CN104660572A - 新型接入网络中拒绝服务攻击的模式数据的控制方法及装置 - Google Patents
新型接入网络中拒绝服务攻击的模式数据的控制方法及装置 Download PDFInfo
- Publication number
- CN104660572A CN104660572A CN201310600971.5A CN201310600971A CN104660572A CN 104660572 A CN104660572 A CN 104660572A CN 201310600971 A CN201310600971 A CN 201310600971A CN 104660572 A CN104660572 A CN 104660572A
- Authority
- CN
- China
- Prior art keywords
- attack
- service
- assailant
- server
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本发明解决新型接入网络中拒绝服务攻击的模式数据的控制方法及装置了2个重要问题,第一种是发送带有相同载荷的包,这样的包由于带有明显的特征,很容易被检测出来;第二种是发送带有随机生成的载荷的包,这种随机生成的载荷虽然难以用模式识别的方式来检测,然而随机生成的载荷在某些应用中可能生成大量没有实际意义的包,这些没有意义的包也很容易被过滤掉,但是攻击者仍然可以精心设计载荷的随机生成方式,使得受害者只有解析到应用层协议才能识别出攻击数据包,从而增加了过滤的困难性。
Description
(一) 领域
本发明新型接入网络中拒绝服务攻击的模式数据的控制方法及装置属于电子信息领域。
(二) 简介
SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake),而SYN Flood拒绝服务 攻击就是通过三次握手而实现的。
1) 攻击者向被攻击服务器发送一个包含SYN标志的TCP报文,SYN(Synchronize)即同步报文。
同步报文会指明客户端使用的端口以及TCP连接的初始序号。
这时同被攻击服务器建立了第一次握手。
2) 受害服务器在收到攻击者的SYN报文后,将返回一个SYN+ACK的报文,表示攻击者的请求被接受,同时TCP序号被加一,ACK(Acknowledgment)即确认,这样就同被攻击服务器建立了第二次握手。
3) 攻击者也返回一个确认报文ACK给受害服务器,同样TCP序列号 被加一,到此一个TCP连接完成,三次握手完成。
具体原理是:TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服 务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。
这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级;一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址),服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。
即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。
实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃—— 即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况就称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
1) 一个SYN包从C发送到S
2) 防火墙在这里扮演了S的角色来回应一个带SYN cookie的SYN-ACK包给C
3) C发送ACK包,接着防火墙和C的连接就建立了。
4) 防火墙这个时候扮演C的角色发送一个SYN给S
5) S返回一个SYN给C
6) 防火墙扮演C发送一个ACK确认包给S,这个时候防火墙和S的连接也就建立了
7) 防火墙转发C和S间的数据
如果系统遭受SYN Flood,那么第三步就不会有,而且无论在防火墙还是S都不会收到相应在第一步的SYN包,所以我们就击退了这次SYN洪水攻击。
这种攻击利用RST位来实现。
假设有一个合法用户(61.61.61.61)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为61.61.61.61,并向服务器发送一个带有RST位的TCP数据段。
服务器接收到这样的数据后,认为从61.61.61.61发送的连接有错误,就会清空缓冲区中建立好的连接。
这时,如果合法用户61.61.61.61再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。
攻击时,攻击者会伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。
攻击者利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。
通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。
由于在早期的阶段,路由器对包的最大尺寸都有限制。
许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。
当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机。
泪滴攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
Land攻击原理是:用一个特别打造的SYN包,它的原地址和目标地址都被设置成某一个服务器地址。
此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留,直到超时,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续5分钟)。
一个简单的Smurf攻击原理就是:通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行。
最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞。
它比ping of death洪水的流量高出1或2个数量级。
更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。
原理:Fraggle攻击实际上就是对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP。
J.Mirkovic和P. Reiher [Mirkovic04]提出了拒绝服务攻击的属性分类法,即将攻击属性分为攻击静态属性、攻击动态属性和攻击交互属性三类,根据DoS攻击的这些属性的不同,就可以对攻击进行详细的分类。
凡是在攻击开始前就已经确定,在一次连续的攻击中通常不会再发生改变的属性,称为攻击静态属性。
攻击静态属性是由攻击者和攻击本身所确定的,是攻击基本的属性。那些在攻击过程中可以进行动态改变的属性,如攻击的目标选取、时间选择、使用源地址的方式,称为攻击动态属性。
而那些不仅与攻击者相关而且与具体受害者的配置、检测与服务能力也有关系的属性,称为攻击交互属性。
攻击静态属性主要包括攻击控制模式、攻击通信模式、攻击技术原理、攻击协议和攻击协议层等。
(1)攻击控制方式
