第八章拒絕服務(wù)攻擊第八章拒絕服務(wù)攻擊2022/12/29網(wǎng)絡(luò)攻防技術(shù)2本章主要內(nèi)容8.1

概述8.2

典型拒絕服務(wù)攻擊8.3

分布式拒絕服務(wù)攻擊8.4

拒絕服務(wù)攻擊防御2022/12/29網(wǎng)絡(luò)攻防技術(shù)2本章主要內(nèi)容8.1概述一、拒絕攻擊服務(wù)案例1988年，Morris蠕蟲爆發(fā)，其傳播機制是此后僵尸網(wǎng)絡(luò)構(gòu)建方法的雛形2022/12/29網(wǎng)絡(luò)攻防技術(shù)3一、拒絕攻擊服務(wù)案例1988年，Morris蠕蟲爆發(fā)，其傳播一、拒絕攻擊服務(wù)案例2000年，MafiaBoy使用TFN2K對Yahoo、Ebay、Amazon實施了DDOS攻擊2022/12/29網(wǎng)絡(luò)攻防技術(shù)4一、拒絕攻擊服務(wù)案例2000年，MafiaBoy使用TFN2一、拒絕攻擊服務(wù)案例2010年，Anonymous為支持Wikileak，對瑞士銀行、Paypal等發(fā)動DDOS攻擊2022/12/29網(wǎng)絡(luò)攻防技術(shù)5一、拒絕攻擊服務(wù)案例2010年，Anonymous為支持Wi一、拒絕攻擊服務(wù)案例2016年，網(wǎng)絡(luò)服務(wù)提供商Dyn的域名服務(wù)受到Mirai僵尸網(wǎng)絡(luò)發(fā)動的分布式拒絕服務(wù)攻擊，Netflix、Twitter等著名網(wǎng)站受到攻擊影響而無法訪問。此次攻擊的峰值流量達到1.2Tbps2022/12/29網(wǎng)絡(luò)攻防技術(shù)6一、拒絕攻擊服務(wù)案例2016年，網(wǎng)絡(luò)服務(wù)提供商Dyn的域名服二、拒絕服務(wù)攻擊概念指攻擊者通過攻擊網(wǎng)絡(luò)節(jié)點、網(wǎng)絡(luò)鏈路或網(wǎng)絡(luò)應用，致使合法用戶無法得到正常服務(wù)響應的網(wǎng)絡(luò)攻擊行為廣義而言，拒絕服務(wù)攻擊可以泛指一切導致目標服務(wù)不可用的攻擊手段，包括物理環(huán)境、硬件、軟件等各個層面所實施的破壞。在網(wǎng)絡(luò)安全相關(guān)研究中，論及拒絕服務(wù)攻擊時多數(shù)指上述狹義的內(nèi)涵2022/12/29網(wǎng)絡(luò)攻防技術(shù)7二、拒絕服務(wù)攻擊概念指攻擊者通過攻擊網(wǎng)絡(luò)節(jié)點、網(wǎng)絡(luò)鏈路或網(wǎng)絡(luò)三、拒絕服務(wù)攻擊分類1、漏洞型拒絕服務(wù)攻擊：指利用軟件實現(xiàn)中存在的漏洞，致使服務(wù)崩潰或者系統(tǒng)異常。具體如:PingofDeath;TearofDrop…2022/12/29網(wǎng)絡(luò)攻防技術(shù)8三、拒絕服務(wù)攻擊分類1、漏洞型拒絕服務(wù)攻擊：指利用軟件實現(xiàn)中三、拒絕服務(wù)攻擊分類2、重定向型拒絕服務(wù)攻擊：指利用網(wǎng)絡(luò)協(xié)議的設(shè)計缺陷，使目標傳輸?shù)臄?shù)據(jù)被重定向至錯誤的網(wǎng)絡(luò)地址，從而無法進行正常的網(wǎng)絡(luò)通信。具體如:基于ARP欺騙、基于DNS欺騙等2022/12/29網(wǎng)絡(luò)攻防技術(shù)9三、拒絕服務(wù)攻擊分類2、重定向型拒絕服務(wù)攻擊：指利用網(wǎng)絡(luò)協(xié)議三、拒絕服務(wù)攻擊分類3、資源消耗型拒絕服務(wù)攻擊：指通過大量的請求占用網(wǎng)絡(luò)帶寬或系統(tǒng)資源，從而導致服務(wù)可用性下降甚至喪失。具體如SYNFLOOD、UDPFLOOD、HTTPFLOOD等2022/12/29網(wǎng)絡(luò)攻防技術(shù)10三、拒絕服務(wù)攻擊分類3、資源消耗型拒絕服務(wù)攻擊：指通過大量的2022/12/29網(wǎng)絡(luò)攻防技術(shù)11本章主要內(nèi)容8.1

