【网络攻防原理与技术】第5章：拒绝服务攻击

5.1 概述

拒绝服务攻击（DoS Denial of Service）， 通过消耗⽹络带宽或者系统资源，使得⽹络或者系统不堪负荷，以⾄于瘫痪⽽停⽌提供正常的⽹络服务或者⽹络服务质量显著下降，或者通过更改系统配置使得系统⽆法正常⼯作，大多数情况下，拒绝服务攻击指的是前者。

DDoS指多个攻击者同时向⼀个多个⽬标发起拒绝服务攻击。

拒绝服务攻击的分类：
（1）按攻击目标分类

• 结点型DoS
  • 主机型：主要对主机的CPU、磁盘、操作系统等进行DoS攻击
  • 应用型：主要对应用软件进行DoS攻击
• ⽹络连接型：
  利⽤⽬标⽤户获取服务器资源时需要交换DNS数据包的特性，发送⼤量的
  伪装DNS数据包导致⽬标⽤户⽹络拥塞，不能访问⽬标服务器。

（2）按攻击方式分类

• 资源破坏型DoS：耗尽网络带宽、主机内存、CPU和磁盘等
• 物理破坏型DoS：摧毁主机或网络结点的DoS攻击
• 服务终止型DoS：攻击导致服务崩溃或终止

（3）按受害者类型分类

• 服务器端DoS：以服务器端为攻击目标
• 客户端DoS：以客户端为目标

（4）按攻击是否直接针对受害者分类

• 直接型DoS：直接对受害者攻击
• 间接型DoS：

（5）属性分类法

• 攻击静态属性
• 攻击动态属性
• 攻击交互属性

（6）舞厅分类法

• 舞伴类：与受害主机通信
• 风暴类：用大量噪声干扰受害者
• 陷阱类：干扰正常用户与受害主机的通信
• 介入类：切断正常用户与受害主机的通信连接

（7）按攻击机制分类

• 剧毒包（杀手包）：利用协议本身或软件的漏洞，向目标发送一些异常的包，使目标系统在处理时出现异常
• 风暴型：向目标发送大量数据包
• 重定向型（中间人攻击）：如果重定向的目的主机不存在则为拒绝服务攻击

5.2 剧毒包型拒绝服务攻击

利⽤协议本身或者软件的漏洞，向受害者主机发送⼀些畸形的数据包使得受害者的主机崩溃。

1. 碎片攻击（Teardrop）
   利⽤异常的数据分⽚导致接收⽅在处理分⽚数据时崩溃。
2. Ping of Death攻击（死亡之ping 或 ICMP Bug攻击）
   利⽤协议实现时的漏洞，向受害者发送超⻓的ping包，导致受害者系统异常
3. Land攻击
   向受害者发送TCP SYN包，⽽这些包的源地址和⽬的IP地址被伪装成受害者的IP地 址。源端⼝和⽬的端⼝也是相同的。（感觉有点像是自身形成了一个回路，然后系统就崩溃了）
4. 循环攻击（振荡攻击）
   当两个都会产⽣输出的端⼝之间建⽴连接以后，第⼀个端⼝的输出成为第⼆个端⼝的输⼊，导致第⼆个端⼝产⽣输出，同时第⼆个端⼝的输出也成为第⼀个端⼝的输⼊。如此，⼀两个端⼝之间就会有⼤量的数据包产⽣。导致拒绝服务。

5.3 风暴型拒绝服务攻击

主要通过向攻击目标发送大量的数据包，达到瘫痪的目的

攻击原理（步骤）：
（1）攻击者通过扫描工具寻找一个或多个能够入侵的系统
（2）攻击者利用扫描工具大量扫描并攻击存在安全漏洞的系统
（3）攻击者通过Handler通知Agent攻击的目标和攻击类型等

风暴型拒绝服务攻击能够成功的原因：
（1）TCP/IP协议存在漏洞
（2）网络提供best-effort服务，不区分数据流量是否为攻击流量
（3）因特网没有认证机制，从而容易进行IP欺骗
（4）因特网中的路由器不具备数据追踪功能，因而无法验证一个数据包是否来自其声称的地方
（5）网络带宽和系统资源是有限的，这是最根本的原因

• 直接⻛暴型攻击
  ⽤于攻击的分组类型包括：TCP floods、ICMP echo请求/响应报⽂、UDP洪流
  • PING⻛暴攻击
  • SYN⻛暴攻击（建⽴TCP半连接），消耗服务器半连接资源。
  • TCP连接耗尽型(建⽴完整的TCP连接)
  • UDP⻛暴攻击：向受害者主机发送⼤量较⻓的UDP数据包，占⽤⽹络带宽，达到阻塞⽹络的⽬的。
  • HTTP⻛暴攻击：⽤HTTP协议对⽹⻚上的资源进⾏合法请求，不停地从受害者出获取数据，占⽤连接的同时占⽤带宽。
  • 对邮件系统的攻击
    • 邮件炸弹：往⼀个邮件地址发送⼤量相同的邮件，耗尽其存储空间。
    • 垃圾邮件