攻击控制方式直接关系到攻击源的隐蔽程度。
根据攻击者控制攻击机的方式可以分为以下三个等级:直接控制方式(Direct)、间接控制方式(Indirect)和自动控制方式(Auto)。
最早的拒绝服务攻击通常是手工直接进行的,即对目标的确定、攻击的发起和中止都是由用户直接在攻击主机上进行手工操作的。
这种攻击追踪起来相对容易,如果能对攻击包进行准确的追踪,通常就能找到攻击者所在的位置。
由于直接控制方式存在的缺点和攻击者想要控制大量攻击机发起更大规模攻击的需求,攻击者开始构建多层结构的攻击网络。
多层结构的攻击网络给针对这种攻击的追踪带来很大困难,受害者在追踪到攻击机之后,还需要从攻击机出发继续追踪控制器,如果攻击者到最后一层控制器之间存在多重跳板时,还需要进行多次追踪才能最终找到攻击者,这种追踪不仅需要人工进行操作,耗费时间长,而且对技术也有很高的要求。
这种攻击模式,是目前最常用的新型攻击模式。
自动攻击方式,是在释放的蠕虫或攻击程序中预先设定了攻击模式,使其在特定时刻对指定目标发起攻击。
这种方式的攻击,从攻击机往往难以对攻击者进行追踪,但是这种控制方式的攻击对技术要求也很高。
(2)攻击通信方式
在间接控制的攻击中,控制者和攻击机之间可以使用多种通信方式,它们之间使用的通信方式也是影响追踪难度的重要因素之一。
攻击通信方式可以分为三种方式,分别是:双向通信方式(bi)、单向通信方式(mono)和间接通信方式(indirection)。
双向通信方式是指根据攻击端接收到的控制数据包中包含了控制者的真实IP地址,例如当控制器使用TCP与攻击机连接时,该通信方式就是双向通信。
这种通信方式,可以很容易地从攻击机查找到其上一级的控制器。
单向通信方式指的是攻击者向攻击机发送指令时的数据包并不包含发送者的真实地址信息,例如用伪造IP地址的UDP包向攻击机发送指令。
这一类的攻击很难从攻击机查找到控制器,只有通过包标记等IP追踪手段,才有可能查找到给攻击机发送指令的机器的真实地址。
但是,这种通信方式在控制上存在若干局限性,例如控制者难以得到攻击机的信息反馈和状态。
间接通信方式是新型通过第三者进行交换的双向通信方式,这种通信方式具有隐蔽性强、难以追踪、难以监控和过滤等特点,对攻击机的审计和追踪往往只能追溯到某个被用于通信中介的公用服务器上就再难以继续进行。
这种通信方式已发现的主要是通过IRC(Internet Relay Chat)进行通信,从2000年8月出现的名为Trinity的DDoS攻击工具开始,已经有多种DDoS攻击工具及蠕虫采纳了这种通信方式。
在基于IRC的傀儡网络中,若干攻击者连接到Internet上的某个IRC服务器上,并通过服务器的聊天程序向傀儡主机发送指令。
(3)攻击原理
DoS攻击原理主要分为两种,分别是:语义攻击(Semantic)和暴力攻击(Brute)。
语义攻击指的是利用目标系统实现时的缺陷和漏洞,对目标主机进行的拒绝服务攻击,这种攻击往往不需要攻击者具有很高的攻击带宽,有时只需要发送1个数据包就可以达到攻击目的,对这种攻击的防范只需要修补系统中存在的缺陷即可。
暴力攻击指的是不需要目标系统存在漏洞或缺陷,而是仅仅靠发送超过目标系统服务能力的服务请求数量来达到攻击的目的,也就是通常所说的风暴攻击。
所以防御这类攻击必须借助于受害者上游路由器等的帮助,对攻击数据进行过滤或分流。
某些攻击方式,兼具语义和暴力两种攻击的特征,比如SYN风暴攻击,虽然利用了TCP协议本身的缺陷,但仍然需要攻击者发送大量的攻击请求,用户要防御这种攻击,不仅需要对系统本身进行增强,而且也需要增大资源的服务能力。
还有一些攻击方式,是利用系统设计缺陷,产生比攻击者带宽更高的通信数据来进行暴力攻击的,如DNS请求攻击和Smurf攻击。
这些攻击方式在对协议和系统进行改进后可以消除或减轻危害,所以可把它们归于语义攻击的范畴。
(4)攻击协议层
攻击所在的TCP/IP协议层可以分为以下四类:数据链路层、网络层、传输层和应用层。
数据链路层的拒绝服务攻击受协议本身限制,只能发生在局域网内部,这种类型的攻击比较少见。
针对IP层的攻击主要是针对目标系统处理IP包时所出现的漏洞进行的,,针对传输层的攻击在实际中出现较多,SYN风暴、ACK风暴等都是这类攻击,面向应用层的攻击也较多,剧毒包攻击中很多利用应用程序漏洞的(例如缓冲区溢出的攻击)都属于此类型。
(5)攻击协议
攻击所涉及的最高层的具体协议,如SMTP、ICMP、UDP、HTTP等。攻击所涉及的协议层越高,则受害者对攻击包进行分析所需消耗的计算资源就越大。
攻击动态属性主要包括攻击源地址类型、攻击包数据生成模式和攻击目标类型。
(1)攻击源地址类型
攻击者在攻击包中使用的源地址类型可以分为三种:真实地址(True)、伪造合法地址(Forge Legal)和伪造非法地址(Forge Illegal)。
攻击时攻击者可以使用合法的IP地址,也可以使用伪造的IP地址。
伪造的IP地址可以使攻击者更容易逃避追踪,同时增大受害者对攻击包进行鉴别、过滤的难度,但某些类型的攻击必须使用真实的IP地址,例如连接耗尽攻击。
使用真实IP地址的攻击方式由于易被追踪和防御等原因,近些年来使用比例逐渐下降。
使用伪造IP地址的攻击又分为两种情况:新型是使用网络中已存在的IP地址,这种伪造方式也是反射攻击所必需的源地址类型;另外新型是使用网络中尚未分配或者是保留的IP地址。
(2)攻击包数据生成模式
攻击包中包含的数据信息模式主要有5种:不需要生成数据(None)、统一生成模式(Unique)、随机生成模式(Random)、字典模式(Dictionary)和生成函数模式(Function)。
在攻击者实施风暴式拒绝服务攻击时,攻击者需要发送大量的数据包到目标主机,这些数据包所包含的数据信息载荷可以有多种生成模式,不同的生成模式对受害者在攻击包的检测和过滤能力方面有很大的影响。
某些攻击包不需要包含载荷或者只需包含适当的固定的载荷,例如SYN风暴攻击和ACK风暴攻击,这两种攻击发送的数据包中的载荷都是空的,所以这种攻击是无法通过载荷进行分析的。但是对于另外一些类型的攻击包,就需要携带相应的载荷。
攻击的动态属性不仅与攻击者的攻击方式、能力有关,也与受害者的能力有关。
主要包括攻击的可检测程度和攻击影响。
(1)可检测程度
根据能否对攻击数据包进行检测和过滤,受害者对攻击数据的检测能力从低到高分为以下三个等级:可过滤(Filterable)、有特征但无法过滤(Unfilterable)和无法识别(Noncharacterizable)。
第新型情况是,对于受害者来说,攻击包具有较为明显的可识别特征,而且通过过滤具有这些特征的数据包,可以有效地防御攻击,保证服务的持续进行。
第二种情况是,对于受害者来说,攻击包虽然具有较为明显的可识别特征,但是如果过滤具有这些特征的数据包,虽然可以阻断攻击包,但同时也会影响到服务的持续进行,从而无法从根本上防止拒绝服务。
第三种情况是,对于受害者来说,攻击包与其他正常的数据包之间,没有明显的特征可以区分,也就是说,所有的包,在受害者看来,都是正常的。
(2)攻击影响
根据攻击对目标造成的破坏程度,攻击影响自低向高可以分为:无效(None)、服务降低(Degrade)、可自恢复的服务破坏(Self-recoverable)、可人工恢复的服务破坏(Manu-recoverable)以及不可恢复的服务破坏(Non-recoverable)。
如果目标系统在拒绝服务攻击发生时,仍然可以提供正常服务,则该攻击是无效的攻击。
如果攻击能力不足以导致目标完全拒绝服务,但造成了目标的服务能力降低,这种效果称之为服务降低。
而当攻击能力达到一定程度时,攻击就可以使目标完全丧失服务能力,称之为服务破坏。
服务破坏又可以分为可恢复的服务破坏和不可恢复的服务破坏,网络拒绝服务攻击所造成的服务破坏通常都是可恢复的。
