目录1拒接服务攻击简介 (2)2拒接服务攻击的原理 (2)2.1 SYN Flood (2)2.2 UDP洪水攻击 (4)2.3Ping洪流攻击 (5)2.4其他方式的攻击原理 (6)3攻击过程或步骤流程 (6)3.1攻击使用的工具 (6)3.2 SYN flood攻击模拟过程 (7)4此次攻击的功能或后果 (10)5对拒绝服务防范手段与措施 (10)5.1增强网络的容忍性 (10)5.2提高主机系统的或网络安全性 (11)5.3入口过滤 (11)5.4出口过滤 (11)5.5主机异常的检测 (12)6个人观点 (12)7参考文献 (12)“拒绝服务攻击”技术研究与实现姓名:江志明班级:YA 学号:1340217122 1拒接服务攻击简介所谓的拒绝服务攻击简单说即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。
其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。
拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。
攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
2拒接服务攻击的原理2.1 SYN FloodSYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式,这种攻击容易操作并且效果明显具体过程是通过三次握手协议实现的假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。
这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒~2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址),服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。
即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。
实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃——即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况就称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
TCP三次握手示意图DDOS分布式示意图2.2 UDP洪水攻击攻击者利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。
通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。
在实际情况下,攻击者会利用一定数量级的傀儡机器同时进行攻击,这时候就有可能发生受害机UDP淹没。
被UDP攻击机示意图2.3Ping洪流攻击这种攻击方式是早期的方式,又被陈为死芒之PING,是利用系统的自身漏洞实现的,具体原理是许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。
当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机。
2.4其他方式的攻击原理teardrop攻击:是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击Land攻击:用一个特别打造的SYN包,它的原地址和目标地址都被设置成某一个服务器地址。
Smurf攻击:通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行3攻击过程或步骤流程3.1攻击使用的工具TFNTFN由主控端程序和代理端程序两部分组成,它主要采取的攻击方法为:SYN风暴、Ping风暴、UDP炸弹和SMURF,具有伪造数据包的能力TrinooTrinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包,在处理这些超出其处理能力的垃圾数据包的过程中,被攻击主机的网络性能不断下降,直到不能提供正常服务,乃至崩溃。
它对IP地址不做假,采用的通讯端口是:NETWOX网络工具包NETWOX是一款综合性的工具包,包含上百种的网络工具,采用字符界面形式,功能性能强大3.2 SYN flood攻击模拟过程1启动两个虚拟机系统,一个为WIN2008(A机),一个为XP(B机)。
然后在Win2003虚拟机(A机)上运行抓包软件SmartSniff,查看当前的网络通信情况。
两架计算机连通正常2在XP上运行smartsniff查看当前的网络状态当前网络良好3在宿主机上用NETWOX对XP虚拟机进行拒绝服务攻击,命令如下:netwox 76 –i “[A机IP]”–p 804此时查看靶机XP上的网络状况此时靶机XP已近处于假死机状态,通过上面的网络监听数据看,说明此次SYN flood攻击成功4此次攻击的功能或后果这次的攻击主要是通过当前流行的SYN flood攻击,包括TCP和UDP连接,占用靶机的大量的网络资源,致使受害机CPU和内存被大量占用,进一步使其死机,甚至瘫痪状态。
在是、SYN洪水攻击中,我们也可以通过这一种混沌状态,入侵目标主机,配合其他攻击的方式5对拒绝服务防范手段与措施首先我们必须知道,拒绝服务式的攻击是本身协议的缺陷,我们目前还不太可能做到对这种攻击百分百的防御,但是积极部署防御措施,还是能在很大程度上缓解和抵御这类安全威胁的。
另外,加强用户的安全防范意识,提高网络系统的安全性也是很重要的措施,现在根据目前的防御手段主要有以下几种5.1增强网络的容忍性首先具体设施有我们修改内核参数即可有效缓解。
主要参数如下:net.ipv4.tcp_syncookies = 1net.ipv4.tcp_max_syn_backlog = 9000net.ipv4.tcp_synack_retries = 2分别为启用SYN Cookie、设置SYN最大队列长度以及设置SYN+ACK最大重试次数。
SYN Cookie的作用是缓解服务器资源压力。
启用之前,服务器在接到SYN 数据包后,立即分配存储空间,并随机化一个数字作为SYN号发送SYN+ACK数据包。
然后保存连接的状态信息等待客户端确认。
启用SYN Cookie之后,服务器不再分配存储空间,而且通过基于时间种子的随机数算法设置一个SYN号,替代完全随机的SYN号。
发送完SYN+ACK确认报文之后,清空资源不保存任何状态信息。
直到服务器接到客户端的最终ACK包,通过Cookie检验算法鉴定是否与发出去的SYN+ACK报文序列号匹配,匹配则通过完成握手,失败则丢弃其次tcp_max_syn_backlog则是使用服务器的内存资源,换取更大的等待队列长度,让攻击数据包不至于占满所有连接而导致正常用户无法完成握手。
net.ipv4.tcp_synack_retries是降低服务器SYN+ACK报文重试次数,尽快释放等待资源5.2提高主机系统的或网络安全性第一我们进行流量控制,通过一种手段来控制在指定时间内(带宽限制),被发送到网络中的数据量,或者是最大速率的数据流量发送,避免攻击机无限制的占用网络资源。
其次我们也可以对服务器进行冗余备份,增大服务器处理能力,关闭不必要的服务端口,实行严格的补丁管理,避免服务器的漏洞曝光,最后我们也可以自我对服务器进行压力测试,查看服务器的最大处理能力,最后形成在遭遇攻击,系统崩溃的紧急处理机制5.3入口过滤第一我们对端口和协议过滤,对一些恶意地址加入黑名单,进行过滤,合理的编写,排列防火墙规则和路由器的访问控制列表,合理过滤数据流,其次正确配置边界路由,禁止转发指向广播地址的数据包,对于ICMP数据包,只允许必须的类型和代码进出网络,如果网络不需要使用IRC,P2P服以及即使消息,则阻止向外发出这类连接5.4出口过滤用户网络或者其他ISP网络的比边界路由器被配置成在其转发出的数据包时,阻塞源IP地址是非法的数据包,以免其外出到外网5.5主机异常的检测对于以下几种异常现象我们需要即使的查明原因,实行可行的决解方案,第一受害网络通信流量超出工作极限,出现特大型ICMP和UDP数据包,数据段内容只含有数字字符的数据包收到大量的SYN风暴数据包6个人观点在早期拒绝服务式攻击是比较困难的,但是随着一些黑客推出傻瓜式的攻击工具,导致网民能够随便下载工具,从而实施一些攻击,或恶意破坏,,有些人是为了作为练习手段,或炫耀,或者为了报酬或报仇,不管怎样,我都觉得一个真真的黑客不会以纯粹的破坏和捣乱为目的,不会只用一些傻瓜式工具来进行攻击,所以我们也需要遵守一定的黑客准则,才真正可能成为网络高手,7参考文献网络攻防技术与实践(诸葛建伟著)网络攻防技术(吴灏著)百度百科知识51CTO网络安全论坛交流。