概述8.2

典型拒絕服務(wù)攻擊8.3

分布式拒絕服務(wù)攻擊8.4

拒絕服務(wù)攻擊防御2022/12/29網(wǎng)絡(luò)攻防技術(shù)11本章主要內(nèi)容8.1概一、傳統(tǒng)拒絕服務(wù)攻擊傳統(tǒng)拒絕服務(wù)型攻擊多數(shù)是一些較早時間出現(xiàn)的漏洞利用型拒絕服務(wù)攻擊技術(shù)。雖然這些漏洞利用型攻擊可以通過更新相關(guān)安全補丁即可防范，但導致攻擊的漏洞有時會變換形式再度出現(xiàn)在其它系統(tǒng)或軟件中，使得這些看似“古老”的攻擊技術(shù)會如同“幽靈”般再次浮現(xiàn)。2022/12/29網(wǎng)絡(luò)攻防技術(shù)12一、傳統(tǒng)拒絕服務(wù)攻擊傳統(tǒng)拒絕服務(wù)型攻擊多數(shù)是一些較早時間出現(xiàn)一、傳統(tǒng)拒絕服務(wù)攻擊1、PingofDeath：針對存在漏洞的Windows95、WinNT、Linux2.0.x等系統(tǒng)，通過向其發(fā)送超長的IP數(shù)據(jù)包導致目標系統(tǒng)拒絕服務(wù)。2022/12/29網(wǎng)絡(luò)攻防技術(shù)13一、傳統(tǒng)拒絕服務(wù)攻擊1、PingofDeath：針對存在一、傳統(tǒng)拒絕服務(wù)攻擊2、TearDrop：利用IP包的分片重組在多個操作系統(tǒng)協(xié)議棧中實現(xiàn)時存在的漏洞，主要影響Windows3.1x，Windows95和WindowsNT，以及早于2.0.32和2.1.63版本的Linux操作系統(tǒng)。2022/12/29網(wǎng)絡(luò)攻防技術(shù)14一、傳統(tǒng)拒絕服務(wù)攻擊2、TearDrop：利用IP包的分片重一、傳統(tǒng)拒絕服務(wù)攻擊3、Land攻擊：發(fā)送一個偽造的TCPSYN報文，源地址和目的地址設(shè)置均為目標IP地址，源端口和目標端口設(shè)置為目標某個開放的TCP端口，可以導致目標主機死鎖。Windows95、WindowsNT、FreeBSD2.2.5、SunOS4.1.3，甚至多款Cisco路由器在接收到此報文后，均會產(chǎn)生拒絕服務(wù)。2022/12/29網(wǎng)絡(luò)攻防技術(shù)15一、傳統(tǒng)拒絕服務(wù)攻擊3、Land攻擊：發(fā)送一個偽造的TCP二、洪泛攻擊洪泛攻擊的共同特征是發(fā)送大量的數(shù)據(jù)包，迫使目標服務(wù)消耗大量資源來處理無用請求。根據(jù)攻擊發(fā)生的協(xié)議層次，洪泛攻擊可以分為網(wǎng)絡(luò)層洪泛、傳輸層洪泛和應用層洪泛等，具體的常見洪泛攻擊包括TCP洪泛、UDP洪泛、HTTP洪泛。2022/12/29網(wǎng)絡(luò)攻防技術(shù)16二、洪泛攻擊洪泛攻擊的共同特征是發(fā)送大量的數(shù)據(jù)包，迫使目標服二、洪泛攻擊1、TCP洪泛（TCPFlood）又稱為SYN洪泛（SYNFlood），是一種通過發(fā)送大量偽造的TCP連接請求，致使目標服務(wù)TCP連接資源被耗盡的拒絕服務(wù)攻擊。2022/12/29網(wǎng)絡(luò)攻防技術(shù)17二、洪泛攻擊1、TCP洪泛（TCPFlood）又稱為SYN二、洪泛攻擊攻擊者向服務(wù)器某個開放端口發(fā)送大量SYN連接請求并忽略服務(wù)器SYN/ACK響應，導致服務(wù)器消耗可觀的資源用于維護大量未完成的TCP半連接，最終使合法的服務(wù)請求者無法得到正常響應。