一般来说,风暴型的DDoS攻击所导致的服务破坏都是可以自恢复的,当攻击数据流消失时,目标就可以恢复正常工作状态。
而某些利用系统漏洞的攻击可以导致目标主机崩溃、重启,这时就需要对系统进行人工恢复;还有一些攻击利用目标系统的漏洞对目标的文件系统进行破坏,导致系统的关键数据丢失,往往会导致不可恢复的服务。
与其他类型的攻击一样,攻击者发起拒绝服务攻击的动机也是多种多样的,不同的时间和场合发生的、由不同的攻击者发起的、针对不同的受害者的攻击可能有着不同的目的。
这里,把拒绝服务攻击的一些主要目的进行归纳。需要说明的是,这里列出的没有也不可能包含所有的攻击目的;同时,这些目的也不是排他性的,一次攻击事件可能会有着多重的目的。
由于DoS攻击非常简单,还可以从网上直接下载工具进行自动攻击。因此,这种攻击可以被一些自认为是或者想要成为黑客而实际上是脚本小子(Script Kiddies)的人用做练习攻击技术的手段。
而其他的一些特权提升攻击(除通过蠕虫等进行自动攻击外),通常都会或多或少地牵涉到一些技术性的东西,从而掌握起来会有一定的难度。
黑客们常常以能攻破某系统作为向同伴炫耀,提高在黑客社会中的可信度及知名度的资本,拒绝服务攻击虽然技术要求不是很高,有时也被一些人特别是一些“所谓的”黑客用来炫耀。
仇恨或报复也常常是攻击的动机。寻求报复通常都基于强烈的感情,攻击者可能竭尽所能地发起攻击,因而一般具有较大的破坏性。
同时,拒绝服务攻击当是报复者的首选攻击方式,因为他们的目的主要是破坏而非对系统的控制或窃取信息。
因仇恨而发起攻击的人员有:
前雇员,由于被解雇、下岗或者因为其他不愉快的原因辞职而感到不满的。
现雇员,感到其雇主应该提升自己、增加薪水或以其他方式承认其工作,而愿望没有得到满足的,尤其是哪些因为类似原因,打算辞职的。
现雇员,因为政治斗争、升职竞争等原因而恶意破坏他人工作成绩的。
外部人员,由于对公司充满仇恨,例如不满的客户或者竞争对手的雇员,他们可能希望损害公司的利益或者使其陷入困境。
外部人员,他们可能仇恨公司所雇用的某个人,这个人也许是前男/女朋友,前配偶等。
有些系统的使用需要账户(用户名)和口令进行身份认证,而当以某个用户名登录时,如果口令连续错误的次数超过一定值,系统会锁定该账户,攻击者可以采用此方法实施对账户的拒绝服务攻击。
(三) 定义及应用
拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之。
其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。
拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。
攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
(四) 成分及组成
攻击包载荷的生成方式可以分为4种:
第新型是发送带有相同载荷的包,这样的包由于带有明显的特征,很容易被检测出来。
第二种是发送带有随机生成的载荷的包,这种随机生成的载荷虽然难以用模式识别的方式来检测,然而随机生成的载荷在某些应用中可能生成大量没有实际意义的包,这些没有意义的包也很容易被过滤掉,但是攻击者仍然可以精心设计载荷的随机生成方式,使得受害者只有解析到应用层协议才能识别出攻击数据包,从而增加了过滤的困难性。
第三种方式是攻击者从若干有意义载荷的集合中按照某种规则每次取出一个填充到攻击包中,这种方式当集合的规模较小时,也比较容易被检测出来。最后新型方式是按照某种规则每次生成不同的载荷,这种方式依生成函数的不同,其检测的难度也是不同的。
攻击目标类型(1)加密密文频繁被破早已不再安全:
曾几何时无线通讯最牢靠的安全方式就是针对无线通讯数据进行加密,加密方式种类也很多,从最基本的WEP加密到WPA加密。然而这些加密方式被陆续破解,首先是WEP加密技术被黑客在几分钟内破解;继而在11月国外研究员将WPA加密方式中TKIP算法逆向还原出明文。
WEP与WPA加密都被破解,这样就使得无线通讯只能够通过自己建立Radius验证服务器或使用WPA2来提高通讯安全了。不过WPA2并不是所有设备都支持的。
(2)无线数据sniffer让无线通讯毫无隐私:
另一个让用户最不放心的就是由于无线通讯的灵活性,只要有信号的地方入侵者就一定可以通过专业无线数据sniffer类工具嗅探出无线通讯数据包的内容,不管是加密的还是没有加密的,借助其他手段都可以查看到具体的通讯数据内容。像隐藏SSID信息,修改信号发射频段等方法在无线数据sniffer工具面前都无济于事。
然而从根本上杜绝无线sniffer又不太现实,毕竟信号覆盖范围广泛是无线网络的一大特色。所以说无线数据sniffer让无线通讯毫无隐私是其先天不安全的一个主要体现。
(3)修改MAC地址让过滤功能形同虚设:
虽然无线网络应用方面提供了诸如MAC地址过滤的功能,很多用户也确实使用该功能保护无线网络安全,但是由于MAC地址是可以随意修改的,通过注册表或网卡属性都可以伪造MAC地址信息。所以当通过无线数据sniffer工具查找到有访问权限MAC地址通讯信息后,就可以将非法入侵主机的MAC地址进行伪造,从而让MAC地址过滤功能形同虚设。
网络安全要诀一
采用强力的密码。正如我在文中所指出,一个足够强大的密码可以让暴力破解成为不可能实现的情况。相反的,如果密码强度不够,几乎可以肯定会让你的系统受到损害。
要诀二
严禁广播服务集合标识符(SSID)。如果不能对服务集合标识符也就是你给无线网络的命名进行保护的话,会带来严重的安全隐患。对无线路由器进行配置,禁止服务集合标识符的广播,尽管不能带来真正的安全,但至少可以减轻受到的威胁,因为很多初级的恶意攻击都是采用扫描的方式寻找那些有漏洞的系统。隐藏了服务集合标识符,这种可能就大大降低了。大多数商业级路由器/防火墙设备都提供相关的功能设置。
要诀三
采用有效的无线加密方式。动态有线等效保密(WEP)并不是效果很好的加密方式。只要使用象aircrack一样免费工具,就可以在短短的几分钟里找出动态有线等效保密模式加密过的无线网络中的漏洞。无线网络保护访问(WPA)是通用的加密标准,你很可能已经使用了。当然,如果有可能的话,你应该选择使用一些更强大有效的方式。毕竟,加密和解密的斗争是无时无刻不在进行的。
要诀四
可能的话,采用不同类型的加密。不要仅仅依靠无线加密手段来保证无线网络的整体安全。不同类型的加密可以在系统层面上提高安全的可靠性。举例来说,OpenSSH就是一个不错的选择,可以为在同一网络内的系统提供安全通讯,即使需要经过因特网也没有问题。采用加密技术来保护无线网络中的所有通讯数据不被窃取是非常重要的,就象采用了SSL加密技术的电子商务网站一样。实际上,如果没有确实必要的话,尽量不要更换加密方式。
要诀五
对介质访问控制(MAC)地址进行控制。很多人会告诉你,介质访问控制(MAC)地址的限制不会提供真正的保护。但是,象隐藏无线网络的服务集合标识符、限制介质访问控制(MAC)地址对网络的访问,是可以确保网络不会被初级的恶意攻击者骚扰的。对于整个系统来说,针对从专家到新手的各种攻击进行全面防护,以保证系统安全的无懈可击是非常重要的。
要诀六
在网络不使用的时间,将其关闭。这个建议的采用与否,取决于网络的具体情况。如果你并不是需要一天二十四小时每周七天都使用网络,那就可以采用这个措施。毕竟,在网络关闭的时间,安全性是最高的,没人能够连接不存在的网络。
要诀七
关闭无线网络接口。如果你使用笔记本电脑之类的移动终端的话,应该将无线网络接口在默认情况下给予关闭。只有确实需要连接到一个无线网络的时间才打开相关的功能。其余的时间,关闭的无线网络接口让你不会成为恶意攻击的目标。
要诀八
