典型DDOS攻击及预防对策

典型DDOS攻击及预防对策

1. SYN Flood 1
2. WinNuke 3
3. Smurf 4
4. Land-based 5
5. Ping of Death 5
6. PingSweep 6
7. Pingflood 6
8. Teardrop 7
9. UDP Flood 8
10. IGMP攻击 8

 


1. SYN Flood
特征:
SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
正常的TCP建立连接的过程:
第一步,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号;
第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgement)。
第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。
以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。
问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
预防:
1. 缩短SYN Timeout时间,由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度 x  SYN Timeout,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间,例如设置为20秒以下(过低的SYN Timeout设置可能会影响客户的正常访问),可以成倍的降低服务器的负荷。
2. 设置SYN Cookie,就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被一概丢弃。
可是上述的两种方法只能对付比较原始的SYN Flood攻击,缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效,SYN Cookie更依赖于对方使用真实的IP地址,如果攻击者以数万/秒的速度发送SYN报文,同时利用SOCK_RAW随机改写IP报文中的源地址,以上的方法将毫无用武之地。
3. 修改最大半连接数目TcpMaxHalfOpen以及半连接的测试次数TcpMaxHalfOpenRetried(当超过次数目时,开始启动SYN Flood防护),一般TcpMaxHalfOpen=TcpMaxHalfOpenRetried*1.25。
4. 基于DNS解析的负载均衡
5. 丢弃第一个SYN请求数据包,等待超时重传。
2. WinNuke
特征:
WinNuke攻击是一种拒绝服务攻击,又称“带外传输攻击”,它的特征是攻击目标端口,被攻击的目标端口通常是139、138、137、113、53,而且URG位设为1,即紧急模式。WinNuke攻击就是利用了Windows操作系统的一个漏洞,向这些端口发送一些携带TCP带外(OOB)数据报文的,但这些攻击报文与正常携带OOB数据报文不同的是,其指针字段与数据的实际位置不符,即存在重合。这样Windows操作系统在处理这些数据的时候,就会崩溃。目前的WinNuke系列工具已经从最初的简单选择IP攻击某个端口,发展到可以攻击一个IP区间范围的计算机,并且可以进行连续攻击,还能够验证攻击的效果,还可以检测和选择端口。所以,使用它可以造成某一个IP地址区间的计算机全部蓝屏死机。
预防:
首先判断数据包目标端口是否为139、138、137等,并判断URG位是否为1。如果是,则丢弃该数据包,并对这种攻击进行审计(记录事件发生的时间、源主机和目标主机的MAC地址和IP地址)。
3. Smurf
特征:
该攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。通过向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。
预防:
每次收到ICMP Request包时,先记录下来(可以用hash表),记录的项包括ICMP头标识符(ID),源IP,目标IP;当下次收到ICMP Reply包时,根据源IP与目标IP,去查找保存的记录,判断本次的ICMP Reply头标识符与保存的ICMP Request标识符是否一致,如果不一致,则有可能受到Smurf攻击,将该包丢弃。
4. Land-based
特征:
攻击者将一个包的源地址和目的地址都设置为目标主机的地址(一般是在局域网内,所以也可以是源MAC地址和目的MAC地址都等于本机MAC地址),然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。
预防:
由于如果目的MAC地址不等于本机,直接被网卡扔掉,因此只需判断目的网卡MAC与源网卡MAC是否相同即可。如果相同,则丢弃。
5. Ping of Death
特征:
据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。
预防:
对接收到的ICMP Ping包,检查IP头,看是否有分片,如果有分片的话,则将第一个ICMP Ping包保存下来,对于下一个ICMP Ping包,则根据源IP与目标IP找到上次保存的,如果次包与保存的包的标识符相同,则累加包长度,如果超过65536,则说明有可能受到ping of death攻击,将该包丢弃。
6. PingSweep
特征:
使用ICMP Echo轮询多个主机。
预防:
预防:
对接收到的ICMP Ping包,将其记录下来,对随后的Ping包,如果是同一的源地址,则将计数加一,如果超过指定的允许数目,则将该包丢弃。
7. Pingflood
特征:
该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。
预防:
对接收到的ICMP Ping包,将其记录下来,对随后的Ping包,如果是同一的源地址,则将计数加一,如果超过指定的允许数目,则将该包丢弃。
8. Teardrop
特征:
Teardrop是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。(利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象。)的漏洞对系统主机发动拒绝服务攻击,最终导致主机菪掉;对于Windows系统会导致蓝屏死机,并显示STOP 0x0000000A错误。)
预防:
对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。
9. UDP Flood
特征:
UDP淹没攻击是导致基于主机的服务拒绝攻击的一种。UDP 是一种无连接的协议,而且它不需要用任何程序建立连接来传输数据。当攻击者随机地向受害系统的端口发送 UDP 数据包的时候,就可能发生了 UDP 淹没攻击。当受害系统接收到一个 UDP 数据包的时候,它会确定目的端口正在等待中的应用程序。当它发现该端口中并不存在正在等待的应用程序,它就会产生一个目的地址无法连接的 ICMP 数据包发送给该伪造的源地址。如果向受害者计算机端口发送了足够多的 UDP 数据包的时候,整个系统就会瘫痪。
预防:
监控指定的源IP与目标IP为同一的UDP数据包,并计数,当超过指定的允许的数目时,则丢弃该包。
10. IGMP攻击
特征:
IGMP攻击就是伪造一个目的地址是单个ip, 但ip层指定协议为IGMP,系统会为你打造一个IGMP报头,因为组播使用D类地址,所以系统不知如何处理,造成崩溃。
预防:
对接收到的IP包,检查其包头,看是否是IGMP(2)协议,并且目标地址是单个IP,而非D类地址,则丢弃该包。

你可能感兴趣的:(典型DDOS攻击及预防对策)