DOS攻擊之詳解--轉載

• DoS到底是什麼？
• 一、概念理解
• 二、攻擊流程：
• 三、攻擊手段：
• 四、常見的DoS攻擊與防護

DoS到底是什麼？

 接觸PC機較早的同志會直接想到微軟磁碟作業系統的DOS--DiskOperationSystem？不，此DoS非彼DOS也，DoS即DenialOfService，拒絕服務的縮寫。
DoS是Denial of Service的簡稱，即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網路無法提供正常的服務。最常見的DoS攻擊有計算機網路頻寬攻擊和連通性攻擊。
 

一、概念理解

   作個形象的比喻來理解DoS。街頭的餐館是為大眾提供餐飲服務，如果一群地痞流氓要DoS餐館的話，手段會很多，比如霸佔著餐桌不結賬，堵住餐館的大門不讓路，騷擾餐館的服務員或廚子不能幹活，甚至更惡劣……相應的計算機和網路系統則是為Internet使用者提供網際網路資源的，如果有黑客要進行DoS攻擊的話，可以想象同樣有好多手段！今天最常見的DoS攻擊有對計算機網路的頻寬攻擊和連通性攻擊。頻寬攻擊指以極大的通訊量衝擊網路，使得所有可用網路資源都被消耗殆盡，最後導致合法的使用者請求無法通過。連通性攻擊指用大量的連線請求衝擊計算機，使得所有可用的作業系統資源都被消耗殆盡，最終計算機無法再處理合法使用者的請求。
   傳統上，攻擊者所面臨的主要問題是網路頻寬，由於較小的網路規模和較慢的網路速度的限制，攻擊者無法發出過多的請求。雖然類似“thepingofdeath”的攻擊型別只需要較少量的包就可以摧毀一個沒有打過補丁的UNIX系統，但大多數的DoS攻擊還是需要相當大的頻寬的，而以個人為單位的黑客們很難使用高頻寬的資源。為了克服這個缺點，DoS攻擊者開發了分散式的攻擊。攻擊者簡單利用工具集合許多的網路頻寬來同時對同一個目標發動大量的攻擊請求，這就是DDoS攻擊。

 無論是DoS攻擊還是DDoS攻擊，簡單的看，都只是一種破壞網路服務的黑客方式，雖然具體的實現方式千變萬化，但都有一個共同點，就是其根本目的是使受害主機或網路無法及時接收並處理外界請求，或無法及時迴應外界請求。其具體表現方式有以下幾種：
1. 製造大流量無用資料，造成通往被攻擊主機的網路擁塞，使被攻擊主機無法正常和外界通訊。
2. 利用被攻擊主機提供服務或傳輸協議上處理重複連線的缺陷，反覆高頻的發出攻擊性的重複服務請求，使被攻擊主機無法及時處理其它正常的請求。
3. 利用被攻擊主機所提供服務程式或傳輸協議的本身實現缺陷，反覆傳送畸形的攻擊資料引發系統錯誤的分配大量系統資源，使主機處於掛起狀態甚至宕機。
 