对网络入侵者进行监控。对于网络安全的状况,必须保持全面关注。你需要对攻击的发展趋势进行跟踪,了解恶意工具是怎么连接到网络上的,怎么做可以提供更好的安全保护。你还需要对日志里扫描和访问的企新型等相关信息进行分析,找出其中有用的部分,并且确保在真正的异常情况出现的时间可以给予及时的通知。毕竟,众所周知最危险的时间就是事情进行到一半的时间。
要诀九
确保核心的安全。在你离开的时间,务必确保无线路由器或连接到无线网络上正在使用的笔记本电脑上运行了有效的防火墙。还要注意的是,请务必关闭不必要的服务,特别是在微软Windows操作系统下不需要的服务,因为在默认情况下它们活动的后果可能会出乎意料。实际上,你要做的是尽一切可能确保整个系统的安全。
要诀十
不要在无效的安全措施上浪费时间。我经常遇到一些不太了解技术的用户对安全措施的疑问,他们被有关安全的免费咨询所困扰。一般来说,这方面的咨询,不仅只是无用的,而且往往是彻头彻尾有害的。我们最经常看到的有害的建议就是,在类似咖啡馆的公共无线网络环境中进行连接的时间,你应该只选择采用无线加密的连接。有时,人们对建议往往就理解一半,结果就成为了你应该只连接到带无线网络保护访问模式(WPA)保护的无线网络上。实际上,使用了加密功能的公共接入点并不会给你带来额外的安全,因为,网络会向任何发出申请的终端发送密钥。这就象把房子的门给锁了起来,但是在门上写着“钥匙在欢迎的垫子下面”。如果你希望将无线网络提供给大家,任何人都可以随便访问,加密是不需要。实际上对无线网络来说,加密更象是新型威慑。只有使用特定的无线网络,才会在降低方便性的情况下,提高安全性。
要诀十一
改变无线路由口令。为无线路由的互联网访问设置一个口令至关重要,一个强口令有助于无线网络的安全,但不要使用原始无线路由器的默认口令,建议更改较为复杂的口令避免简单被攻破。[4]
对于无线网络安全来说,大部分的要诀可以说就是“普通常识” 。但可怕的是,“普通常识” 是如此之多,以至于不能在同时给予全面考虑。因此,你应该经常对无线网络和移动电脑进行检查,以保证没有漏掉一些重要的部分,并且确保关注的是有效的而不是不必要甚至是完全无效的安全措施。
网络解决企业网络
企业信息化的基础是企业网,企业都在致力于建设一个高速、安全、可靠、可扩充的网络系统,以实现企业内信息的高度共享、传递,大大提高工作效率;为了实现对外信息的交流,还需要建立出口通道,实现与Internet互联,可以方便地进行资料查询。企业所需要的信息化服务要求较高,其网络应具有以下特点:
· 作为一个基于企业Intranet的信息管理和应用的网络系统,提供相应的各种服务
·网络上各种软、硬件资源能得到共享,并能快速、稳定地传输各种信息,提供有效的网络信息管理手段
· 采用开放式、标准化的系统结构,以利于功能扩充和技术升级
· 能够与外界进行广域网的连接,提供、享用各种信息服务
· 具有完善的网络安全机制。
· 能够与原有的计算机局域网络和应用系统平滑地连接,调用原有各种计算机系统的信息。
网络方案
1)无线网络组网
使用无线组网的技术,通过安装AP和PCMCIA无线网卡或USB无线网卡,就可以在公司内部架构起无线局域网,使得办公区、会议室、会客室、展示厅及休息区都可以移动上网,为移动办公创造了条件。
2)业务方案说明
· 用户隔离
由于无线用户的流动性和不确定性,需要对用户之间互访的进行隔离,首先必须要求AP具有二层隔离功能。但是,仅仅AP具有二层隔离功能,只能保证连接在同一个AP下的两个无线用户之间的隔离,而连接在不同AP下的用户之间却可以通过上一级交换机进行通讯,因此仅AP实现隔离不能从根本上解决用户之间隔离的问题。为此,必须在连接AP的上一级交换机上为交换机的每个端口配置VLAN,以保证连接在不同AP下的用户之间的隔离,同时在Ocamar AC上的也应设置为用户隔离状态,这样就可以从根本上利用不同的网络设备实现用户之间的访问隔离。
· 认证方式
用户认证采用WEB DHCP方式,即用户打开IE浏览器,输入一个URL,这时Ocamar AC将用户的浏览器重定向到认证页面,要求用户在认证页面提供用户名和密码,当用户成功认证后,AC将用户浏览器重新带回刚才所键入的URL。基于WEB方式的认证,用户电脑设置简单,用户无须安装任何客户端软件,仅仅需要将用户网卡设为自动获得IP地址,Ocamar AC会自动为用户分配正确的IP;即使用户将无线网卡设置了固定的IP地址,也可利用AC中的即插即用功能。认证通过后,为了提高安全性,Ocamar AC对MAC地址、IP地址以及用户名三者实施了绑定策略。
· 用户权限和网络访问控制
根据业务模式和对用户权限管理的需要,需要对用户访问本地网络的权限 网络联机
进行控制。比如,公司员工允许通过WLAN访问本地网络资源,诸如文件服务器、打印服务器、MIS、视频服务等,同时允许访问INTERNET;对于来访人员,根据其不同身份级别,对其能否访问本地网络资源加以控制。根据这些需求,Ocamar AC有两个Internet的出口,用于让某些不允许访问本地网络资源的用户直接访问INTERNET。Ocamar AC的一个端口(出口2)和企业收敛交换机相连,用于提供给某些用户(比如访客)上网出口,因为这些用户不允许访问企业内部网络。而Ocamar AC的另一个端口(出口1)接企业内部局域网,这样,企业内部员工可以通过这条路由访问本地网络资源以及访问INTERNET,从而实现用户权限的控制和本地网络资源的控制。
此外,根据实际的业务需要,可增加MAC地址绑定方式,只有指定的MAC地址,并通过对应的用户名和密码进行认证,才能合法接入网络;或采用MAC地址验证方式,可根据不同的MAC地址为无线用户分配不同网段的IP地址,实现基于不同用户的业务策略和访问控制;也可根据Ocamar AC上不同的网口,对应交换机的VLAN分配不同网段的IP地址,实现基于不同区域的业务策略和访问控制。
·无线网络设备管理
为了便于网络管理员对整个无线网络进行有效的管理,Ocamar AC上内建了一个基于WEB的管理平台,提供对无线接入控制服务器(AC)和无线接入点(AP)的管理。对AC的管理包括对AC运行等参数的配置,各模块运行状况监控等;对无线接入点的管理包括扫描指定网段的所有AP,实时报告所有AP运行状态,发现非法AP立即报警,群组更改AP的设置,如ESSID等,以便对所有AP进行集中化的管理。
· 用户管理
用户管理是一个基于WEB方式的管理员界面,也可以是一个客户端程序,在其中可以添加新用户,添加新的用户组别,修改用户属性以及修改用户组的属性,另外,可以对每个用户是否允许使用VPN、是否需要进行MAC地址的验证等内容进行设置。
Ocamar AC还可以记录用户上网日志,日志包括用户名、目的IP地址、访问时间、用户的主机IP地址、MAC地址、VLAN接入位置等信息。用户访问日志可以记录用户的整个网上活动过程,便于追查恶意用户的物理位置,实现网络的安全控制。
网络保护保护无线网络的技巧
1. 使用WPA2加密——旧的安全选项,如WEP可被瞬间破解且无需特殊设备或是技巧。只需使用浏览器插件或是手机应用即可。WPA2是最新的安全运算法则,它贯彻到了整个无线系统,可以从配置屏幕中进行选取。
2. 使用十个字符以上的密码——即便是比较新的加密方案,如WPA2,也可以被那些自动套取密码的进程攻克。不见得要用长而难记的密码,大可以使用一些表达,如“makemywirelessnetworksecure”等取代原来较短的密码。或者使用更为复杂的密码,如“w1f1p4ss”。这类密码更具安全性。
3. 不要使用标准的SSID——许多无线路由器都自带默认的无线网络名称,也就是我们所知道的SSID,如“netgear”或“linksys”,大多数用户都不会想到要对这些名称进行更改。 WPA2加密将这一SSID作为密码的一部分来使用。不对其进行更改意味着允许骇客使用密码查询列表,而这样无疑会加速密码破解的进程,甚至可以让他们测试密码的速度达到每秒几百万个。使用自定义的SSID则增大了不法分子破坏无线网络的难度。