2022/12/29網(wǎng)絡(luò)攻防技術(shù)18二、洪泛攻擊攻擊者向服務(wù)器某個開放端口發(fā)送大量SYN連接請求二、洪泛攻擊2、UDP洪泛（UDPFlood）是一種通過發(fā)送大量的UDP報文，消耗目標服務(wù)器帶寬資源的一種拒絕服務(wù)攻擊。2022/12/29網(wǎng)絡(luò)攻防技術(shù)19二、洪泛攻擊2、UDP洪泛（UDPFlood）是一種通過發(fā)二、洪泛攻擊UDP洪泛是一類拒絕服務(wù)攻擊的統(tǒng)稱，最早出現(xiàn)的UDP洪泛攻擊是前文提到的Echo/Chargen攻擊，后文將討論的目前廣泛流行的反射型分布式拒絕服務(wù)攻擊實際上也多為UDP洪泛攻擊。2022/12/29網(wǎng)絡(luò)攻防技術(shù)20二、洪泛攻擊UDP洪泛是一類拒絕服務(wù)攻擊的統(tǒng)稱，最早出現(xiàn)的U二、洪泛攻擊3、HTTP洪泛（HTTPFlood）利用大量看似合法的HTTPGET或POST請求消耗Web服務(wù)器資源，最終導致其無法響應真正合法的請求。2022/12/29網(wǎng)絡(luò)攻防技術(shù)21二、洪泛攻擊3、HTTP洪泛（HTTPFlood）利用大量二、洪泛攻擊HTTP洪泛并不以流量“取勝”。攻擊者通常會對針對性地對目標Web服務(wù)器進行分析，選擇可以更多消耗目標服務(wù)器資源的Web請求實施洪泛。2022/12/29網(wǎng)絡(luò)攻防技術(shù)22二、洪泛攻擊HTTP洪泛并不以流量“取勝”。攻擊者通常會對針三、低速率拒絕服務(wù)攻擊低速率拒絕服務(wù)（LDoS,Low-rateDenial-of-Service）攻擊，是利用網(wǎng)絡(luò)協(xié)議或應用服務(wù)協(xié)議中的自適應機制存在的安全問題，通過周期性地發(fā)送高速脈沖攻擊數(shù)據(jù)包，達到降低被攻擊主機服務(wù)性能的目的。2022/12/29網(wǎng)絡(luò)攻防技術(shù)23三、低速率拒絕服務(wù)攻擊低速率拒絕服務(wù)（LDoS,Low-r三、低速率拒絕服務(wù)攻擊1、TCP擁塞控制-RTO發(fā)送端為發(fā)送的每個報文設(shè)置一個定時器，若收到報文的確認之前定時器超時將重新發(fā)送該報文，這里設(shè)置的定時器就是RTO2022/12/29網(wǎng)絡(luò)攻防技術(shù)24三、低速率拒絕服務(wù)攻擊1、TCP擁塞控制-RTO2022/1三、低速率拒絕服務(wù)攻擊1、TCP擁塞控制-AIMD發(fā)送端在收到3個重復的ACK數(shù)據(jù)包時就開啟重傳，啟動AIMD算法調(diào)整擁塞窗口大小。2022/12/29網(wǎng)絡(luò)攻防技術(shù)25三、低速率拒絕服務(wù)攻擊1、TCP擁塞控制-AIMD2022三、低速率拒絕服務(wù)攻擊2022/12/29網(wǎng)絡(luò)攻防技術(shù)26在多數(shù)TCP協(xié)議實現(xiàn)中，擁塞控制綜合使用多種機制來調(diào)整源端的發(fā)送速率在鏈路輕度擁塞的情況下，表現(xiàn)為發(fā)送端重復收到3個相同的確認報文，主要是采用AIMD策略實現(xiàn)擁塞控制而當網(wǎng)絡(luò)重度擁塞的時候，表現(xiàn)為在超時重傳時間內(nèi)沒有收到確認，此時使用RTO機制三、低速率拒絕服務(wù)攻擊2022/12/29網(wǎng)絡(luò)攻防技術(shù)26在三、低速率拒絕服務(wù)攻擊2、低速率拒絕服務(wù)攻擊原理

