絡(luò)的帶寬，消耗受害主機(jī)的系統(tǒng)資源，發(fā)掘編程缺陷，提供虛假路由或 DNS 信息，使被攻擊目標(biāo)不能正常工作。 DOS 攻擊概念 WWW 安全 FAQ[1]給 DOS 攻擊下的定義為：有計劃的破壞一臺計算機(jī)或者網(wǎng)絡(luò)，使得其不能夠提供正常服務(wù)的攻擊。 DOS 攻擊發(fā)生在訪問一臺計算機(jī)時，或者網(wǎng)絡(luò)資源被有意的封鎖或者降級時。這類攻擊不需要直接或者永久的破壞數(shù)據(jù)，但是它們故意破壞資源的可用性。最普通的 DOS 攻擊的目標(biāo)是計算 機(jī)網(wǎng)絡(luò)帶寬或者是網(wǎng)絡(luò)的連通性。帶寬攻擊是用很大的流量來淹沒可用的網(wǎng)絡(luò)資源，從而合法用戶的請求得不到響應(yīng)，導(dǎo)致可用性下降。網(wǎng)絡(luò)連通性攻擊是用大量的連接請求來耗盡計算機(jī)可用的操作系統(tǒng)資源，導(dǎo)致計算機(jī)不能夠再處理正常的用戶請求。 DOS 攻擊廣義上指任何導(dǎo)致被攻擊的服務(wù)器不能正常提供服務(wù)的攻擊方式。具體而言 ,DOS 攻擊是指攻擊網(wǎng)絡(luò)協(xié)議實現(xiàn)的缺陷或通過各種手段耗盡被攻擊對象的資源 , 以使得被攻擊計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù) ,直至系統(tǒng)停止響應(yīng)甚至崩潰的攻擊方式。 DOS 攻擊的服務(wù)資源包括網(wǎng)絡(luò)帶寬 , 文件系統(tǒng)空間容量 ,開放 的進(jìn)程或者允許的連接等。 DOS 攻擊的原理及方式 要對服務(wù)器實施拒絕服務(wù)攻擊 , 主要有以下兩種方法 : 迫使服務(wù)器的緩沖區(qū)滿 , 不接收新的請求 。 使用 IP 欺騙 , 迫使服務(wù)器把合法用戶的連接復(fù)位 , 影響合法用戶的連接 , 這是 DOS 攻擊實施的基本思想。為便于理解 ,以下介紹一個簡單的 DOS 攻擊基本過程。 如圖 1 所示 , 攻擊者先向受害者發(fā)送大量帶有虛假地址的請求 ,受害者發(fā)送回復(fù)信息后等待回傳信息。由于是偽造地址 ,所以受害者一直等不到回傳信息 ,分配給這次請求的資源就始終不被釋放。當(dāng)受害者等待一定時間 后 , 連接會因超四川 職業(yè)技術(shù)學(xué)院 計科系論文 6 時被切斷 ,此時攻擊者會再度傳送一批偽地址的新請求 ,這樣反復(fù)進(jìn)行直至受害者資源被耗盡 ,最終導(dǎo)致受害者系統(tǒng)癱瘓。 圖 1 DOS 攻擊的基本原理 攻擊方式 SYN Flood 攻擊 SYN Flood 攻擊是一種最常見的 DOS 攻擊手段，它利用 TCP/IP 連接的 “三次握手”過程，通過虛假 IP, 源地址發(fā)送大量 SYN 數(shù)據(jù)包，請求連接到被攻擊方的一個或多個端口。當(dāng)被攻擊方按照約定向這些虛假 IP,地址發(fā)送確認(rèn)數(shù)據(jù)包后，等待對方連接，虛假的 IP 源地址將不給予響應(yīng)。這樣，連接請求 將一直保存在系統(tǒng)緩存中直到超時。如果系統(tǒng)資源被大量此類未完成的連接占用，系統(tǒng)性能自然會下降。后續(xù)正常的 TCP 連接請求也會因等待隊列填滿而被丟棄，造成服務(wù)器拒絕服務(wù)的現(xiàn)象。 Syn Flood原理 三次握手 ， Syn Flood利用了 TCP/IP協(xié)議的固有漏洞。面向連接的 TCP 三次握手是 Syn Flood 存在的基礎(chǔ)。 圖 2 SYN Flood 攻擊 如圖 2，在第一步中，客戶端向服務(wù)端提出連接請求。這時 TCP SYN 標(biāo)志置位?？蛻舳烁嬖V服務(wù)端序列號區(qū)域合法，需要檢查?？蛻舳嗽?TCP 報頭的序列號區(qū)中插入 自己的 ISN。服務(wù)端收到該 TCP 分段后，在第二步以自己的 ISN 回應(yīng)四川 職業(yè)技術(shù)學(xué)院 計科系論文 7 (SYN 標(biāo)志置位 )，同時確認(rèn)收到客戶端的第一個 TCP 分段 (ACK 標(biāo)志置位 )。