4. 在密码中,添加数字,特殊符号和大小写字母——复杂的密码增加了字符数,这样便会增加密码破解的难度。例如,如果你的密码包含四个字节,但你仅使用了数字,那么可能的密码就是10的四次方,即10000个。如果你只使用小写字母,那么密码的可能性达到36的四次方。这样就迫使攻击者测试巨大数量的密码,从而增加他解密的时间。
5. 调节无线信号的覆盖范围——调制解调器的接入点具备多个天线和传输功率,所以,用户可以调节信号的覆盖范围。有些产品可以让我们通过菜单选项来调节传输功率。这样就限制了别人能获取你的无线信号的范围,从而可以避免其损坏你的网络。
故障解决无线网络,特别是无线局域网给我们的生活带来了极大的方便,为我们提供了无处不在的、高带宽的网络服务,但是,由于无线信道特有的性质,使得无线网络连接具有不稳定性,大大影响了服务质量,本文将介绍一些常见的无线网络故障及排除方法,来帮助用户及时、有效地排除这些故障。
攻击目标类型可以分为以下6类:应用程序(Application)、系统(System)、网络关键资源(Critical)、网络(Network)、网络基础设施(Infrastructure)和因特网(Internet)。
针对特定应用程序的攻击是较为常见的攻击方式,其中以剧毒包攻击较多,它包括针对特定程序的,利用应用程序漏洞进行的拒绝服务攻击,以及针对一类应用的,使用连接耗尽方式进行的拒绝服务攻击。
针对系统的攻击也很常见,像SYN风暴、UDP风暴以及可以导致系统崩溃、重启的剧毒包攻击都可以导致整个系统难以提供服务。
针对网络关键资源的攻击包括对特定DNS、路由器的攻击。
而面向网络的攻击指的是将整个局域网的所有主机作为目标进行的攻击。
针对网络基础设施的攻击需要攻击者拥有相当的资源和技术,攻击目标是根域名服务器、主干网核心路由器、大型证书服务器等网络基础设施,这种攻击发生次数虽然不多,但一旦攻击成功,造成的损失是难以估量的。
针对Internet的攻击是指通过蠕虫、病毒发起的,在整个Internet上蔓延并导致大量主机、网络拒绝服务的攻击,这种攻击的损失尤为严重。
Claims (6)
1.本发明接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接;被攻击的服务器每接收一个这样的连接都将保留,直到超时,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续5分钟);
一个简单的Smurf攻击原理就是:通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行;
最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞;
它比ping of death洪水的流量高出1或2个数量级;
更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃;
原理:Fraggle攻击实际上就是对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP;
J.Mirkovic和P. Reiher [Mirkovic04]提出了拒绝服务攻击的属性分类法,即将攻击属性分为攻击静态属性、攻击动态属性和攻击交互属性三类,根据DoS攻击的这些属性的不同,就可以对攻击进行详细的分类。
2.凡是在攻击开始前就已经确定,在一次连续的攻击中通常不会再发生改变的属性,称为攻击静态属性;
攻击静态属性是由攻击者和攻击本身所确定的,是攻击基本的属性;那些在攻击过程中可以进行动态改变的属性,如攻击的目标选取、时间选择、使用源地址的方式,称为攻击动态属性;
而那些不仅与攻击者相关而且与具体受害者的配置、检测与服务能力也有关系的属性,称为攻击交互属性;
攻击静态属性主要包括攻击控制模式、攻击通信模式、攻击技术原理、攻击协议和攻击协议层等;
(1)攻击控制方式
攻击控制方式直接关系到攻击源的隐蔽程度;
根据攻击者控制攻击机的方式可以分为以下三个等级:直接控制方式(Direct)、间接控制方式(Indirect)和自动控制方式(Auto);
最早的拒绝服务攻击通常是手工直接进行的,即对目标的确定、攻击的发起和中止都是由用户直接在攻击主机上进行手工操作的;
这种攻击追踪起来相对容易,如果能对攻击包进行准确的追踪,通常就能找到攻击者所在的位置;SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake),而SYN Flood拒绝服务 攻击就是通过三次握手而实现的;
攻击者向被攻击服务器发送一个包含SYN标志的TCP报文,SYN(Synchronize)即同步报文;
同步报文会指明客户端使用的端口以及TCP连接的初始序号;
这时同被攻击服务器建立了第一次握手;
受害服务器在收到攻击者的SYN报文后,将返回一个SYN+ACK的报文,表示攻击者的请求被接受,同时TCP序号被加一,ACK(Acknowledgment)即确认,这样就同被攻击服务器建立了第二次握手;
攻击者也返回一个确认报文ACK给受害服务器,同样TCP序列号 被加一,到此一个TCP连接完成,三次握手完成;
具体原理是:TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服 务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接;
这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级;一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址),服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源;
即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试;
实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃—— 即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况就称作:服务器端受到了SYN Flood攻击(SYN洪水攻击);
一个SYN包从C发送到S
防火墙在这里扮演了S的角色来回应一个带SYN cookie的SYN-ACK包给C
C发送ACK包,接着防火墙和C的连接就建立了;
防火墙这个时候扮演C的角色发送一个SYN给S
S返回一个SYN给C
防火墙扮演C发送一个ACK确认包给S,这个时候防火墙和S的连接也就建立了
防火墙转发C和S间的数据
如果系统遭受SYN Flood,那么第三步就不会有,而且无论在防火墙还是S都不会收到相应在第一步的SYN包,所以我们就击退了这次SYN洪水攻击;
这种攻击利用RST位来实现;
假设有一个合法用户(61.61.61.61)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为61.61.61.61,并向服务器发送一个带有RST位的TCP数据段;
服务器接收到这样的数据后,认为从61.61.61.61发送的连接有错误,就会清空缓冲区中建立好的连接;
这时,如果合法用户61.61.61.61再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接;
攻击时,攻击者会伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击;
