第八章拒絕服務攻擊2023/6/16網絡攻防技術2本章主要內容8.1

概述8.2

典型拒絕服務攻擊8.3

分布式拒絕服務攻擊8.4

拒絕服務攻擊防御一、拒絕攻擊服務案例1988年，Morris蠕蟲爆發，其傳播機制是此后僵尸網絡構建方法的雛形2023/6/16網絡攻防技術3一、拒絕攻擊服務案例2000年，MafiaBoy使用TFN2K對Yahoo、Ebay、Amazon實施了DDOS攻擊2023/6/16網絡攻防技術4一、拒絕攻擊服務案例2010年，Anonymous為支持Wikileak，對瑞士銀行、Paypal等發動DDOS攻擊2023/6/16網絡攻防技術5一、拒絕攻擊服務案例2016年，網絡服務提供商Dyn的域名服務受到Mirai僵尸網絡發動的分布式拒絕服務攻擊，Netflix、Twitter等著名網站受到攻擊影響而無法訪問。此次攻擊的峰值流量達到1.2Tbps2023/6/16網絡攻防技術6二、拒絕服務攻擊概念指攻擊者通過攻擊網絡節點、網絡鏈路或網絡應用，致使合法用戶無法得到正常服務響應的網絡攻擊行為廣義而言，拒絕服務攻擊可以泛指一切導致目標服務不可用的攻擊手段，包括物理環境、硬件、軟件等各個層面所實施的破壞。在網絡安全相關研究中，論及拒絕服務攻擊時多數指上述狹義的內涵2023/6/16網絡攻防技術7三、拒絕服務攻擊分類1、漏洞型拒絕服務攻擊：指利用軟件實現中存在的漏洞，致使服務崩潰或者系統異常。具體如:PingofDeath;TearofDrop…2023/6/16網絡攻防技術8三、拒絕服務攻擊分類2、重定向型拒絕服務攻擊：指利用網絡協議的設計缺陷，使目標傳輸的數據被重定向至錯誤的網絡地址，從而無法進行正常的網絡通信。具體如:基于ARP欺騙、基于DNS欺騙等2023/6/16網絡攻防技術9三、拒絕服務攻擊分類3、資源消耗型拒絕服務攻擊：指通過大量的請求占用網絡帶寬或系統資源，從而導致服務可用性下降甚至喪失。具體如SYNFLOOD、UDPFLOOD、HTTPFLOOD等2023/6/16網絡攻防技術102023/6/16網絡攻防技術11本章主要內容8.1