LDoS攻擊利用TCP擁塞控制機制，故意制造網(wǎng)絡(luò)擁塞狀況，使擁塞控制一直處于調(diào)整狀態(tài)，發(fā)送端的發(fā)送速率會迅速變小，導致被攻擊主機的服務(wù)性能顯著降低2022/12/29網(wǎng)絡(luò)攻防技術(shù)27三、低速率拒絕服務(wù)攻擊2、低速率拒絕服務(wù)攻擊原理2022/第八章拒絕服務(wù)攻擊第八章拒絕服務(wù)攻擊2022/12/29網(wǎng)絡(luò)攻防技術(shù)29本章主要內(nèi)容8.1

概述8.2

典型拒絕服務(wù)攻擊8.3

分布式拒絕服務(wù)攻擊8.4

拒絕服務(wù)攻擊防御2022/12/29網(wǎng)絡(luò)攻防技術(shù)2本章主要內(nèi)容8.1概述一、拒絕攻擊服務(wù)案例1988年，Morris蠕蟲爆發(fā)，其傳播機制是此后僵尸網(wǎng)絡(luò)構(gòu)建方法的雛形2022/12/29網(wǎng)絡(luò)攻防技術(shù)30一、拒絕攻擊服務(wù)案例1988年，Morris蠕蟲爆發(fā)，其傳播一、拒絕攻擊服務(wù)案例2000年，MafiaBoy使用TFN2K對Yahoo、Ebay、Amazon實施了DDOS攻擊2022/12/29網(wǎng)絡(luò)攻防技術(shù)31一、拒絕攻擊服務(wù)案例2000年，MafiaBoy使用TFN2一、拒絕攻擊服務(wù)案例2010年，Anonymous為支持Wikileak，對瑞士銀行、Paypal等發(fā)動DDOS攻擊2022/12/29網(wǎng)絡(luò)攻防技術(shù)32一、拒絕攻擊服務(wù)案例2010年，Anonymous為支持Wi一、拒絕攻擊服務(wù)案例2016年，網(wǎng)絡(luò)服務(wù)提供商Dyn的域名服務(wù)受到Mirai僵尸網(wǎng)絡(luò)發(fā)動的分布式拒絕服務(wù)攻擊，Netflix、Twitter等著名網(wǎng)站受到攻擊影響而無法訪問。此次攻擊的峰值流量達到1.2Tbps2022/12/29網(wǎng)絡(luò)攻防技術(shù)33一、拒絕攻擊服務(wù)案例2016年，網(wǎng)絡(luò)服務(wù)提供商Dyn的域名服二、拒絕服務(wù)攻擊概念指攻擊者通過攻擊網(wǎng)絡(luò)節(jié)點、網(wǎng)絡(luò)鏈路或網(wǎng)絡(luò)應用，致使合法用戶無法得到正常服務(wù)響應的網(wǎng)絡(luò)攻擊行為廣義而言，拒絕服務(wù)攻擊可以泛指一切導致目標服務(wù)不可用的攻擊手段，包括物理環(huán)境、硬件、軟件等各個層面所實施的破壞。在網(wǎng)絡(luò)安全相關(guān)研究中，論及拒絕服務(wù)攻擊時多數(shù)指上述狹義的內(nèi)涵2022/12/29網(wǎng)絡(luò)攻防技術(shù)34二、拒絕服務(wù)攻擊概念指攻擊者通過攻擊網(wǎng)絡(luò)節(jié)點、網(wǎng)絡(luò)鏈路或網(wǎng)絡(luò)三、拒絕服務(wù)攻擊分類1、漏洞型拒絕服務(wù)攻擊：指利用軟件實現(xiàn)中存在的漏洞，致使服務(wù)崩潰或者系統(tǒng)異常。具體如:PingofDeath;TearofDrop…2022/12/29網(wǎng)絡(luò)攻防技術(shù)35三、拒絕服務(wù)攻擊分類1、漏洞型拒絕服務(wù)攻擊：指利用軟件實現(xiàn)中三、拒絕服務(wù)攻擊分類2、重定向型拒絕服務(wù)攻擊：指利用網(wǎng)絡(luò)協(xié)議的設(shè)計缺陷，使目標傳輸?shù)臄?shù)據(jù)被重定向至錯誤的網(wǎng)絡(luò)地址，從而無法進行正常的網(wǎng)絡(luò)通信。具體如:基于ARP欺騙、基于DNS欺騙等2022/12/29網(wǎng)絡(luò)攻防技術(shù)36三、拒絕服務(wù)攻擊分類2、重定向型拒絕服務(wù)攻擊：指利用網(wǎng)絡(luò)協(xié)議三、拒絕服務(wù)攻擊分類3、資源消耗型拒絕服務(wù)攻擊：指通過大量的請求占用網(wǎng)絡(luò)帶寬或系統(tǒng)資源，從而導致服務(wù)可用性下降甚至喪失。具體如SYNFLOOD、UDPFLOOD、HTTPFLOOD等2022/12/29網(wǎng)絡(luò)攻防技術(shù)37三、拒絕服務(wù)攻擊分類3、資源消耗型拒絕服務(wù)攻擊：指通過大量的2022/12/29網(wǎng)絡(luò)攻防技術(shù)38本章主要內(nèi)容8.1

