拒绝服务(DoS)攻击原理与防御技术的研究.pdfVIP

中谤计算机学会第12届网络与数据通信学术会议 华中师范大学2002年12月2_4H 拒绝服务(DOS)攻击原理及防御技术的研究 吴礼发 摘要拒绝服务(DOS)攻击是一种很严重且难以防范的网络攻击手段。近几年来，拒绝服务攻击技 术发展很快，给网络安全带来的极大的挑战。本文首先简要介绍了DoS攻击的基本原理。然后， 详细讨论了几种主要的DoS攻击的检测和响应技术以及存在的问题。 关键词拒绝服务，分布式拒绝服务，网络安全 1引言 近几年来，随着因特网的日益普及和快速发展，各种网络攻击事件层出不穷。拒绝服务攻击(DoS DenimofService)是其中的一种很严重且难以防范的攻击手段。它主要依靠消耗网络带宽或系统资 源(如，处理机、磁盘、内存)，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务， 或更改系统配置使得系统无法正常工作(如，更改路由器的路由表)，来达到攻击的目的。DoS攻击 主要以网站、路由器、域名服务器(DNS)等网络基础结构为攻击目标，因此危害非常严重，给被攻 Buy．com，eBay)攻击事件造成了上百万美元的损失。 1999年11月，在由CERT／CC组织的分布式系统入侵者工具研讨会(DSIT Red，Code RedII等n 由于分布式拒绝服务攻击是最主要的一种拒绝服务攻击，因此本文的讨论主要以DDoS为主。 论文首先介绍DoS攻击的基本原理。然后，详细讨论了DoS攻击的检测和响应技术。 2DoS攻击的基本原理及现状 DoS攻击一般包括以下三个步骤： (1)攻击者通过扫描工具寻找一个或多个能够入侵的系统，并获得系统的控制权。然后，在被 行。 (2)攻击者利用扫描工具大量扫描并攻击存在安全漏洞的系统，获得该系统的控制权。在被攻 陷的系统中安装并运行DoS的攻击代理(agent)。 代理发起真正的攻击。 中，因此要求攻击者具有较高的水平。随着攻击工具的快速发展，攻击工具的自动化程度越来越高。 扫描、探测、安装。在ramen蠕虫出现以后，很多攻击者开始利用这类蠕虫的自动扫描、探测、安 装、传播的特点来安装和传播DoS攻击工具IJJ。有些蠕虫，如红色代码(CodeRed)，以及后来出现 的红色代码II，本身就可以发起对指定目标的TCPSYNDoS攻击。 个DDoS攻击网络就会被破坏。在IRC(IntemetChat)流行以后，攻击者利用IRC与攻击代理 Relay 法的通信信道控制一组攻击代理发动攻击。因此，1RC的使用给发现DDoS攻击网络带来了极大的 挑战，大大提高了DDoS攻击网络的生存能力，是DDoS攻击技术的一个巨大进步。现在，有很多 攻击代理通常采用向目标主机发送大量的网络分组的方式来进行。使用的分组类型通常有以下 几种： 而使其它功能不能分配到足够的内存。Trinoo就是一种分布式的TCPSYNDoS攻击工具。 ◆ICMP Echo请求／响应报文(如，Pingfloods)。向目标主机发送大量的ICMP分组。 ◆UDP洪流。向目标主机发送大量的UDP分组。 常改变攻击分组流中的分组的某些字段来达到各种目的，例如： ■源IP地址。假冒IP地址(respoofing)主要有两种目的：隐藏分组的真正的源地址；使主 机将响应发送给被攻击的主机。后者的例子很常见，如smurf或fraggle攻击。 组中的源或目的端口号来抵抗分组过滤。 中的目的IP地址不变外，随机选择分组流中的每一个分组的IP首部中的其它各个字段的值。 攻击者只有拥有足够的特权，就可以很容易产生和传送带有伪造的属性值的网络分组，这是因 为TCP／IP协议栈(IPv4)不提供机制来确保分组属性的完整性． 3DoS的检测及响应技术 3．1DoS攻击检测技术 及时检测出DoS攻击对于减轻攻击所造成的危害是非常必要的．入侵检测系统(ms)可以通过 以下一些特征或现象来判断是否发生了入侵． 3．1．1DoS攻击工具的特征标志检测 这种方法主要针对攻击者利用已知特征的DoS攻击工具发起的攻击。攻击特征主要包括： 为TCP端口666