二、攻擊流程：

  要理解dos攻擊，首先要理解TCP連線的三次握手過程(Three-wayhandshake)。在TCP/IP協議中，TCP協議提供可靠的連線服務，採用三次握手建立一個連線。
1.第一次握手:建立連線時，客戶端傳送SYN包((SYN=i)到伺服器，並進入SYN SEND狀態，等待伺服器確認;
2.第二次握手:伺服器收到SYN包，必須確認客戶的SYN (ACK=i+1 )，同時自己也傳送一個SYN包((SYN=j)}即SYN+ACK包，此時伺服器進入SYN_RECV狀態;
3.第三次握手:客戶端收到伺服器的SYN+ACK包，向伺服器傳送確認包ACK(ACK=j+1)，此包傳送完畢，客戶端和伺服器進入ESTABLISHED狀態，完成三次握手，客戶端與伺服器開始傳送資料。
 在上述過程中，還有一些重要的概念:
SYN洪水攻擊屬於DoS攻擊的一種，它利用TCP協議缺陷，通過傳送大量的半連線請求，耗費CPU和記憶體資源。 SYN攻擊除了能影響主機外，還可以危害路由器、防火牆等網路系統，事實上SYN攻擊並不管目標是什麼系統，只要這些系統開啟TCP服務就可以實施。從圖 4-3可看到，伺服器接收到連線請求(SYN=i )將此資訊加入未連線佇列，併發送請求包給客戶端( SYN=j,ACK=i+1 )，此時進入SYN_RECV狀態。當伺服器未收到客戶端的確認包時，重發請求包，一直到超時，才將此條目從未連線佇列刪除。配合IP欺騙，SYN攻擊能 達到很好的效果，通常，客戶端在短時間內偽造大量不存在的IP地址，向伺服器不斷地傳送SYN包，伺服器回覆確認包，並等待客戶的確認，由於源地址是不存 在的，伺服器需要不斷的重發直至超時，這些偽造的SYN包將長時間佔用未連線佇列，正常的SYN 請求被丟棄，目標系統執行緩慢，嚴重者引起網路堵塞甚至系統癱瘓。過程如下:

   攻擊主機C(地址偽裝後為C')-----大量SYN包---->被攻擊主機
   C&apos;<-------SYN/ACK包----被攻擊主機

由於C’地址不可達，被攻擊主機等待SYN包超時。攻擊主機通過發大量SYN包填滿未連線佇列，導致正常SYN包被拒絕服務。另外，SYN洪水攻擊還可以通過發大量ACK包進行DoS攻擊。
 

三、攻擊手段：

拒絕服務攻擊是一種對網路危害巨大的惡意攻擊。今天，DoS具有代表性的攻擊手段包括PingofDeath、TearDrop、UDPflood、SYNflood、LandAttack、IPSpoofingDoS等。看看它們又是怎麼實現的。 

1. 死亡之ping (pingofdeath)
ICMP(InternetControlMessageProtocol，Internet控制資訊協議)在Internet上用於錯誤處理和傳遞控制資訊。它的功能之一是與主機聯絡，通過傳送一個“迴音請求”（echorequest）資訊包看看主機是否“活著”。最普通的ping程式就是這個功能。而在TCP/IP的RFC文件中對包的最大尺寸都有嚴格限制規定，許多作業系統的TCP/IP協議棧都規定ICMP包大小為64KB，且在對包的標題頭進行讀取之後，要根據該標題頭裡包含的資訊來為有效載荷生成緩衝區。"PingofDeath"就是故意產生畸形的測試Ping（PacketInternetGroper）包，聲稱自己的尺寸超過ICMP上限，也就是載入的尺寸超過64KB上限，使未採取保護措施的網路系統出現記憶體分配錯誤，導致TCP/IP協議棧崩潰，最終接收方宕機。
2. 淚滴 (teardrop)
淚滴攻擊利用在TCP/IP協議棧實現中信任IP碎片中的包的標題頭所包含的資訊來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的資訊，某些TCP/IP協議棧（例如NT在servicepack4以前）在收到含有重疊偏移的偽造分段時將崩潰。

3. UDP泛洪(UDPflood)
 UDPflood攻擊：如今在Internet上UDP（使用者資料包協議）的應用比較廣泛，很多提供WWW和Mail等服務裝置通常是使用Unix的伺服器，它們預設開啟一些被黑客惡意利用的UDP服務。如echo服務會顯示接收到的每一個數據包，而原本作為測試功能的chargen服務會在收到每一個數據包時隨機反饋一些字元。UDPflood假冒攻擊就是利用這兩個簡單的TCP/IP服務的漏洞進行惡意攻擊，通過偽造與某一主機的Chargen服務之間的一次的UDP連線，回覆地址指向開著Echo服務的一臺主機，通過將Chargen和Echo服務互指，來回傳送毫無用處且佔滿頻寬的垃圾資料，在兩臺主機之間生成足夠多的無用資料流，這一拒絕服務攻擊飛快地導致網路可用頻寬耗盡。