概述8.2

典型拒絕服務(wù)攻擊8.3

分布式拒絕服務(wù)攻擊8.4

拒絕服務(wù)攻擊防御2022/12/29網(wǎng)絡(luò)攻防技術(shù)11本章主要內(nèi)容8.1概一、傳統(tǒng)拒絕服務(wù)攻擊傳統(tǒng)拒絕服務(wù)型攻擊多數(shù)是一些較早時間出現(xiàn)的漏洞利用型拒絕服務(wù)攻擊技術(shù)。雖然這些漏洞利用型攻擊可以通過更新相關(guān)安全補丁即可防范，但導致攻擊的漏洞有時會變換形式再度出現(xiàn)在其它系統(tǒng)或軟件中，使得這些看似“古老”的攻擊技術(shù)會如同“幽靈”般再次浮現(xiàn)。2022/12/29網(wǎng)絡(luò)攻防技術(shù)39一、傳統(tǒng)拒絕服務(wù)攻擊傳統(tǒng)拒絕服務(wù)型攻擊多數(shù)是一些較早時間出現(xiàn)一、傳統(tǒng)拒絕服務(wù)攻擊1、PingofDeath：針對存在漏洞的Windows95、WinNT、Linux2.0.x等系統(tǒng)，通過向其發(fā)送超長的IP數(shù)據(jù)包導致目標系統(tǒng)拒絕服務(wù)。2022/12/29網(wǎng)絡(luò)攻防技術(shù)40一、傳統(tǒng)拒絕服務(wù)攻擊1、PingofDeath：針對存在一、傳統(tǒng)拒絕服務(wù)攻擊2、TearDrop：利用IP包的分片重組在多個操作系統(tǒng)協(xié)議棧中實現(xiàn)時存在的漏洞，主要影響Windows3.1x，Windows95和WindowsNT，以及早于2.0.32和2.1.63版本的Linux操作系統(tǒng)。2022/12/29網(wǎng)絡(luò)攻防技術(shù)41一、傳統(tǒng)拒絕服務(wù)攻擊2、TearDrop：利用IP包的分片重一、傳統(tǒng)拒絕服務(wù)攻擊3、Land攻擊：發(fā)送一個偽造的TCPSYN報文，源地址和目的地址設(shè)置均為目標IP地址，源端口和目標端口設(shè)置為目標某個開放的TCP端口，可以導致目標主機死鎖。Windows95、WindowsNT、FreeBSD2.2.5、SunOS4.1.3，甚至多款Cisco路由器在接收到此報文后，均會產(chǎn)生拒絕服務(wù)。2022/12/29網(wǎng)絡(luò)攻防技術(shù)42一、傳統(tǒng)拒絕服務(wù)攻擊3、Land攻擊：發(fā)送一個偽造的TCP二、洪泛攻擊洪泛攻擊的共同特征是發(fā)送大量的數(shù)據(jù)包，迫使目標服務(wù)消耗大量資源來處理無用請求。