拒绝服务攻击及防御
信息安全系列培训之三 樊山
大纲
拒绝服务攻击原理 典型的拒绝服务攻击 DoS工具与傀儡网络 蠕虫攻击及其对策 拒绝服务攻击防御 拒绝服务攻击检测
拒绝服务攻击原理
什么是拒绝服务攻击
DoS (Denial of Service)攻击其中文含义是拒绝服务攻击， 这种攻击行动使网站服务器充斥大量要求回复的信息， 消耗网络带宽或系统资源，导致网络或系统不胜负荷 以至于瘫痪而停止提供正常的网络服务。
攻击动态属性（Dynamic）
（3）攻击目标类型（Target）
攻击目标类型可以分为以下6类：
应用程序（Application） 系统（System） 网络关键资源（Critical） 网络（Network） 网络基础设施（Infrastructure） 因特网（Internet）
根据攻击对目标造成的破坏程度，攻击影响自低向高可以分为：
无效（None） 服务降低（Degrade） 可自恢复的服务破坏（Self-recoverable） 可人工恢复的服务破坏（Manu-recoverable） 不可恢复的服务破坏（Non-recoverable）
舞厅分类法
舞厅分类法
交互属性（Mutual）
（1）可检测程度（Detective）
根据能否对攻击数据包进行检测和过滤，受害者对攻击数据的检 测能力从低到高分为以下三个等级：
可过滤（Filterable） 有特征但无法过滤（Unfilterable） 无法识别（Noncharacterizable）
（2）攻击影响（Impact）
交互属性（Mutual）
攻击的可检测程度 攻击影响
攻击静态属性
（1）攻击控制方式（ControlMode）
攻击控制方式直接关系到攻击源的隐蔽程度。根据攻击者 控制攻击机的方式可以分为以下三个等级：直接控制方式 （Direct）、间接控制方式（Indirect）和自动控制方式 （Auto）。
3）攻击原理（Principle）
DoS攻击原理主要分为两种，分别是：语义攻击（Semantic） 和暴力攻击（Brute）。
语义攻击指的是利用目标系统实现时的缺陷和漏洞，对目标主机 进行的拒绝服务攻击，这种攻击往往不需要攻击者具有很高的攻 击带宽，有时只需要发送1个数据包就可以达到攻击目的，对这 种攻击的防范只需要修补系统中存在的缺陷即可。
黑客不正当地采用标准协议或连接方法，向攻击的服 务发出大量的讯息，占用及超越受攻击服务器所能处 理的能力，使它当(Down)机或不能正常地为用户服务。
属性分类法
攻击静态属性（Static）
攻击控制模式 攻击通信模式 攻击技术原理 攻击协议和攻击协议层
攻击动态属性（Dynamic）
攻击源地址类型 攻击包数据生成模式 攻击目标类型
暴力攻击指的是不需要目标系统存在漏洞或缺陷，而是仅仅靠发 送超过目标系统服务能力的服务请求数量来达到攻击的目的，也 就是通常所说的风暴攻击。
攻击静态属性
（4）攻击协议层（ProLayer）
攻击所在的TCP/IP协议层可以分为以下四类：数据链路层、 网络层、传输层和应用层。
数据链路层的拒绝服务攻击受协议本身限制，只能发生在局域网 内部，这种类型的攻击比较少见。针对IP层的攻击主要是针对目 标系统处理IP包时所出现的漏洞进行的，如IP碎片攻击 [Anderson01]，针对传输层的攻击在实际中出现较多，SYN风暴、 ACK风暴等都是这类攻击，面向应用层的攻击也较多，剧毒包攻 击中很多利用应用程序漏洞的（例如缓冲区溢出的攻击）都属于 此类型。
DDOS攻击的典型过程
占领傀儡机 实施攻击
信息收集
占领傀儡机
攻击实施
拒绝服务攻击原理
典型的拒绝服务攻击
剧毒包型DoS攻击
WinNuke攻击 碎片（Teardrop）攻击 Land攻击 Ping of death攻击
WinNuke攻击
攻击特征：
WinNuke攻击又称带外传输攻击，它的特征是攻击目标端 口，被攻击的目标端口通常是139、138、137、113、53， 而且URG位设为“1”，即紧急模式。
真实地址（True） 伪造合法地址（Forge Legal） 伪造非法地址（Forge Illegal）
（2）攻击包数据生成模式（DataMode）
攻击包中包含的数据信息模式主要有5种：
不需要生成数据（None） 统一生成模式（Unique） 随机生成模式（Random） 字典模式（Dictionary） 生成函数模式（Function）
（5）攻击协议（ProName）
攻击所涉及的最高层的具体协议，如SMTP、ICMP、UDP、 HTTP等。攻击所涉及的协议层越高，则受害者对攻击包进 行分析所需消耗的计算资源就越大。
攻击动态属性（Dynamic）
（1）攻击源地址类型（SourceIP）
攻击者在攻击包中使用的源地址类型可以分为三种：
检测方法：
判断数据包目标端口是否为139、138、137等，并判断URG 位是否为“1”。
反攻击方法：
适当配置防火墙设备或过滤路由器就可以防止这种攻击手 段（丢弃该数据包），并对这种攻击进行审计（记录事件 发生的时间，源主机和目标主机的MAC地址和IP地址 MAC）。
碎片(Teardrop)攻击
（2）攻击通信方式（CommMode）
在间接控制的攻击中，控制者和攻击机之间可以使用多种 通信方式，它们之间使用的通信方式也是影响追踪难度的 重要因素之一。攻击通信方式可以分为三种方式，分别是： 双向通信方式（bi）、单向通信方式（mono）和间接通信 方式（indirection）。
攻击静态属性
主干
节点1-2
舞伴类节点3-7风暴类 Nhomakorabea点8-16
陷阱类
节点18-22
介入类
节点23-37
DDOS攻击的典型过程
获取目标信息
信息收集
Whois Nslookup 网上公开信息 搜索引擎
网络刺探
Tracerouter 网络扫描 漏洞扫描
信息收集
占领傀儡机
攻击实施