概述8.2

典型拒絕服務攻擊8.3

分布式拒絕服務攻擊8.4

拒絕服務攻擊防御一、傳統拒絕服務攻擊傳統拒絕服務型攻擊多數是一些較早時間出現的漏洞利用型拒絕服務攻擊技術。雖然這些漏洞利用型攻擊可以通過更新相關安全補丁即可防范，但導致攻擊的漏洞有時會變換形式再度出現在其它系統或軟件中，使得這些看似“古老”的攻擊技術會如同“幽靈”般再次浮現。2023/6/16網絡攻防技術12一、傳統拒絕服務攻擊1、PingofDeath：針對存在漏洞的Windows95、WinNT、Linux2.0.x等系統，通過向其發送超長的IP數據包導致目標系統拒絕服務。2023/6/16網絡攻防技術13一、傳統拒絕服務攻擊2、TearDrop：利用IP包的分片重組在多個操作系統協議棧中實現時存在的漏洞，主要影響Windows3.1x，Windows95和WindowsNT，以及早于2.0.32和2.1.63版本的Linux操作系統。2023/6/16網絡攻防技術14一、傳統拒絕服務攻擊3、Land攻擊：發送一個偽造的TCPSYN報文，源地址和目的地址設置均為目標IP地址，源端口和目標端口設置為目標某個開放的TCP端口，可以導致目標主機死鎖。Windows95、WindowsNT、FreeBSD2.2.5、SunOS4.1.3，甚至多款Cisco路由器在接收到此報文后，均會產生拒絕服務。2023/6/16網絡攻防技術15二、洪泛攻擊洪泛攻擊的共同特征是發送大量的數據包，迫使目標服務消耗大量資源來處理無用請求。根據攻擊發生的協議層次，洪泛攻擊可以分為網絡層洪泛、傳輸層洪泛和應用層洪泛等，具體的常見洪泛攻擊包括TCP洪泛、UDP洪泛、HTTP洪泛。2023/6/16網絡攻防技術16二、洪泛攻擊1、TCP洪泛（TCPFlood）又稱為SYN洪泛（SYNFlood），是一種通過發送大量偽造的TCP連接請求，致使目標服務TCP連接資源被耗盡的拒絕服務攻擊。2023/6/16網絡攻防技術17二、洪泛攻擊攻擊者向服務器某個開放端口發送大量SYN連接請求并忽略服務器SYN/ACK響應，導致服務器消耗可觀的資源用于維護大量未完成的TCP半連接，最終使合法的服務請求者無法得到正常響應。2023/6/16網絡攻防技術18二、洪泛攻擊2、UDP洪泛（UDPFlood）是一種通過發送大量的UDP報文，消耗目標服務器帶寬資源的一種拒絕服務攻擊。2023/6/16網絡攻防技術19二、洪泛攻擊UDP洪泛是一類拒絕服務攻擊的統稱，最早出現的UDP洪泛攻擊是前文提到的Echo/Chargen攻擊，后文將討論的目前廣泛流行的反射型分布式拒絕服務攻擊實際上也多為UDP洪泛攻擊。2023/6/16網絡攻防技術20二、洪泛攻擊3、HTTP洪泛（HTTPFlood）利用大量看似合法的HTTPGET或POST請求消耗Web服務器資源，最終導致其無法響應真正合法的請求。2023/6/16網絡攻防技術21二、洪泛攻擊HTTP洪泛并不以流量“取勝”。攻擊者通常會對針對性地對目標Web服務器進行分析，選擇可以更多消耗目標服務器資源的Web請求實施洪泛。2023/6/16網絡攻防技術22三、低速率拒絕服務攻擊低速率拒絕服務（LDoS,Low-rateDenial-of-Service）攻擊，是利用網絡協議或應用服務協議中的自適應機制存在的安全問題，通過周期性地發送高速脈沖攻擊數據包，達到降低被攻擊主機服務性能的目的。2023/6/16網絡攻防技術23三、低速率拒絕服務攻擊1、TCP擁塞控制-RTO發送端為發送的每個報文設置一個定時器，若收到報文的確認之前定時器超時將重新發送該報文，這里設置的定時器就是RTO2023/6/16網絡攻防技術24三、低速率拒絕服務攻擊1、TCP擁塞控制-AIMD發送端在收到3個重復的ACK數據包時就開啟重傳，啟動AIMD算法調整擁塞窗口大小。2023/6/16網絡攻防技術25三、低速率拒絕服務攻擊2023/6/16網絡攻防技術26在多數TCP協議實現中，擁塞控制綜合使用多種機制來調整源端的發送速率在鏈路輕度擁塞的情況下，表現為發送端重復收到3個相同的確認報文，主要是采用AIMD策略實現擁塞控制而當網絡重度擁塞的時候，表現為在超時重傳時間內沒有收到確認，此時使用RTO機制三、低速率拒絕服務攻擊2、低速率拒絕服務攻擊原理

LDoS攻擊利用TCP擁塞控制機制，故意制造網絡擁塞狀況，使擁塞控制一直處于調整狀態，發送端的發送速率會迅速變小，導致被攻擊主機的服務性能顯著降低2023/6/16網絡攻防技術272023/6/16網絡攻防技術28本章主要內容8.1