根據(jù)攻擊發(fā)生的協(xié)議層次，洪泛攻擊可以分為網(wǎng)絡(luò)層洪泛、傳輸層洪泛和應用層洪泛等，具體的常見洪泛攻擊包括TCP洪泛、UDP洪泛、HTTP洪泛。2022/12/29網(wǎng)絡(luò)攻防技術(shù)43二、洪泛攻擊洪泛攻擊的共同特征是發(fā)送大量的數(shù)據(jù)包，迫使目標服二、洪泛攻擊1、TCP洪泛（TCPFlood）又稱為SYN洪泛（SYNFlood），是一種通過發(fā)送大量偽造的TCP連接請求，致使目標服務(wù)TCP連接資源被耗盡的拒絕服務(wù)攻擊。2022/12/29網(wǎng)絡(luò)攻防技術(shù)44二、洪泛攻擊1、TCP洪泛（TCPFlood）又稱為SYN二、洪泛攻擊攻擊者向服務(wù)器某個開放端口發(fā)送大量SYN連接請求并忽略服務(wù)器SYN/ACK響應，導致服務(wù)器消耗可觀的資源用于維護大量未完成的TCP半連接，最終使合法的服務(wù)請求者無法得到正常響應。2022/12/29網(wǎng)絡(luò)攻防技術(shù)45二、洪泛攻擊攻擊者向服務(wù)器某個開放端口發(fā)送大量SYN連接請求二、洪泛攻擊2、UDP洪泛（UDPFlood）是一種通過發(fā)送大量的UDP報文，消耗目標服務(wù)器帶寬資源的一種拒絕服務(wù)攻擊。2022/12/29網(wǎng)絡(luò)攻防技術(shù)46二、洪泛攻擊2、UDP洪泛（UDPFlood）是一種通過發(fā)二、洪泛攻擊UDP洪泛是一類拒絕服務(wù)攻擊的統(tǒng)稱，最早出現(xiàn)的UDP洪泛攻擊是前文提到的Echo/Chargen攻擊，后文將討論的目前廣泛流行的反射型分布式拒絕服務(wù)攻擊實際上也多為UDP洪泛攻擊。2022/12/29網(wǎng)絡(luò)攻防技術(shù)47二、洪泛攻擊UDP洪泛是一類拒絕服務(wù)攻擊的統(tǒng)稱，最早出現(xiàn)的U二、洪泛攻擊3、HTTP洪泛（HTTPFlood）利用大量看似合法的HTTPGET或POST請求消耗Web服務(wù)器資源，最終導致其無法響應真正合法的請求。2022/12/29網(wǎng)絡(luò)攻防技術(shù)48二、洪泛攻擊3、HTTP洪泛（HTTPFlood）利用大量二、洪泛攻擊HTTP洪泛并不以流量“取勝”。攻擊者通常會對針對性地對目標Web服務(wù)器進行分析，選擇可以更多消耗目標服務(wù)器資源的Web請求實施洪泛。2022/12/29網(wǎng)絡(luò)攻防技術(shù)49二、洪泛攻擊HTTP洪泛并不以流量“取勝”。攻擊者通常會