浅述资源耗尽型DoS攻击及其防范技术.docVIP

浅述资源耗尽型DoS攻击及其防范技术 　　 摘 要 　　 本文介绍了几种针对计算机资源环境的拒绝服务攻击及其基本原理，重点分析了从服务器、网络设备和安全设备等方面防御SYN Flooding攻击的措施和应采取的整体防御策略。并结合实际工作经验给出处理SYN攻击方法。 　　关键词：拒绝服务；SYN；攻击；策略；防范措施 　　中图分类号： G250文献标识码：A 文章编号： 　　 　　 Analyzing of the Resource-use-out DoS Attack and the Defending Technology 　　 CongQing 　　 Abstract 　　 This paper introduced several ideas and basic principle of Denial of Service attack in the Computing Rescue Environment. Especially, it analyzed the approaches and comprehensive solutions for defending SYN Flooding attack from the viewpoint of the servers, network and security equipment. It also provided the measures that should be taken from our practical experiences. 　　 　　引言 　　 从上个世纪九十年代到近几年，DoS攻击给很多因特网服务提供商带来了巨大的麻烦和经损失，如2003年8月发生的著名的微软公司更新网站的拒绝服务攻击事件。在这次网络攻击事件中，受全球冲击波病毒发作的影响造成该网站陷入瘫痪。同样地，我们学校业务赖以运行的局域网络系统中，如果发生类似的DoS攻击事件，可能会影响到网站等重要学校服务平台的对外服务，甚至引发大面积的网络故障，影响到学校业务的正运行。本文将分析此类DoS的攻击原理，在此基础上结合几种流行的拒绝服务攻击方式，探索其防范措施，并结合实际工作中的处理经验，提出SYN Flooding的故障处理方法。 　　 　　拒绝服务攻击 　　 拒绝服务攻击[1]（DoS: Denial of Service）是指攻击者有意阻碍合法用户使用某一服务的行为，攻击发生时消耗网络带宽或系统的其它有用资源，导致网络或系统不胜负荷，以陷于瘫痪。 　　 攻击者可能采取以下三种方式中的一种或多种使服务系统崩溃： 　　 (1)带宽耗尽――用大量数据阻塞用户与服务器之间的通信链路； 　　 (2)资源耗竭――用大量请求消耗服务器系统资源： 　　 (3)程序缺陷――利用受害主机所提供服务中处理数据上的缺陷，反复发送畸形数据，大量占用系统资源。 　　 拒绝服务攻击技术采取了破坏网络服务的方式，其根本目的是使受害主机或网络不能及时处理外部请求，或无法及时回应请求，使正常用户服务请求无法得到响应，造成“拒绝服务”。 　　下面介绍几种常见的与计算环境主体相关的拒绝服务攻击。 　　SYN Flooding 　　 SYN Flooding[2]是最广泛流行的拒绝服务攻击方式之一，它利用了TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽(CPU满负荷内存不足）；其攻击方式及流程参见图1： 　　 　　图1TCP SYN Flooding攻击 　　 　　 正常的TCP连接需要进行三次握手过程，通常情况下，系统B在向系统A发送完SYN/ACK分组后，会停止处在一个SYN_RECV状态，等待系统A返回一个ACK分组，此时系统B已经为准备建立此次连接分配了相应的资源，如果系统A是个攻击者，使用了假冒的发送地址，那么系统B将始终处于等待的“半连接”状态，直到连接建立定时器因超时而将该连接从系统的连接队列中清除为止；由于定时器设置的长短及连接队列被填满等原因，发动攻击的系统A在很短的时间内只要持续高速发送源地址经过伪装的连接请求到系统B，可以成功地对目标系统B实施拒绝服务攻击，系统B此时已经不能响应其它正常的服务连接请求。 　　Smurf（ICMP Attack) 　　 当网络中的某台计算机使用广播地址发送一个ICMP echo请求包时（例如ping），一些系统会回应一个ICMP echo回应包，也就是说，发送一个包会收到许多的响应包。广播信息可以通过广播地址或其它机制发送到整个网络中的机器，如向网络上的多个系统发送定向广播(directed broadcast)的ping请求。Smurf攻击就是使用这个原理来进行的，攻击者在网络中发送