【计算机系统和网络安全技术】第⑦章:拒绝服务攻击
第⑦章:拒绝服务攻击
1.拒绝服务攻击
一种通过耗尽CPU、内存、带宽以及磁盘空间等系统资源,来阻止或削弱对网络、系统或应用程序的授权使用行为
是一种针对某些服务可用性的攻击,可以作为dos攻击的资源有:网络带宽,系统资源,应用资源
经典拒绝服务攻击:泛洪攻击(目标占据所有目标组织的网络连接容量)
源地址欺骗(采用伪造的源地址,攻击者可以制造出大量的目的地址指向目标系统的数据包,拥塞将发生在连接到最终的低容量链路的路由器,需要整个网络的工程师来协作检测,耗时耗力)
SYN欺骗:通过造成服务器上用于管理TCP的连接表溢出,从而攻击网络服务器响应TCP连接请求,以后的合法用户的连接请求将得不到服务器响应,是针对系统资源的dos攻击,具体的说就是针对操作系统上网络处理程序的攻击
2.泛洪攻击
根据攻击所使用的网络协议不同,泛洪攻击可以划分不同类型,大部分目的都是使服务器的链路超负荷,几乎任何类型的网络数据包都可以用来进泛洪攻击(ICMP,UDP,TCPSYN等)
3.分布式拒绝服务攻击DDOS
4.基于应用的宽带攻击
HTTP泛洪攻击:利用http请求攻击web服务器,消耗相当大资源,爬虫
Slowloris:通过向web服务器不停地发送不完整的http请求,攻击最终能耗尽所有web服务器的连接能力,利用合法的HTTP流量,现有依赖特征检测的入侵检测和入侵防御手段无法识别出Slowloris
5.反射攻击和放大攻击
反射攻击:
• 攻击者将其想攻击的目标系统地址作为数据包的源地址,并将 这些数据包发送给中间媒介上的已知网络服务
• 当中间媒介响应时,大量的响应数据包会被发送给源地址所指 向的目标系统
• 它能有效地使攻击从中间媒介反射出去
• 攻击者就可以利用来自攻击系统的小流量请求数据包在中间媒
介上产生大流量的响应数据包到目标系统
• 过滤数据包是抵御反射攻击的最基本的方式
DNS放大攻击:
• 将DNS服务器作为中间媒介系统,其使用了直接指向合法DNS 服务器的数据包进行攻击。
• 攻击者构造出一系列源地址为目标系统地址的DNS请求数据包 • 攻击者利用DNS协议将较小的请求数据包转化为较大的响应数
据包而达到攻击效果
• 目标系统被响应流量所泛洪
• 对付所有基于反射机制的攻击的基本方法是防止使用虚假地址
6.拒绝服务攻击防范
不可能完全预防dos攻击,抵御DDOS攻击下面四道防线:
攻击预防和先发制人机制(攻击前)
攻击检测和过滤(攻击时)
攻击源回溯识别(攻击时和攻击后)
攻击反应(攻击后)
拒绝服务攻击防范:
限制主机系统发送带有虚假源地址数据包的能力
可以用过滤器来确认源地址所指向的返回路径是否是当前数据包发送过来使用的路径
使用改进版本的TCP连接处理程序来专门抵御SYN欺骗攻击
抵御广播放大攻击最好的措施是屏蔽IP定向广播使用
限制或阻塞流向可疑服务、源端口和目的端口组合的网洛流量
可以采用迷宫图,captcha等形式,对于大多数人很容易解决但是对计算机很难
完整的良好系统安全实践也是必须的
一个基于网络服务的组织应该配置镜像,提供更高级别的稳定性和容错能力
7.对拒绝服务攻击的响应
• 判定出攻击的类型
• 数据包的捕获、数据包的分析、寻找常见的攻击数据包类型 • 合理配置过滤器来过滤掉这些攻击数据包
• 及时地发现目标系统或应用程序的缺陷缺陷并修复它
• ISP能够追踪攻击数据包流而确定这些包的源 • 这将是很困难的,而且非常耗时
• 如果需要借助于法律手段解决问题,需要收集证据
• 需要一个应急策略
• 切换到备份服务器
• 快速地用新的服务器建立具有新地址的新站点
• 意外情况的进一步措施
• 从经验中吸取教训以改进今后的处理措施
一些作业问题
- 试述拒绝服务(DoS)攻击的定义。
答:
一种通过大量消耗或耗尽CPU,带宽,内存,磁盘空间等系统资源来阻止或削弱对网络,系统或应用程序的授权使用的行为。
- 哪些类型的资源被DoS攻击作为攻击目标?洪泛攻击的目标是什么?
答:
一般优先选择攻击:网络带宽,系统资源和应用资源。
洪泛攻击的主要目标是占据所有到目标组织的网络连接容器。是使服务器的链路超负荷或者使服务器处理和响应网络流量的能力超负荷
- 防范DoS攻击的基本措施是什么?在哪里实施?
答:
攻击前:攻击预防和先发制人。
攻击时:攻击检测和过滤。
攻击时和攻击后:攻击源回溯和识别。
攻击后:攻击反应。
- 哪些防范措施可能抵御非欺骗的洪泛攻击?能否彻底预防这种攻击?
答:
限制主机系统发送带有虚假源地址数据包的能力,用过滤器来确认源地址所指向的返回路径是否是当前数据包发送过来所使用的路径,使用改进版本的TCP连接处理程序来专门抵御SYN欺骗攻击,屏蔽IP定向广播使用,限制或阻塞流向可疑服务,源端口和目的端口组合的网络流量,可以采用迷宫图,captcha等形式,进行完整良好系统安全实践等。过量的网络带宽和复制的分布式服务器,特别是在预期过载的情况下。不能完全预防这种攻击,尤其是现在互联网如此发达的时代,想完全防御此类攻击不是太可能。
- 什么措施可以防范TCP SYN欺骗攻击?
答:
使用改进版本的TCP连接处理程序来专门抵御SYN欺骗攻击,把请求连接的关键信息加密编码并保存到cookie中,当合法用户返回ACK应答包时,要求在ACK应答包中包含序号加1的cookie。当TCP连接表溢出时,我们可以通过修改系统的TCP/IP网络处理程序来选择性地丢弃一个TCP连接表中不完全连接的表项。
- 有什么方法可以被用来追踪DoS攻击中所使用数据包的源头?是否有一些数据包与其他数据包相比更容易被追踪?
答:
使用ISP能追踪,但是使用这种方式会很困难且耗费时间,因为ISP将需要跟踪信息流,以识别其数据源。这通常既不容易也不自动化,并且需要这些数据包所经过的网络的所有者的合作才能辨别。经过的网络较少的数据包等容易被追踪。
- 为了进行经典的DoS洪泛攻击,攻击者必须能够制造出足够大量的数据包来占据目标 系统的链路容量。假设现在有一个利用ICMP回送请求( ping)数据包的DoS攻击,数据 包的大小为500字节(忽略成帧开销)。对于一个使用0.5Mbps带宽链路的目标组织来说, 攻击者每秒钟至少要发送多少个数据包,才能进行有效的攻击?在链路的带宽为 2Mbps和10Mbps的情况下呢?
答:
数据包大小为500字节,使用0.5兆比特的链路目标组织,攻击者要125个数据500000/(500*8),在2Mbps上为500个数据包,2000000/(500*8),在10Mbps上为2500个,10000000/(500*/8)。