在第三步中，客戶端確認(rèn)收到服務(wù)端的 ISN(ACK 標(biāo)志置位 )。到此為止建立完整的 TCP連接，開始全雙工模式的數(shù)據(jù)傳輸過程，而 Syn Flood 攻擊者不會完成三次握手。 圖 3 三次 握手 如圖 3， 假設(shè)一個用戶向服務(wù)器發(fā)送了 SYN 報文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出 SYN+ACK 應(yīng)答報文后是無法收到客戶端的 ACK 報文的（第三次握手無法完成），這種情況下服務(wù)器端一般會 重試（再次發(fā)送 SYN+ACK 給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為 SYN Timeout，一般來說這個時間是分鐘的數(shù)量級（大約為 30 秒 2 分鐘）；一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待 1 分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個非常大的半連接列表而消耗非常多的資源 數(shù)以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的 CPU 時間和內(nèi)存，何況還要不斷對這個列表中的 IP 進(jìn)行 SYN+ACK 的重試。實際上如果服務(wù)器的 TCP/IP 棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰 即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的 TCP 連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之?。?，此時從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況我們稱做：服務(wù)器端受到了 SYN Flood 攻擊（ SYN 洪水攻擊）。 ..2 Land 攻擊 Land 攻擊是利用向目標(biāo)主機(jī)發(fā)送大量的源地址與目標(biāo)地址相同的數(shù)據(jù)包，四川 職業(yè)技術(shù)學(xué)院 計科系論文 8 造成目標(biāo)主機(jī)解析 Land 包時占用大量系統(tǒng)資源，從而使網(wǎng)絡(luò)功能完全癱瘓的攻擊手段。其方法是將一個特別設(shè) 計的 SYN 包中的源地址和目標(biāo)地址都設(shè)置成某個被攻擊服務(wù)器的地址，這樣服務(wù)器接收到該數(shù)據(jù)包后會向自己發(fā)送一個 SYN—ACK 回應(yīng)包， SYN— ACK 又引起一個發(fā)送給自己的 ACK 包，并創(chuàng)建一個空連接。每個這樣的空連接到將暫存在服務(wù)器中，當(dāng)隊列足夠長時，正常的連接請求將被丟棄，造成服務(wù)器拒絕服務(wù)的現(xiàn)象。 Smurf 攻擊 如圖 4 所示 ， Smurf 攻擊是一種放大效果的 ICMP 攻擊方式，其方法是攻擊者偽裝成被攻擊者向某個網(wǎng)絡(luò)上的廣播設(shè)備發(fā)送請求，該廣播設(shè)備會將這個請求轉(zhuǎn)發(fā)到該網(wǎng)絡(luò)的其他廣播設(shè)備，導(dǎo)致這些設(shè)備 都向被攻擊者發(fā)出回應(yīng)，從而達(dá)到以較小代價引發(fā)大量攻擊的目的。例如，攻擊者冒充被攻擊者的 IP 使用 PING來對一個 C 類網(wǎng)絡(luò)的廣播地址發(fā)送 ICMP 包，該網(wǎng)絡(luò)上的 254 臺主機(jī)就會對被攻擊者的 IP 發(fā)送 ICMP 回應(yīng)包，這樣攻擊者的攻擊行為就被放大了 254 倍。 