攻击者利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据;
通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击;
由于在早期的阶段,路由器对包的最大尺寸都有限制;
许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区;
当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机;
泪滴攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击;IP分段含有指明该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
3.Land攻击原理是:用一个特别打造的SYN包,它的原地址和目标地址都被设置成某一个服务器地址;
由于直接控制方式存在的缺点和攻击者想要控制大量攻击机发起更大规模攻击的需求,攻击者开始构建多层结构的攻击网络;
多层结构的攻击网络给针对这种攻击的追踪带来很大困难,受害者在追踪到攻击机之后,还需要从攻击机出发继续追踪控制器,如果攻击者到最后一层控制器之间存在多重跳板时,还需要进行多次追踪才能最终找到攻击者,这种追踪不仅需要人工进行操作,耗费时间长,而且对技术也有很高的要求;
这种攻击模式,是目前最常用的新型攻击模式;
自动攻击方式,是在释放的蠕虫或攻击程序中预先设定了攻击模式,使其在特定时刻对指定目标发起攻击;
这种方式的攻击,从攻击机往往难以对攻击者进行追踪,但是这种控制方式的攻击对技术要求也很高;
(2)攻击通信方式
在间接控制的攻击中,控制者和攻击机之间可以使用多种通信方式,它们之间使用的通信方式也是影响追踪难度的重要因素之一;
攻击通信方式可以分为三种方式,分别是:双向通信方式(bi)、单向通信方式(mono)和间接通信方式(indirection);
双向通信方式是指根据攻击端接收到的控制数据包中包含了控制者的真实IP地址,例如当控制器使用TCP与攻击机连接时,该通信方式就是双向通信;
这种通信方式,可以很容易地从攻击机查找到其上一级的控制器;
单向通信方式指的是攻击者向攻击机发送指令时的数据包并不包含发送者的真实地址信息,例如用伪造IP地址的UDP包向攻击机发送指令;
这一类的攻击很难从攻击机查找到控制器,只有通过包标记等IP追踪手段,才有可能查找到给攻击机发送指令的机器的真实地址;
但是,这种通信方式在控制上存在若干局限性,例如控制者难以得到攻击机的信息反馈和状态;
间接通信方式是新型通过第三者进行交换的双向通信方式,这种通信方式具有隐蔽性强、难以追踪、难以监控和过滤等特点,对攻击机的审计和追踪往往只能追溯到某个被用于通信中介的公用服务器上就再难以继续进行;
这种通信方式已发现的主要是通过IRC(Internet Relay Chat)进行通信,从2000年8月出现的名为Trinity的DDoS攻击工具开始,已经有多种DDoS攻击工具及蠕虫采纳了这种通信方式;
在基于IRC的傀儡网络中,若干攻击者连接到Internet上的某个IRC服务器上,并通过服务器的聊天程序向傀儡主机发送指令;
(3)攻击原理
DoS攻击原理主要分为两种,分别是:语义攻击(Semantic)和暴力攻击(Brute);
语义攻击指的是利用目标系统实现时的缺陷和漏洞,对目标主机进行的拒绝服务攻击,这种攻击往往不需要攻击者具有很高的攻击带宽,有时只需要发送1个数据包就可以达到攻击目的,对这种攻击的防范只需要修补系统中存在的缺陷即可;
暴力攻击指的是不需要目标系统存在漏洞或缺陷,而是仅仅靠发送超过目标系统服务能力的服务请求数量来达到攻击的目的,也就是通常所说的风暴攻击。
4.所以防御这类攻击必须借助于受害者上游路由器等的帮助,对攻击数据进行过滤或分流;
某些攻击方式,兼具语义和暴力两种攻击的特征,比如SYN风暴攻击,虽然利用了TCP协议本身的缺陷,但仍然需要攻击者发送大量的攻击请求,用户要防御这种攻击,不仅需要对系统本身进行增强,而且也需要增大资源的服务能力;
还有一些攻击方式,是利用系统设计缺陷,产生比攻击者带宽更高的通信数据来进行暴力攻击的,如DNS请求攻击和Smurf攻击;
这些攻击方式在对协议和系统进行改进后可以消除或减轻危害,所以可把它们归于语义攻击的范畴;
(4)攻击协议层
攻击所在的TCP/IP协议层可以分为以下四类:数据链路层、网络层、传输层和应用层;
数据链路层的拒绝服务攻击受协议本身限制,只能发生在局域网内部,这种类型的攻击比较少见;
针对IP层的攻击主要是针对目标系统处理IP包时所出现的漏洞进行的,针对传输层的攻击在实际中出现较多,SYN风暴、ACK风暴等都是这类攻击,面向应用层的攻击也较多,剧毒包攻击中很多利用应用程序漏洞的(例如缓冲区溢出的攻击)都属于此类型;
(5)攻击协议
攻击所涉及的最高层的具体协议,如SMTP、ICMP、UDP、HTTP等;攻击所涉及的协议层越高,则受害者对攻击包进行分析所需消耗的计算资源就越大;
攻击动态属性主要包括攻击源地址类型、攻击包数据生成模式和攻击目标类型;
(1)攻击源地址类型
攻击者在攻击包中使用的源地址类型可以分为三种:真实地址(True)、伪造合法地址(Forge Legal)和伪造非法地址(Forge Illegal);
攻击时攻击者可以使用合法的IP地址,也可以使用伪造的IP地址;
伪造的IP地址可以使攻击者更容易逃避追踪,同时增大受害者对攻击包进行鉴别、过滤的难度,但某些类型的攻击必须使用真实的IP地址,例如连接耗尽攻击;
使用真实IP地址的攻击方式由于易被追踪和防御等原因,近些年来使用比例逐渐下降。
5.使用伪造IP地址的攻击又分为两种情况:新型是使用网络中已存在的IP地址,这种伪造方式也是反射攻击所必需的源地址类型;另外新型是使用网络中尚未分配或者是保留的IP地址;
(2)攻击包数据生成模式
攻击包中包含的数据信息模式主要有5种:不需要生成数据(None)、统一生成模式(Unique)、随机生成模式(Random)、字典模式(Dictionary)和生成函数模式(Function);
在攻击者实施风暴式拒绝服务攻击时,攻击者需要发送大量的数据包到目标主机,这些数据包所包含的数据信息载荷可以有多种生成模式,不同的生成模式对受害者在攻击包的检测和过滤能力方面有很大的影响;
某些攻击包不需要包含载荷或者只需包含适当的固定的载荷,例如SYN风暴攻击和ACK风暴攻击,这两种攻击发送的数据包中的载荷都是空的,所以这种攻击是无法通过载荷进行分析的;但是对于另外一些类型的攻击包,就需要携带相应的载荷;
攻击的动态属性不仅与攻击者的攻击方式、能力有关,也与受害者的能力有关;
主要包括攻击的可检测程度和攻击影响;
(1)可检测程度
根据能否对攻击数据包进行检测和过滤,受害者对攻击数据的检测能力从低到高分为以下三个等级:可过滤(Filterable)、有特征但无法过滤(Unfilterable)和无法识别(Noncharacterizable);
第新型情况是,对于受害者来说,攻击包具有较为明显的可识别特征,而且通过过滤具有这些特征的数据包,可以有效地防御攻击,保证服务的持续进行;
第二种情况是,对于受害者来说,攻击包虽然具有较为明显的可识别特征,但是如果过滤具有这些特征的数据包,虽然可以阻断攻击包,但同时也会影响到服务的持续进行,从而无法从根本上防止拒绝服务;
第三种情况是,对于受害者来说,攻击包与其他正常的数据包之间,没有明显的特征可以区分,也就是说,所有的包,在受害者看来,都是正常的;
(2)攻击影响
