DOS攻击类型及应对策略.docxVIP

DOS攻击类型及应对策略 DoS攻击由于易于实施，在现实环境中比较常见，是目前很大的安全威胁。本文从DoS攻击分类，以实例分析的方式，展现DoS攻击的原理及技术特点，帮助安全相关人员更好地了解此类攻击，及时发现网络中可能的DoS攻击方法，并拓展防御思路。 文/H3C攻防团队 一、什么是DoS攻击？ 拒绝服务（Denial of Service，DoS）攻击，是利用系统设计或实现上的漏洞使系统崩溃或资源耗尽无法提供服务的攻击手法，其中，攻击消耗的目标资源包括CPU、内存、硬盘、网络带宽等等。DoS攻击以网络攻击为主，攻击方式相对比较简单，虽然不能窃取信息或运行恶意代码，但可影响被攻击服务的所有用户使用，危害巨大。简单的看，DoS攻击只是一种破坏网络服务的黑客方式，虽然具体的方法变化多端，但都有一个共同点：其根本目的是使受害系统或网络无法接收或处理对指定服务的请求，或者是处理完后无法及时回应此类请求。DoS攻击最早是由单机来完成的，随着服务器系统性能与网络带宽的提高及安全防御设备对同一攻击来源的DoS攻击的检测阻断能力提升，资源耗尽型的DoS攻击向多攻击源方式发展，即分布式拒绝服务攻击（Distributed Denial of service，DDoS）。随着僵尸网络的出现，DoS攻击正向被操纵的大规模真实服务请求发展，为攻击防御带来不小的挑战。 在安全研究领域，广义上的DoS攻击不仅仅包含基于网络服务的远程DoS攻击，本机或者网络客户端被攻击而不能正常提供功能且不能自动恢复也被称为DoS攻击，如以恶意方式造成本机操作系统或应用程序崩溃。由于基于网络的拒绝服务攻击更为常见、危害更大，本文将以远程拒绝服务攻击为主展开，引用并扩展《A?Taxonomy?of DDoS Attack and DDoS Defense Mechanisms》（Jelena Mirkovic与Peter Reiher发表）对DDoS攻击的部分分类方法，并辅以实例，为读者全面展现DoS攻击技术的特点。 二、按目标分类的DoS攻击 1、 攻击应用服务程序 针对特定应用程序的攻击，受网络与攻击源性能规模的限制较小，是较为常见的攻击方式。其中以漏洞利用型攻击较多，它包括针对特定程序的、引发应用程崩溃或挂起的漏洞利用，以及针对一类应用程序的、??用层协议资源耗尽型漏洞的利用。前者的实例很多，多数是漏洞不能被用来执行远程代码，转而用来使软件崩溃造成DoS攻击，如各种缓冲区溢出、内存破坏漏洞等，都有可能只能用于DoS攻击。后者的实例如针对Apache HTTP 服务器拒绝服务漏洞（CVE编号为2011-3192）的攻击，该漏洞源于Apache HTTP 服务器处理来自客户端的HTTP请求中畸形的Range头选项时存在的问题，如果在Range选项中设置了大量重叠的范围指定命令，则Apache 会在构造回应数据时消耗大量内存和CPU资源，导致Apache失去响应，甚至造成操作系统资源耗尽。图1为攻击报文的报文捕获截图，此种攻击可能对其它实现不够完善的WEB服务器同样有效。 图1 攻击Apache HTTP 服务器拒绝服务漏洞的HTTP头 2、 攻击操作系统 操作系统负责向应用提供封装好的统一系统调用接口，网络报文的处理大部分是由操作系统进行初步处理，再把应用数据交给应用程序。对于基础协议如ARP、IP、TCP、UDP等，以及基础的网络应用服务都是由操作系统实现的，这些实现的相关模块可能隐藏着引发系统崩溃或资源耗尽的漏洞。对于这些漏洞的攻击，可以造成系统上的所有应用服务不能收到或处理客户端的请求，甚至整个系统死机。早期的实例有泪滴攻击（Tear Drop），它是利用有漏洞的TCP/IP协议栈信任IP碎片包头所包含的信息来达到攻击目的。因为IP分片含有指明该分片所包含的是原包哪一部分的信息，某些TCP/IP协议栈实现（包括Service Pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。近期的实例是，针对Windows TCP/IP栈ICMP处理拒绝服务漏洞（CVE编号为 HYPERLINK /cgi-bin/cvename.cgi?name=CVE-2011-1871 \t _blank 2011-1871)的攻击。Vista、Win7、Server 2008等Windows版本，在解析收到的ICMP消息时，TCP/IP栈（Tcpip.sys)中存在错误，黑客可通过特制的ICMP消息序列造成系统停止响应或重启。 3、 攻击网络协议 二至四层的网络协议，为客户端与服务器提供的数据通信提供了基础，同时也成为了DoS攻击的目标。一旦通信的协议受到了攻击，通过协议提供的连接就没有了保障，基于连接的服务当然也不可能正常提