ICMP Smurf 的襲擊加深了 ICMP 的泛濫程度，導(dǎo)致了在一個數(shù)據(jù)包產(chǎn)生成千的 ICMP 數(shù)據(jù)包發(fā)送到一個根本不需要它們的主機(jī)中去，傳輸多重信息包的服務(wù)器用作 Smurf 的放大器。 圖 4 工作 原理 UDP 攻擊 UDP 攻擊是指通過發(fā)送 UDP 數(shù)據(jù) 包來發(fā)動攻擊的方式。在 UDP Flood 攻擊中，四川 職業(yè)技術(shù)學(xué)院 計科系論文 9 攻擊者發(fā)送大量虛假源 IP 的 UDP 數(shù)據(jù)包或畸形 UDP 數(shù)據(jù)包，從而使被攻擊者不能提供正常的服務(wù)，甚至造成系統(tǒng)資源耗盡、系統(tǒng)死機(jī)。由于 UDP 協(xié)議是一種無連接的服務(wù)，只要被攻擊者開放有一個 UDP 服務(wù)端口，即可針對該服務(wù)發(fā)動攻擊。UDP 攻擊通?？煞譃?UDP Flood 攻擊、 UDP Fraggle 攻擊和 DNS Query Flood 攻擊。 Fraggle 攻擊的原理與 Smurf 攻擊相似，也是一種“放大”式的攻擊，不同的是回應(yīng)代替了 ICMP 回應(yīng)。 Query Flood 攻擊是一種針對 DNS 服務(wù)器的攻擊行為。攻擊者向 DNS的 UDP 53 端口發(fā)送大量域名查詢請求，占用大量系統(tǒng)資源，使服務(wù)器無法提供正常的查詢請求。 攻擊的基本過程包括以下幾個階段： ①攻擊者向被攻擊者發(fā)送眾多的帶有虛假地址的請求； ②被攻擊者發(fā)送響應(yīng)信息后等待回傳信息； ③由于得不到回傳信息，使系統(tǒng)待處理隊列不斷加長，直到資源耗盡，最終達(dá)到被攻擊者出現(xiàn)拒絕服務(wù)的現(xiàn)象。 DOS 攻擊分類 利用協(xié)議中的漏洞 一些傳輸協(xié)議在其制定過程中可能存在著一些漏洞。 攻擊者可以利用這些漏洞進(jìn)行攻擊致使接受數(shù)據(jù)端的系統(tǒng)當(dāng)機(jī)、掛起或崩潰。這種攻擊較為經(jīng)典的例子是半連接 SYNFlood 攻擊 ,如圖 2 所示 ,該攻擊以多個隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送 SYN 包 ,而在收到目的主機(jī)的 SYNACK 后并不回應(yīng) , 這樣 ,目的主機(jī)就為這些源主機(jī)建立了大量的連接隊列 , 而且由于沒有收到 ACK 就一直維護(hù)著這些隊列 , 造成了資源的大量消耗而不能向正常請求提供服務(wù)。這種攻擊利用的是TCP/IP 協(xié)議的 / 三次握手 0 的漏洞完成。由于攻擊所針對的是協(xié)議中的缺陷 ,短時無法改變 , 因此較難防范。 四川 職業(yè)技術(shù)學(xué)院 計科系論文 10 利用軟件實現(xiàn)的缺陷 軟件實現(xiàn)的缺陷是軟件開發(fā)過程中對某種特定類型的報文或請求沒有處理 , 導(dǎo)致軟件遇到這種類型的報文時運行出現(xiàn)異常 ,從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。這些異常條件通常在用戶向脆弱的元素發(fā)送非期望的數(shù)據(jù)時發(fā)生。攻擊者攻擊時是利用這些缺陷發(fā)送經(jīng)過特殊構(gòu)造的數(shù)據(jù)包 , 從而導(dǎo)致目標(biāo)主機(jī)的癱瘓 , 圖 5 發(fā)送大量無用突發(fā)數(shù)據(jù)攻擊耗盡資源 這種攻擊方式憑借手中豐富的資源 ,發(fā)送大量的垃圾數(shù)據(jù)侵占完資源 , 導(dǎo)致DOS。如 ICMPFlood, ConnectionFlood 等。為了獲得比目標(biāo)系統(tǒng)更多 資源 , 通常攻擊者會發(fā)動 DDOS 攻擊 ,從而控制多個攻擊傀儡發(fā)動攻擊 ,這樣能產(chǎn)生更大破壞。 欺騙型攻擊 這類攻擊通常是以偽造自身的方式來取得對方的信任從而達(dá)到迷惑對方癱瘓其服務(wù)的目的。