根据攻击对目标造成的破坏程度,攻击影响自低向高可以分为:无效(None)、服务降低(Degrade)、可自恢复的服务破坏(Self-recoverable)、可人工恢复的服务破坏(Manu-recoverable)以及不可恢复的服务破坏(Non-recoverable);
如果目标系统在拒绝服务攻击发生时,仍然可以提供正常服务,则该攻击是无效的攻击;
如果攻击能力不足以导致目标完全拒绝服务,但造成了目标的服务能力降低,这种效果称之为服务降低;
而当攻击能力达到一定程度时,攻击就可以使目标完全丧失服务能力,称之为服务破坏;
服务破坏又可以分为可恢复的服务破坏和不可恢复的服务破坏,网络拒绝服务攻击所造成的服务破坏通常都是可恢复的;
一般来说,风暴型的DDoS攻击所导致的服务破坏都是可以自恢复的,当攻击数据流消失时,目标就可以恢复正常工作状态;
而某些利用系统漏洞的攻击可以导致目标主机崩溃、重启,这时就需要对系统进行人工恢复;还有一些攻击利用目标系统的漏洞对目标的文件系统进行破坏,导致系统的关键数据丢失,往往会导致不可恢复的服务;
与其他类型的攻击一样,攻击者发起拒绝服务攻击的动机也是多种多样的,不同的时间和场合发生的、由不同的攻击者发起的、针对不同的受害者的攻击可能有着不同的目的;
这里,把拒绝服务攻击的一些主要目的进行归纳;需要说明的是,这里列出的没有也不可能包含所有的攻击目的;同时,这些目的也不是排他性的,一次攻击事件可能会有着多重的目的;
由于DoS攻击非常简单,还可以从网上直接下载工具进行自动攻击;因此,这种攻击可以被一些自认为是或者想要成为黑客而实际上是脚本小子(Script Kiddies)的人用做练习攻击技术的手段;
而其他的一些特权提升攻击(除通过蠕虫等进行自动攻击外),通常都会或多或少地牵涉到一些技术性的东西,从而掌握起来会有一定的难度;
黑客们常常以能攻破某系统作为向同伴炫耀,提高在黑客社会中的可信度及知名度的资本,拒绝服务攻击虽然技术要求不是很高,有时也被一些人特别是一些“所谓的”黑客用来炫耀;
仇恨或报复也常常是攻击的动机;寻求报复通常都基于强烈的感情,攻击者可能竭尽所能地发起攻击,因而一般具有较大的破坏性;
同时,拒绝服务攻击当是报复者的首选攻击方式,因为他们的目的主要是破坏而非对系统的控制或窃取信息;
因仇恨而发起攻击的人员有:
前雇员,由于被解雇、下岗或者因为其他不愉快的原因辞职而感到不满的;
现雇员,感到其雇主应该提升自己、增加薪水或以其他方式承认其工作,而愿望没有得到满足的,尤其是哪些因为类似原因,打算辞职的;
现雇员,因为政治斗争、升职竞争等原因而恶意破坏他人工作成绩的;
外部人员,由于对公司充满仇恨,例如不满的客户或者竞争对手的雇员,他们可能希望损害公司的利益或者使其陷入困境;
外部人员,他们可能仇恨公司所雇用的某个人,这个人也许是前男/女朋友,前配偶等;
有些系统的使用需要账户(用户名)和口令进行身份认证,而当以某个用户名登录时,如果口令连续错误的次数超过一定值,系统会锁定该账户,攻击者可以采用此方法实施对账户的拒绝服务攻击;
定义及应用
拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之;
其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击;
拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法;
攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接;
攻击包载荷的生成方式可以分为4种:
第新型是发送带有相同载荷的包,这样的包由于带有明显的特征,很容易被检测出来;
第二种是发送带有随机生成的载荷的包,这种随机生成的载荷虽然难以用模式识别的方式来检测,然而随机生成的载荷在某些应用中可能生成大量没有实际意义的包,这些没有意义的包也很容易被过滤掉,但是攻击者仍然可以精心设计载荷的随机生成方式,使得受害者只有解析到应用层协议才能识别出攻击数据包,从而增加了过滤的困难性;
第三种方式是攻击者从若干有意义载荷的集合中按照某种规则每次取出一个填充到攻击包中,这种方式当集合的规模较小时,也比较容易被检测出来;最后新型方式是按照某种规则每次生成不同的载荷,这种方式依生成函数的不同,其检测的难度也是不同的;
攻击目标类型。
6.攻击目标类型可以分为以下6类:应用程序(Application)、系统(System)、网络关键资源(Critical)、网络(Network)、网络基础设施(Infrastructure)和因特网(Internet);
针对特定应用程序的攻击是较为常见的攻击方式,其中以剧毒包攻击较多,它包括针对特定程序的,利用应用程序漏洞进行的拒绝服务攻击,以及针对一类应用的,使用连接耗尽方式进行的拒绝服务攻击;
针对系统的攻击也很常见,像SYN风暴、UDP风暴以及可以导致系统崩溃、重启的剧毒包攻击都可以导致整个系统难以提供服务;
针对网络关键资源的攻击包括对特定DNS、路由器的攻击;
而面向网络的攻击指的是将整个局域网的所有主机作为目标进行的攻击;
针对网络基础设施的攻击需要攻击者拥有相当的资源和技术,攻击目标是根域名服务器、主干网核心路由器、大型证书服务器等网络基础设施,这种攻击发生次数虽然不多,但一旦攻击成功,造成的损失是难以估量的;
针对Internet的攻击是指通过蠕虫、病毒发起的,在整个Internet上蔓延并导致大量主机、网络拒绝服务的攻击,这种攻击的损失尤为严重。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310600971.5A CN104660572A (zh) | 2013-11-25 | 2013-11-25 | 新型接入网络中拒绝服务攻击的模式数据的控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310600971.5A CN104660572A (zh) | 2013-11-25 | 2013-11-25 | 新型接入网络中拒绝服务攻击的模式数据的控制方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104660572A true CN104660572A (zh) | 2015-05-27 |
Family
ID=53251276
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310600971.5A Pending CN104660572A (zh) | 2013-11-25 | 2013-11-25 | 新型接入网络中拒绝服务攻击的模式数据的控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104660572A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106178508A (zh) * | 2016-07-07 | 2016-12-07 | 深圳市豹风网络股份有限公司 | 移动终端网络游戏的游戏角色数据记录方法 |
| CN107454065A (zh) * | 2017-07-12 | 2017-12-08 | 北京神州绿盟信息安全科技股份有限公司 | 一种UDP Flood攻击的防护方法及装置 |
| CN109472139A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种防御勒索病毒对主机文档二次加密的方法及系统 |
| CN109684842A (zh) * | 2018-12-24 | 2019-04-26 | 普华基础软件股份有限公司 | 一种监测和清除分裂炸弹程序攻击的方法 |