概述8.2

典型拒絕服務攻擊8.3

分布式拒絕服務攻擊8.4

拒絕服務攻擊防御分布式拒絕服務攻擊分布式拒絕服務攻擊指采用協作的方式，利用網絡中位置分布的大量主機向目標發起的拒絕服務攻擊。按照協同方式的不同分為：僵尸網絡的分布式拒絕服務攻擊反射型分布式拒絕服務攻擊2023/6/16網絡攻防技術29一、基于僵尸網絡的DDoS1、僵尸網絡基本概念僵尸網絡：是攻擊者出于惡意目的，傳播僵尸程序控制大量主機，并通過一對多的命令與控制信道所組成的網絡。僵尸主機：又稱為傀儡機，指被攻擊者控制，接受并執行攻擊者指令的計算機，往往被控制者用來發起大規模的網絡攻擊，也就是安裝了僵尸程序的計算機。2023/6/16網絡攻防技術30一、基于僵尸網絡的DDoS1、僵尸網絡基本概念僵尸程序：又稱為傀儡程序，由英文單詞Robot派生而來，通常指秘密運行在被他人控制的計算機中，可以接收預定義命令和執行預定義功能的程序。命令控制機制：指攻擊者用來操縱僵尸網絡的命令語言及控制協議。命令控制機制是僵尸網絡區別于其它惡意代碼形態最為本質的屬性。2023/6/16網絡攻防技術31一、基于僵尸網絡的DDoS2、集中式命令控制機制僵尸節點通過連接到一個或多個控制服務器來獲取控制信息或命令。基于IRC協議的僵尸網絡和基于HTTP協議的僵尸網絡都屬于集中式命令控制機制的僵尸網絡。2023/6/16網絡攻防技術32一、基于僵尸網絡的DDoS3、分布式命令控制機制在使用分布式命令控制機制時，攻擊者通常會任意地連接到某個僵尸節點，在該節點上發布命令控制信息，命令會采用Push或Pull的方式在整個僵尸網絡中傳遞。2023/6/16網絡攻防技術33一、基于僵尸網絡的DDoS4、利用僵尸網絡發動拒絕服務攻擊2023/6/16網絡攻防技術34一、基于僵尸網絡的DDoS4、利用僵尸網絡發動拒絕服務攻擊攻擊者借助僵尸網絡發動DDoS攻擊通常需要經過以下幾個階段：構建僵尸網絡收集目標信息實施DDoS攻擊2023/6/16網絡攻防技術35二、反射型DDoS反射型分布式拒絕服務攻擊是從基于僵尸網絡的分布式拒絕服務攻擊衍生而來。在RDDoS攻擊中，攻擊者利用反射器將大量的響應包匯集到受害者主機，導致拒絕服務。2023/6/16網絡攻防技術36二、反射型DDoS1、DNS反射攻擊通過向DNS服務器發送偽造源地址的查詢請求將應答流量導向攻擊目標，亦稱為DNS放大攻擊。利用LDAP服務器可將攻擊流量平均放大46倍，最高可放大55倍。2023/6/16網絡攻防技術37二、反射型DDoS2、LDAP放大攻擊通過向LDAP（LightweightDirectoryAccessProtocol，輕量目錄訪問協議）服務器發送偽造源地址的查詢請求來將應答流量導向攻擊目標。利用LDAP服務器可將攻擊流量平均放大46倍，最高可放大55倍。2023/6/16網絡攻防技術38二、反射型DDoS2、NTP放大攻擊通過向NTP（NetworkTimeProtocol，網絡時間協議）服務器發送偽造源地址的查詢請求將應答流量導向攻擊目標。2023/6/16網絡攻防技術392023/6/16網絡攻防技術40本章主要內容8.1

概述8.2

典型拒絕服務攻擊8.3

分布式拒絕服務攻擊8.4

拒絕服務攻擊防御拒絕服務攻擊防御從部署位置的角度可以分為源端防御、目標端防御、中間網絡防御和混合防御2023/6/16網絡攻防技術41拒絕服務攻擊防御從技術的角度，拒絕服務攻擊的防御可以分為預防、檢測、響應與容忍：預防著眼于在攻擊發生前消除拒絕服務攻擊的可能性檢測是檢測拒絕服務攻擊的發生，區分攻擊流量和正常流量，為后續的響應提供依據響應關注于在拒絕服務攻擊發生后降低乃至消除攻擊的危害與影響容忍致力于在拒絕服務攻擊發生后保持服務的可用性2023/6/16網絡攻防技術42一、預防拒絕服務攻擊的預防是在攻擊發生前阻止攻擊，具體措施包括：抑制僵尸網絡規模過濾偽造源地址報文減少可用反射/放大器2023/6/16網絡攻防技術43二、檢測拒絕服務攻擊檢測是在攻擊過程發現攻擊，并區分攻擊流量與正常流量，具體方法包括：特征檢測：通過分析得到攻擊行為區別于其它正常用戶訪問行為的唯一特征，并據此建立已知攻擊的特征庫異常檢測：攻擊會導致當前的網絡狀態與正常網絡狀態模型產生顯著的不同。異常檢測通過對比兩者檢測出攻擊的發生2023/6/16網絡攻防技術44三、響應拒絕服務攻擊響應是指在拒絕服務攻擊發生后降低乃至消除攻擊的危害與影響，目前的主要方法稱為：“流量清洗”：對攻擊流量進行過濾，設法將惡意的網絡流量剔除掉，只將合法的網絡流量交付服務器2023/6/16網絡攻防技術45四、容忍拒絕服務攻擊容忍是指通過提高處理請求的能力來消除攻擊的影響：CDN（內容分發網絡）AnyCast（任播）2023/6/16網絡攻防技術46四、容忍1、CDN在互聯網范圍內廣泛設置多