4. SYN泛洪(SYNflood)
SYNflood攻擊：我們知道當用戶進行一次標準的 TCP（TransmissionControlProtocol）連線時，會有一個3次握手過程。首先是請求服務方傳送一個 SYN（SynchronizeSequenceNumber）訊息，服務方收到SYN後，會向請求方回送一個SYN-ACK表示確認，當請求方收到 SYN-ACK後，再次向服務方傳送一個ACK訊息，這樣一次TCP連線建立成功。“SYNFlooding”則專門針對TCP協議棧在兩臺主機間初始化連線握手的過程進行DoS攻擊，其在實現過程中只進行前2個步驟：當服務方收到請求方的SYN-ACK確認訊息後，請求方由於採用源地址欺騙等手段使得服務方收不到ACK迴應，於是服務方會在一定時間處於等待接收請求方ACK訊息的狀態。而對於某臺伺服器來說，可用的TCP連線是有限的，因為他們只有有限的記憶體緩衝區用於建立連線，如果這一緩衝區充滿了虛假連線的初始資訊，該伺服器就會對接下來的連線停止響應，直至緩衝區裡的連線企圖超時。如果惡意攻擊方快速連續地傳送此類連線請求，該伺服器可用的TCP連線佇列將很快被阻塞，系統可用資源急劇減少，網路可用頻寬迅速縮小，長此下去，除了少數幸運使用者的請求可以插在大量虛假請求間得到應答外，伺服器將無法向用戶提供正常的合法服務。

5. Land（LandAttack）攻擊
 在Land攻擊中，黑客利用一個特別打造的SYN包--它的原地址和目標地址都被設定成某一個伺服器地址進行攻擊。此舉將導致接受伺服器向它自己的地址傳送SYN-ACK訊息，結果這個地址又發回ACK訊息並建立一個空連線，每一個這樣的連線都將保留直到超時，在Land攻擊下，許多UNIX將崩潰，NT變得極其緩慢（大約持續五分鐘）。
 6. IP欺騙dos攻擊
 這種攻擊利用TCP協議棧的RST位來實現，使用IP欺騙，迫使伺服器把合法使用者的連線復位，影響合法使用者的連線。假設現在有一個合法使用者（100.100.100.100）已經同伺服器建立了正常的連線，攻擊者構造攻擊的TCP資料，偽裝自己的IP為100.100.100.100，並向伺服器傳送一個帶有RST位的TCP資料段。伺服器接收到這樣的資料後，認為從100.100.100.100傳送的連線有錯誤，就會清空緩衝區中已建立好的連線。這時，合法使用者100.100.100.100再發送合法資料，伺服器就已經沒有這樣的連線了，該使用者就被拒絕服務而只能重新開始建立新的連線。
 7. smurf攻擊
Smurf是一種簡單但有效的DDoS攻擊技術，它利用了ICMP(Internet控制資訊協議）。ICMP在Internet上用於錯誤處理和傳遞控制資訊。它的功能之一是與主機聯絡，通過傳送一個“迴音請求”（echorequest）資訊包看看主機是否“活著”。最普通的ping程式就使用了這個功能。Smurf是用一個偷來的帳號安裝到一個計算機上的，然後用一個偽造的源地址連續ping一個或多個計算機網路，這就導致所有計算機所響應的那個計算機並不是實際傳送這個資訊包的那個計算機。這個偽造的源地址，實際上就是攻擊的目標，它將被極大數量的響應資訊量所淹沒。對這個偽造資訊包做出響應的計算機網路就成為攻擊的不知情的同謀。

