網絡攻擊技術——拒絕服務

摘要:DoS是Denial of Service的簡稱，即拒絕服務。造成DoS的攻擊行為被稱為DoS攻擊，拒絕服務攻擊是指一個用戶占據了大量的共享資源，使系統沒有剩余的資源給其它用戶提供服務的一種攻擊方式。拒絕服務攻擊的結果可以降低系統資源的可用性，這些資源可以是網絡帶寬、CPU時間、磁盤空間、打印機、甚至是系統管理員的時間。

關鍵詞:DOS;攻擊;拒絕

中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2010)05-1096-02

Network Attack Technique，Denial of Service

YAN Zhi-min

(Nanjing Xiaozhuang University Xingzhi College，Nanjing 211171，China)

Abstract: DoS is a Denial of Service abbreviation，Namely， denial of service。Namely， denial of service caused by DoS attacks is known as a DoS attack，Denial of service attack is a user account for a large number of shared resources，The system is no remaining resources to other users of a service attack. Result of denial of service attack can reduce the availability of system resources，These resources can be network bandwidth， CPU time， disk space， printers， and even the system administrator's time.

Key words: DOS;Attack;Refused

最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡，使得所有可用網絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求，如圖1所示。

1 分布式拒絕服務

DDoS(分布式拒絕服務)是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協作的大規模攻擊方式，

一個比較完善的DDoS攻擊體系分成三層，如圖2。

1)攻擊者:攻擊者所用的計算機是攻擊主控臺，可以是網絡上的任何一臺主機，甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程，它向主控端發送攻擊命令。

2)主控端:主控端是攻擊者非法侵入并控制的一些主機，這些主機還分別控制大量的代理主機。主控端主機的上面安裝了特定的程序，因此它們可以接受攻擊者發來的特殊指令，并且可以把這些命令發送到代理主機上。

3)代理端:代理端同樣也是攻擊者侵入并控制的一批主機，它們上面運行攻擊器程序，接受和運行主控端發來的命令。代理端主機是攻擊的執行者，由它向受害者主機實際發起攻擊。

2 DDoS的主要攻擊方式及防范策略

2.1 死亡之ping (ping of death)

由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB，并且在對包的標題頭進行讀取之后，要根據該標題頭里包含的信息來為有效載荷生成緩沖區，當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方宕機。

2.2 SYN Flooding攻擊

對Windows NT攻擊很有效，使用一個偽裝的地址向目標計算機發送連接請求叫做IP欺騙技術。當目標計算機收到這樣的請求后，就會使用一些資源來為新的連接提供服務，接著回復請求一個肯定答復(叫做SYN-ACK)。由于SYN-ACK是返回到一個偽裝的地址，沒有任何響應。于是目標計算機將繼續設法發送SYN-ACK。一些系統都有缺省的回復次數和超時時間，只有回復一定的次量、或者超時時，占用的資源才會釋放。NT設罷為可回復5次，每次等待時間加倍:則:3+6+12+24+48+96=189S

2.3 Land攻擊

在Land攻擊中，一個特別打造的SYN包它的源地址和目標地址都被設置成某一個服務器地址，此舉將導致接收服務器向它自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息并創建一個空連接，每一個這樣的連接都將保留直到超時掉，對Land攻擊反應不同，許多UNIX實現將崩潰，NT變的極其緩慢(大約持續五分鐘)。

2.4 Smurf攻擊

基于互聯網控制信息包(ICMP)的Smurf攻擊是一種強力的拒絕服務攻擊方法，主要利用的是IP協議的直接廣播特性。Smurf攻擊對被攻擊的網絡，以及被利用來做擴散器的網絡都具有破壞性。在這種拒絕服務攻擊中，主要的角色有:攻擊者、中間代理(也就是所說的擴散器);犧牲品(目標主機)。

2.4.1 Smurf攻擊的過程

Smurf攻擊并不十分可怕;它僅僅是利用IP路由漏洞的攻擊方法。攻擊通常分為以下五步:

1)鎖定一個被攻擊的主機(通常是一些Web服務);

2)尋找可做為中間代理的站點，用來對攻擊實施放大(通常會選擇多個，以便更好地隱藏自己，偽裝攻);

3)黑客給中間代理站點的廣播地址發送大量的ICMP包(主要是指Ping echo包)。這些數據包全都以被攻擊的主機的IP地址做為IP包的源地址;