最常見的是偽造自己的 IP 或目的 IP(通常是一個不可到達(dá)的目標(biāo)或受害者的地址 ) ,或偽造路由項目、或偽造 DNS 解析地址等 ,受攻擊的服務(wù)器因為無法辨別這些請求或無法正常響應(yīng)這些請求就會造成緩沖區(qū)阻塞或死機(jī)。如 IPSpoofing DOS 攻擊。 DOS 攻擊的危害性及其難以防范的原因 DOS 攻擊的危害性主要在 于使被攻擊主機(jī)系統(tǒng)的網(wǎng)絡(luò)速度變慢甚至無法訪問無法正常地提供服務(wù) 。 最終目的是使被攻擊主機(jī)系統(tǒng)癱瘓、停止服務(wù)。該網(wǎng)絡(luò)上 DOS 攻擊工具種類繁多 ,攻擊者往往不需要掌握復(fù)雜技術(shù) , 利用這些工具進(jìn)行四川 職業(yè)技術(shù)學(xué)院 計科系論文 11 攻擊就能夠奏效。盡管可以通過增加帶寬來減少 DOS 攻擊的威脅 ,但攻擊者總是可以利用更大強(qiáng)度的攻擊以耗盡增加的資源。使得 DOS 攻擊成為一種當(dāng)前難以防范的攻擊方式。 DOS 攻擊特點 DOS 攻擊針對的是互聯(lián)網(wǎng)上的網(wǎng)絡(luò)和設(shè)備 ,目的是使其無法繼續(xù)工作。它不需要攻擊者具備很好的技術(shù)能力 ,任何人只要有攻擊程序 , 就可以 讓未受保護(hù)的網(wǎng)絡(luò)和設(shè)備失效 , 因此 DOS攻擊相對簡單 , 且容易達(dá)到目的?，F(xiàn)在 , 隨著 DDOS和 DRDOS出現(xiàn)和進(jìn)一步發(fā)展 ,DOS攻擊的破壞力變得更大 , 也更難以防范和追根溯源。 其他的 DOS 攻擊 其他的 DOS 攻擊手法主要有利用 TCP/IP 協(xié)議進(jìn)行的 TCPDOS 攻擊 , 如SYNFlood 攻擊、 Land 攻擊、 Teardrop 攻擊 。 利用 UDP 服務(wù)進(jìn)行的 UDPDOS 攻擊 , 如 UDP FlooDDOS 攻擊 。 利用 ICMP 協(xié)議進(jìn)行的 ICMPDOS 攻擊 ,如 Pingof Death攻擊、 Smurf 攻擊等。 ：這是最古老、最常見的 DOS 攻擊。在這種攻擊中，黑客使用數(shù)據(jù)流量填滿網(wǎng)絡(luò)。脆弱的系統(tǒng)或網(wǎng)絡(luò)由于不能處理發(fā)送個他的大量流量而導(dǎo)致系統(tǒng)崩潰或響應(yīng)速度減慢，從而阻止了合法用戶的訪問。 ：這是一種需要更多技巧的攻擊，它正變得越來越流行。這里，惡意黑客以目標(biāo)系統(tǒng)從來沒有想到的方式發(fā)送數(shù)據(jù)流，如攻擊者發(fā)送大量的 SYN數(shù)據(jù)包。 ：這種攻擊包含了對組網(wǎng)技術(shù)的深刻理解，因此也是一種最高級的攻擊類型。邏輯攻擊的一個典型的實例是 LAND 攻擊，這里，攻擊者發(fā)送具有相同源 IP 地址和目標(biāo) IP 地址的偽造 數(shù)據(jù)包。很多系統(tǒng)不能夠處理這種引起混亂的行為，從而導(dǎo)致崩潰。 DOS 攻擊的防范技術(shù) 根據(jù)上述 DOS 攻擊原理和不斷更新的攻擊技術(shù)，很少有網(wǎng)絡(luò)可以免受 DOS攻擊， DOS 防御存在許多挑戰(zhàn)。主要原因： 、分組頭、通信信道等都有可能在攻擊過程中改變，導(dǎo)致 DOS 攻擊四川 職業(yè)技術(shù)學(xué)院 計科系論文 12 流不存在能用于檢測和過濾的共同特性； DOS 攻擊難以防御和跟蹤，同時，資源、目標(biāo)和中間域之間缺乏合作也不能對攻擊做出快速、有效和分布式的響應(yīng)； ，不斷調(diào)節(jié)攻擊工具逃避安全系統(tǒng)檢查。面對此 種情況，可以從以下幾個方面來防范 DOS 攻擊。 加固操作系統(tǒng) 對各種操作系統(tǒng)參數(shù)進(jìn)行設(shè)置以加強(qiáng)系統(tǒng)的穩(wěn)固性。重新編譯或設(shè)置 Linux以及各種 BSD 系統(tǒng)、 Solaris 和 Windows 等操作系統(tǒng)內(nèi)核中的某些參數(shù)，