四、常見的DoS攻擊與防護

1. SYN Flood攻擊
  原理：
 問題就出在TCP連線的三次握手中，假設一個使用者向伺服器傳送了SYN報文後突然宕機或掉線，那麼伺服器在發出SYN+ACK應答報文後是無法收到客戶端的 ACK報文的（第三次握手無法完成），這 種情況下伺服器端一般會重試（再次傳送SYN+ACK給客戶端）並等待一段時間後丟棄這個未完成的連線，這段時間的長度我們稱為SYN Timeout，一般來說這個時間是分鐘的數量級（大約為30秒 -2分鐘）；一個使用者出現異常導致伺服器的一個執行緒等待1分鐘並不是什麼很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，伺服器端將為了維護一個 非常大的半連線列表而消耗非常 多的資源----數以萬計的半連線，即使是簡單的儲存並遍歷也會消耗非常多的CPU時間和記憶體，何況還要不斷對這個列表中的IP進行SYN+ACK的重 試。實際上如果伺服器的TCP/IP棧不夠強大，最 後的結果往往是堆疊溢位崩潰---即使伺服器端的系統足夠強大，伺服器端也將忙於處理攻擊者偽造的TCP連線請求而無暇理睬客戶的正常請求（畢竟客戶端的 正常請求比率非常之小），此時從 正常客戶的角度看來，伺服器失去響應，這種情況我們稱作：伺服器端受到了SYN Flood攻擊（SYN洪水攻擊）。
  防範：
 第一種是縮短SYN Timeout時間 
 第二種方法是設定SYN Cookie，就是給每一個請求連線的IP地址分配一個Cookie，如果短時間內連續受到某個IP的重複SYN報文，就認定是受到了攻擊，以後從這個IP地址來的包會被一概丟棄。
       >netstat -n -p tcp >result.txt

2. Smurf攻擊：
   原理：
傳送偽裝的ICMP資料包，目的地址設為某個網路的廣播地址，源地址設為要攻擊的目的主機，使所有收到此ICMP資料包的主機都將對目的主機發出一個迴應，使被攻擊主機在某一段時間內收到 成千上萬的資料包
   防範：
 在cisco路由器上配置如下可以防止將包傳遞到廣播地址上:
     Router(config-if)# no ip directed-broadcast

3. Ping of Death
   原理：
 "ping of death"攻擊就是我們常說的"死亡Ping"
這種攻擊通過傳送大於65536位元組的ICMP包使作業系統崩潰；通常不可能傳送大於65536個位元組的ICMP包，但可以把報文分割成片段，然後在目標主機上重組；最終會導致被攻擊目標緩衝區溢位，引起拒絕服務攻擊。有些時候導致telnet和http服務停止，有些時候路由器重啟。

4. 淚滴攻擊
   原理：
 對於一些大的IP資料包，往往需要對其進行拆分傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。比如，一個6000位元組的IP包，在MTU為2000的鏈路上傳輸的時候，就需要分成3個IP 包。在IP報頭中有一個偏移欄位和一個拆分標誌（MF）。如果MF標誌設定為1，則表示這個IP包是一個大IP包的片段，其中偏移欄位指出了這個片段在整 個IP包中的位置。例如，對一個6000字 節的IP包進行拆分（MTU為2 000），則3個片段中偏移欄位的值依次為0，2000，4000。這樣接收端在全部接收完IP資料包後，就可以根據這些資訊重新組裝這幾個分次接收的拆分IP包。在這 裡就有一個安全漏洞可以利用了，就是如果黑客們在擷取IP資料包後，把偏移欄位設定成不正確的值，這樣接收端在收到這些分拆的資料包後，就不能按資料包中 的偏移欄位值正確組合這些拆 分的資料包，但接收端會不斷嘗試，這樣就可能致使目標計算機作業系統因資源耗盡而崩潰。

 5. DRDOS
    原理：
攻擊時，攻擊者巧妙的利用了反彈伺服器群來將洪 水資料包反彈給目標主機 反彈服務是指某些伺服器在收到一個請求資料報後就會產生一個迴應資料報。所有的 Web 伺服器、DNS 伺服器及路 由器都是反彈伺服器，他們會對 SYN 報文或其他 TCP 報文迴應 SYNACKs 或 RST 報文， 以及對一些 IP 報文迴應 ICMP 資料報超時或目的地不可達訊息的資料 報。任何用於普通目的 TCP 連 接許可的網路伺服器都可以用做資料包反射伺服器