DOS攻击与防御

即拒绝服务 ，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击

• 比喻理解Dos

  作个形象的比喻来理解DoS。街头的餐馆是为大众提供餐饮服务，如果一群地痞流氓要DoS餐馆的话，手段会很多，比如霸占着餐桌不结账，堵住餐馆的大门不让路，骚扰餐馆的服务员或厨子不能干活，甚至更恶劣……相应的计算机和网络系统则是为Internet用户提供互联网资源的，如果有黑客要进行DoS攻击的话，可以想象同样有好多手段！今天最常见的DoS攻击有对计算机网络的带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求

传统上，攻击者所面临的主要问题是网络带宽，由于较小的网络规模和较慢的网络速度的限制，攻击者无法发出过多的请求。虽然类似“the ping of death”的攻击类型只需要较少量的包就可以摧毁一个没有打过补丁的UNIX系统，拒绝服务攻击是一种对网络危害巨大的恶意攻击。DoS代表性攻击手段包括Ping of Death（死亡之ping）、TearDrop（泪滴）、UDP Flood（UDP泛洪）、SYN Flood（SYN泛洪）、Land Attack（Land攻击）、IP Spoofing DoS（IP欺骗）等

• 死亡之ping

  又称ICMP Flood，属于DOS攻击，俗称拒绝服务攻击，通过发送大量的无用请求数据包给服务器，耗尽服务器资源，从而无法通过正常的访问服务器资源，导致服务器崩溃

• 防御

  由于使用ping工具很容易完成这种攻击，以至于它也成了这种攻击的首选武器，这也是这种攻击名字的由来。当然，还有很多程序都可以做到这一点，因此仅仅阻塞ping的使用并不能完全解决这个漏洞。预防死亡之ping的最好方法是对操作系统打补丁，使内核将不再对超过规定长度的包进行重组。

• 泪滴攻击

  也被称为分片攻击或碎片攻击，是一种拒绝服务（DoS）攻击，由于首次实现这种攻击的软件名称是Teardrop，因此这种攻击就被称为泪滴攻击

  TCP/IP协议在数据传输过程中，对过大的数据会进行分包处理，传输到目的主机后再到堆栈中进行重组，由于分段数据的错误，接收这些数据包的机器因为TCP / IP碎片重组错误而无法重新组装，因此数据包相互重叠，导致目标网络设备崩溃

• 防御

  1.收到分割封包是进行分析，计算offset（偏移量）是否有误 2.server应用最新的补丁或尽可能使用最新得到操作系统 3.设置防火墙时对分段进行重组，而不是转发

• UDP泛洪

  短时间内向特定目标不断发送 UDP 报文，致使目标系统负担过重而不能处理合法的传输任务

• 防御

  • 判断攻击包大小，如果是大包攻击就采用防止UDP碎片方法：可以根据攻击包大小设定包碎片重组大小，一般不小于1500。特殊极端情况下，可以丢弃所有UDP碎片。

  • 如果攻击端口为业务端口，根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量；

  • 如果攻击端口为非业务端口，可以丢弃所有UDP包，也可以建立UDP连接规则，要求所有去往该端口的UDP包，必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持

• SYN泛洪

  攻击者首先伪造地址对服务器发起SYN请求，服务器就会回应一个ACK+SYN，而真实的IP会认为，我没有发送请求，不作回应。服务器没有收到响应，会持续回应或者等待，然后才会丢弃链接。这样服务器与伪地址就有了一个半连接，若攻击者发送大量这样的报文，会在服务器主机上出现大量的半连接，耗尽其资源，使正常的用户无法访问，直到消耗掉系统的内存等资源

• 防御

  启用 SYN Flood 攻击检测功能时，要求设置一个连接速率阈值和半开连接数量阈值，一旦发现保护主机响应的 TCP 新建连接速率超过连接速度阈值或者半开连接数量超过半开连接数量阈值，防火墙会输出发生 SYN Flood 攻击的告警日志，根据配置做以下操作：

  • 阻止发往该保护主机的后续连接请求；

  • 切断保护主机上的最老半连接会话；

  • 向 TCP Proxy 添加受保护 IP 地址：

• Land攻击

  Land攻击的数据包中的源地址和目标地址是相同的，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象

• 防御

  • 判断网络数据包的源地址和目标地址是否相同；

  • 适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为并对这种攻击进行审计

• IP欺骗

  指行动产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身份。这是一种骇客的攻击形式，骇客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。防火墙可以识别这种ip欺骗。IP地址欺骗，就是通过伪造数据包包头，使显示的信息源不是实际的来源，就像这个数据包是从另一台计算机上发送的

• 防御

  • 可在设备上开启单播逆向路径转发（URPF）功能；

  • 可在设备上开启IP源防护（IPSG）功能

但大多数的DoS攻击还是需要相当大的带宽的，而以个人为单位的黑客们很难使用高带宽的资源。为了克服这个缺点DoS攻击者开发了分布式的攻击。攻击者简单利用工具集合许多的网络带宽来同时对同一个目标发动大量的攻击请求，这就是 DDoS(Distributed Denial of Service) 攻击

• DDOS类型

  DDOS攻击主要分为三类：流量型攻击；连接型攻击；特殊协议缺陷

• 抗D设备功能

​​​​​​​