第16讲拒绝服务攻击

第16讲拒绝服务攻击内容摘要：

样的服务时，攻击者利用其中一台主机向另一台主机的 echo或者 chargen服务端口发送数据， echo和 chargen服务会自动进行回复，这样开启 echo和 chargen服务的主机就会相互回复数据。 由于这种做法使一方的输出成为另一方的输入，两台主机间会形成大量的 UDP数据包。 当多个系统之间互相产生 UDP数据包时，最终将导致整个网络瘫痪。 2020/11/17 网络入侵与防范讲义 29 UDP洪水实例（ UDPFlood） IP/hostname和 port：输入目标主机的 IP地址和端口号； Max duration：设定最长的攻击时间； Speed：设置 UDP包发送速度； Data：指定发送的 UDP数据包中包含的内容。 2020/11/17 网络入侵与防范讲义 30 UDP洪水实例 (2) 对局域网网内的一台计算机 起 UDP Flood攻击，发包速率为 250PPS。 2020/11/17 网络入侵与防范讲义 31 UDP洪水实例 (3) 在被攻击的计算机 Sniffer工具，可以捕捉由攻击者计算机发到本机的 UDP数据包，可以看到内容为 “ ***** UDP Flood. Server stress test *****”的大量 UDP数据包，如下页图所示。 如果加大发包速率和增加攻击机的数量，则目标主机的处理能力将会明显下降。 2020/11/17 网络入侵与防范讲义 32 UDP“洪水 ” 实例 2020/11/17 网络入侵与防范讲义 33 SYN洪水 SYN Flood是当前最流行的拒绝服务攻击方式之一，这是一种利用 TCP协议缺陷，发送大量伪造的 TCP连接请求，使被攻击方资源耗尽 (CPU满负荷或内存不足 )的攻击方式。 SYN Flood是利用 TCP连接的三次握手过程的特性实现的。 2020/11/17 网络入侵与防范讲义 34 SYN洪水 在 TCP连接的三次握手过程中，假设一个客户端向服务器发送了 SYN报文后突然死机或掉线，那么服务器在发出 SYN/ACK应答报文后是无法收到客户端的 ACK报文的，这种情况下服务器端一般会重试，并等待一段时间后丢弃这个未完成的连接。 这段时间的长度我们称为 SYN Timeout。 一般来说这个时间是分钟的数量级。 一个用户出现异常导致服务器的一个线程等待 1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况 (伪造 IP地址 )，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。 2020/11/17 网络入侵与防范讲义 35 SYN洪水 即使是简单的保存并遍历半连接列表也会消耗非常多的 CPU时间和内存，何况还要不断对这个列表中的 IP进行 SYN+ACK的重试。 实际上如果服务器的 TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃 ——既使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的 TCP连接请求而无暇理睬客户的正常请求，此时从正常客户的角度看来，服务器失去响应，这种情况就称作：服务器端受到了 SYN Flood攻击 (SYN洪水攻击 )。 2020/11/17 网络入侵与防范讲义 36 SYN“洪水 ” 攻击示意图 入 侵 者用 户服 务 器服 务 器( S Y N ) 　 H e l l o , I ’ m 1 . 1 . 1 . 1( S Y N ) H e l l o , I ’ m h e r eI ’ m w a i t i n g „ „I ’ m w a i t i n g „ „I ’ m w a i t i n g „ „I ’ m w a i t i n g „ „I ’ m w a i t i n g „ „I ’ m w a i t i n g „ „I ’ m r e a d y , I ’ mw a i t i n g y o uS o r r y , I ’ m b u s y2020/11/17 网络入侵与防范讲义 37 SYN“洪水 ” 攻击实例 局域网环境，有一台攻击机（ PIII667/128/mandrake），被攻击的是一台Solaris 的主机，网络设备是 Cisco的百兆交换机。 后面将显示在 Solaris上进行 snoop抓包的记录。  注： snoop与 tcpdump等网络监听工具一样，是一个网络抓包与分析工具。 2020/11/17 网络入侵与防范讲义 38 SYN“洪水 ” 攻击实例 (2) 攻击示意图： 2020/11/17 网络入侵与防范讲义 39 SYN“洪水 ” 攻击实例 (3) 攻击机开始发包， DoS开始了 … ，突然间 Solaris主机上的 snoop窗口开始飞速地翻屏，显示出接到数量巨大的 Syn请求。 这时的屏幕就好象是时速 300公里的列车上的一扇车窗。 Syn Flood攻击时的 snoop输出结果如下页图所示。 2020/11/17 网络入侵与防范讲义 40 SYN“洪水 ” 攻击实例 (4) 2020/11/17 网络入侵与防范讲义 41 SYN“洪水 ” 攻击实例 (4) 此时，目标主机再也收不到刚才那些正常的网络包，只有 DoS包。 大家注意一下，这里所有的 Syn Flood攻击包的源地址都是伪造的，给追查工作带来很大困难。 这时在被攻击主机上积累了多少 Syn的半连接呢。 用 stat来看一下： stat an | grep SYN。 结果如下页图所示。 2020/11/17 网络入侵与防范讲义 42 2020/11/17 网络入侵与防范讲义 43 SYN“洪水 ” 攻击实例 (5) 其中 SYN_RCVD表示当前未完成的 TCP SYN队列，统计一下（ wc是文件内容统计命令， l选项表示统计行数）： stat an | grep SYN | wc l 5273 stat an | grep SYN | wc l 5154 stat an | grep SYN | wc l 5267 … .. 共有五千多个 Syn的半连接存储在内存中。 这时候被攻击机已经不能响应新的服务请求了，系统运行非常慢，也无法 ping通。 而这只是在攻击发起后仅仅 70秒钟左右时的情况。 2020/11/17 网络入侵与防范讲义 44 SYN“洪水 ” 的防御 SYN洪水攻击比较难以防御，以下是几种解决方。