反射型拒绝服务攻击：

• 不直接向目标主机发送数据包，而是通过中间主机间接向目标主机发送大量数据包。攻击者⼀般伪装源地址为受害主机的IP地 址，向⼀台⾼速、⾼带宽服务器或者⼤量服务器发送⼤量数据包。服务器收到这些包以后就向这个源地址回复⼤量响应包。这样就变成了多台⾼性能的服务器向⽬标主机发起DoS攻击。⼀般攻击者会选择使⽤回复响应包数量远⼤于请求数据包的协议服务器，形成流量放⼤攻击，增强破坏性。

• NTP反射式拒绝服务攻击

  • NTP协议：⽹络中⽤来同步各个计算机时间的协议。使⽤UDP通信。当⼀个NTP服务器收到⼀个monlist请求包以后，就会返回与NTP服务器进⾏通信过
    的最后600个客户端的IP地址。响应包按照6个IP地址⼀组，⼀次请求最多会返回100个响应包。
  • 攻击者实施NTP攻击的步骤
    • 扫描。利⽤扫描软件在Internet上扫描开放了123端⼝的服务器。并进⼀步确认其是否开启了NTP服务。
    • 攻击。利⽤控制的僵⼫⽹络伪装被攻击主机的IP向NTP服务器发送monlist请求。
  • 防治⽅法
    需要基础电信运营商在全⽹范围内组织实施源地址验证。
    在国际出⼊⼝和互联互通层⾯对NTP流量进⾏监测和调控，降低来⾃国外⼤规模NTP DRDoS攻击的可能性。

• SSDP反射式拒绝服务攻击
  Simple Service Discovery Protocol 。⽤于在局域⽹内发现通⽤的即插即⽤设备。UPnP协议。（通⽤即插即⽤技术）

  • SSDP DRDoS 攻击流量就是⼤量的SSDP应答消息。
  • 攻击者通过伪造SSDP请求源地址字段，使得智能即插即⽤设备将SSDP应答消息发送⾄攻击⽬标
  • 防范：
    • 关闭不需要要启动即插即⽤服务设备的即插即⽤服务。
    • 确认所有连接外⽹的设备没有将即插即⽤服务暴露于互联⽹上。对⾮信任⽹络禁⽤SSDP协议。防⽌设备被攻击者利⽤为攻击反射结点。

• 僵尸网络
  僵⼫主⼈通过命令与控制信道控制的具有协同性的恶意计算机群

  • IRC僵⼫⽹络
    

    • 控制者通过⼀个IRC服务器控制⼤量僵⼫主机。但是当IRC服务器被攻破，控制者就回失去对僵⼫⽹络的控制权。结构简单，但是健壮性差，容易被摧毁。

  • P2P僵⼫⽹络
    
    基于P2P控制与命令机制。⽹络中的每⼀台僵⼫主机都与该僵⼫⽹络中的某台或者某些僵⼫主机建⽴连接。⽽且建⽴连接之后，它还可以对所要连接的主机进⾏更新。这样，僵⼫⽹络主⼈只要通过向⼀台对等主机发送控制信息，进⽽控制整个⽹络。

5.4 拒绝服务攻击的应用

拒绝服务攻击除了直接用于瘫痪攻击目标外，还可以作为特权提升攻击，获得非法访问的一种辅助技术。
SYN Flood可以用于IP劫持、IP欺骗等。
一些系统在启动时会有漏洞，可以通过拒绝服务攻击使之重启，然后利用漏洞
对DNS的拒绝服务攻击可以达到冒充地址的目的。

5.5 拒绝服务攻击的检测及响应技术

拒绝服务攻击检测技术

• DoS攻击工具的特征标志检测：特定端口、标志位、特定数据内容
• 根据异常流量来检测：大量目标主机域名解析、极限通讯流量、特大型的ICMP和UDP数据包、不属于正常连接通信的TCP和UDP数据包、数据段内容只包含文字和数字字符

拒绝服务攻击响应技术

从原理上讲，主要有4种应对DoS攻击的方法：第一种是通过丢弃恶意分组的方法；第二种是在源端控制DoS攻击；第三种是追溯发起攻击的源端；第四种是路由器动态检测流量并进行监控

• 分组过滤，丢弃恶意分组
• 源端控制：通常参与DoS攻击的分组使用的源IP地址都是假冒的，可以通过源端过滤减少或消除假冒IP地址的访问，如使用路由器检查来自与其直连的网络分组源IP地址，如果非法则扔掉。
• 追溯：IP追溯、ICMP追溯、链路测试（从离受害主机最近的路由器开始，交互测试其上游链路，递归执行，知道确定攻击路径）
• 路由器动态检测和控制：攻击检测系统、攻击缓解系统、监控管理系统
• 流量清洗（最有效）对DDoS攻击与正常业务数据混合在⼀起的流量进⾏净化，净化掉DDoS攻击流量，保留正常的业务流量。