4)中間代理向其所在的子網上的所有主機發送源IP地址欺騙的數據包;

5)中間代理主機對被攻擊的網絡進行響應。

2.4.2 防止你的網絡遭受Smurf攻擊

首先，千萬不能讓你的網絡里的人發起這樣的攻擊。在Smurf攻擊中，有大量的源欺騙的IP數據包離開了第一個網絡

通過在路由器上使用輸出過濾，你就可以濾掉這樣的包，從而阻止從你的網絡中發起的Smurf攻擊。

在路由器上增加這類過濾規則的命令是:

Access-list 100 permit IP {你的網絡號} {你的網絡子網掩碼} any

Access-list 100 deny IP any any

其次，停止你的網絡做為中間代理。如果沒有必須要向外發送廣播數據包的情況，就可以在路由器的每個接口上設置禁止直接廣播，命令如下:

no ip directed-broadcast

2.5 Fraggle攻擊

Fraggle攻擊與Smurf攻擊類似，但它使用的不是ICMP，而是 UDP Echo。

可以在防火墻上過濾掉UDP應答消息來防范

2.6 炸彈攻擊

炸彈攻擊的基本原理是利用工具軟件，集中在一段時間內，向目標機發送大量垃圾信息，或是發送超出系統接收范圍的信息，使對方出現負載過重、網絡堵塞等狀況，從而造成目標的系統崩潰及拒絕服務。常見的炸彈攻擊有郵件炸彈、聊天室炸彈等。

防御:對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息。

3 配置路由器、防火墻和入侵檢測系統來抵御DDoS攻擊

3.1 抵御Smurf

1) 確定是否成為了攻擊平臺:對不是來自于內部網絡的信息包進行監控;監控大容量的回音請求和回音應答信息包。

2) 避免被當做一個攻擊平臺:在所有路由器上禁止IP廣播功能;將不是來自于內部網絡的信息包過濾掉。

3)減輕攻擊的危害:在邊界路由器對回音應答信息包進行過濾，并丟棄;對于Cisco路由器，使用CAR來規定回音應答信息包可以使用的帶寬最大值。

3.2 抵御trinoo

1)確定是否成為了攻擊平臺:在master程序和代理程序之間的通訊都是使用UDP協議，因此對使用UDP協議(類別17)進行過濾;攻擊者用TCP端口27655與master程序連接，因此對使用TCP(類別6)端口27655連接的流進行過濾;master與代理之間的通訊必須要包含字符串“l44”，并被引導到代理的UDP端口27444，因此對與UDP端口27444連接且包含字符串“l44”的數據流進行過濾。

2) 避免被用作攻擊平臺:將不是來自于你的內部網絡的信息包過濾掉。

3)減輕攻擊的危害:從理論上說，可以對有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列進行過濾，并丟棄它們。

3.3 抵御TFN和TFN2K

1) 確定是否成為了攻擊平臺:對不是來自于內部網絡的信息包進行監控。

2) 避免被用作攻擊平臺:不允許一切到你的網絡上的ICMP回音和回音應答信息包，當然這會影響所有要使用這些功能的Internet程序;將不是來源于內部網絡的信息包過濾掉。

3.4 抵御Stacheldraht

1)確定是否成為了攻擊平臺:對ID域中包含值666、數據域中包含字符串“skillz”或ID域中包含值667、數據域中包含字符串“ficken”的ICMP回音應答信息包進行過濾;對源地址為“3.3.3.3”的ICMP信息包和ICMP信息包數據域中包含字符串“spoofworks”的數據流進行過濾。

2)避免被用作攻擊平臺:不允許一切到你的網絡上的ICMP回音和回音應答信息包， 當然這會影響所有要使用這些功能的Internet程序;將不是來源于內部網絡的信息包過濾掉;將不是來源于內部網絡的信息包過濾掉。

4 總結

網絡安全中，拒絕服務攻擊以其危害巨大，難以防御等特點成為黑客經常采用的攻擊手段。本文從原理、對網絡的危害以及防范方法上面來分析拒絕服務攻擊，如何防范拒絕服務攻擊。

參考文獻:

[1] 趙安軍.網絡安全技術與應用[M].北京:人民郵電出版社，2007.

[2] 俞承杭.計算機網絡與信息安全技術[M].北京:機械工業出版社，2008.

[3] 陳廣山.網絡與信息安全技術[M].北京:機械工業出版社，2007.