第五章第二节 拒绝服务攻击
拒绝服务攻击简介
拒绝服务是一种耗尽CPU、内存、带宽、磁盘资源等系统资源,来阻止或削弱对网络、系统或应用程序的授权使用的行为。
拒绝服务攻击使用到洪泛法、源地址欺骗、SYN欺骗等方法。下面介绍经典的拒绝服务攻击。
洪泛攻击
洪泛攻击利用大量的恶意数据包来充斥整个网络,由于这种网络阻塞,在到达目标服务器的路径上很多数据包被丢弃,合法的流量很难在
洪泛攻击中存活下来,使得服务器对网络上连接请求的响应能力急剧下降。可使用ICMP、UDP、TCP SYN数据包进行洪泛攻击。
分布式拒绝服务攻击
攻击者首先入侵多台主机使其被控制,然后控制这些主机一起发送恶意数据包。
反射攻击
反射攻击,是利用网络服务系统中的正常功能,向网络服务系统发送请求(源地址为目标系统的IP地址)让其对目标系统进行响应,网络服务系统向目标系统返回大量的响应数据包来占用目标系统大量资源,从而完成攻击。反射攻击一般要求利用的网络服务能够由较少数据的请求产生较大数据的响应,如Chargen,NDS,SNMP或ISAKMP服务等。
TCP SYN Flood
攻击原理
与洪泛攻击不同(攻击带宽),还有一类拒绝服务攻击,它是通过大量占用系统资源来导致服务器无法对其他正常的网络请求作出响应。著名的就是TCP SYN Flood。其攻击原理如下。
由TCP三次握手的步骤,客户端首先发送SYN请求,服务器返回SYN+ACK响应,而如果SYN请求是伪造的,报文中的源IP并未发起TCP请求,于是当服务器返回SYN+ACK响应返回给源IP主机时,此主机不会作出回应。而服务器如果没有收到回应,会重试3-5次并等待一个SYN Time。
攻击者只需发送一定量的伪造SYN请求至目标主机,就可以使服务器消耗大量系统资源来保留TCP半连接,当服务器的TCP连接表被占完,就会使得服务器无暇顾及合法的TCP请求连接。
防御策略
Cookie源认证:当服务器收到第一个SYN请求报文时,让Dos防护系统来响应,同样返回一个SYN+ACK响应(但这不是TCP组件响应的,而是Dos防护系统),若SYN请求报文不是伪造的,请求主机会返回ACK字段为seq+1的ACK报文,而如果SYN报文是伪造的,所谓的请求主机并不会返回ACK字段为seq+1的ACK报文。
首包丢弃:根据TCP可靠重传特性,服务器在首次收到SYN请求报文后,并不作回应,如果是正常请求,源主机在一段时间内没有收到SYN+ACK响应时会再次发送SYN请求。