| CN110995676A (zh) * | 2019-11-22 | 2020-04-10 | 苏州浪潮智能科技有限公司 | 一种语义攻击型拒绝服务漏洞检测方法 |
| CN113114650A (zh) * | 2021-04-02 | 2021-07-13 | 腾讯科技(深圳)有限公司 | 网络攻击的解决方法、装置、设备及介质 |
-
2013
- 2013-11-25 CN CN201310600971.5A patent/CN104660572A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106178508A (zh) * | 2016-07-07 | 2016-12-07 | 深圳市豹风网络股份有限公司 | 移动终端网络游戏的游戏角色数据记录方法 |
| CN107454065A (zh) * | 2017-07-12 | 2017-12-08 | 北京神州绿盟信息安全科技股份有限公司 | 一种UDP Flood攻击的防护方法及装置 |
| CN107454065B (zh) * | 2017-07-12 | 2020-07-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种UDP Flood攻击的防护方法及装置 |
| CN109472139A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种防御勒索病毒对主机文档二次加密的方法及系统 |
| CN109472139B (zh) * | 2017-12-25 | 2022-04-19 | 北京安天网络安全技术有限公司 | 一种防御勒索病毒对主机文档二次加密的方法及系统 |
| CN109684842A (zh) * | 2018-12-24 | 2019-04-26 | 普华基础软件股份有限公司 | 一种监测和清除分裂炸弹程序攻击的方法 |
| CN109684842B (zh) * | 2018-12-24 | 2023-07-21 | 普华基础软件股份有限公司 | 一种监测和清除分裂炸弹程序攻击的方法 |
| CN110995676A (zh) * | 2019-11-22 | 2020-04-10 | 苏州浪潮智能科技有限公司 | 一种语义攻击型拒绝服务漏洞检测方法 |
| CN113114650A (zh) * | 2021-04-02 | 2021-07-13 | 腾讯科技(深圳)有限公司 | 网络攻击的解决方法、装置、设备及介质 |
| CN113114650B (zh) * | 2021-04-02 | 2024-04-23 | 腾讯科技(深圳)有限公司 | 网络攻击的解决方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100628325B1 (ko) | 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법 | |
| CN104660572A (zh) | 新型接入网络中拒绝服务攻击的模式数据的控制方法及装置 | |
| Inamdar et al. | Security analysis of open source network access control in virtual networks | |
| Baharudin et al. | Wireless intruder detection system (WIDS) in detecting de-authentication and disassociation attacks in IEEE 802.11 | |
| Vacca | Guide to wireless network security | |
| Mohammed et al. | Detailed DoS attacks in wireless networks and countermeasures | |
| Cisco | Glossary | |
| He | The research of computer network security and protection strategy | |
| Maple et al. | Choosing the right wireless LAN security protocol for the home and business user | |
| Tyagi et al. | A survey of different dos attacks on wireless network | |
| Mohammed et al. | DoS attacks and defense mechanisms in wireless networks | |
| Curran et al. | Demonstrating the wired equivalent privacy (WEP) weaknesses inherent in Wi-Fi networks | |
| Teferi et al. | A Security Mechanism to Mitigate DDoS Attack on Wireless Local Area Network (WLAN) using MAC with SSID | |
| Kamal et al. | Analysis of network communication attacks | |
| Ghosh et al. | Analysis of network security issues and threats analysis on 5G wireless networks | |
| Elhamahmy et al. | Preventing information leakage caused by war driving attacks in wi-fi networks | |
| Faheem | Multiagent-based security for the wireless LAN | |
| Osmëni et al. | Introduction to Cyber Tensions Preventative Analysis and Honeypotting Strategy | |
| Mohammed | On the design of SOHO networks | |
| Gupta et al. | Security in Wireless LAN (WLAN) and WiMAX Systems | |
| Rao et al. | Understanding networks and network security | |
| Gherghina et al. | Wireless LAN Security Issues (II)-Security Assurance | |
| Ali et al. | Design and implementation of a secured remotely administrated network | |
| KR101143368B1 (ko) | 분산형 DDos 방어 시스템 및 이를 이용한 방어 방법 | |
| Nammalwar et al. | Insecurity of WLAN for M-Learning Implementation in Tertiary Level by DoS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150527 |