常见拒绝服务攻击行为特征与防御方法

以下内容摘自笔者编著图书《网管员必读——网络安全》一书。

1.5.2 常见拒绝服务攻击行为特征与防御方法

拒绝服务攻击是最常见的一类网络攻击类型。在这一攻击原理下，它又派生了许多种不同的攻击方式。正确了解这些不同的拒绝攻击方式，就可以为正确、系统地为自己所在企业部署完善的安全防护系统。
入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为。要有效的进行反攻击，首先必须了解入侵的原理和工作机理，只有这样才能做到知己知彼，从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的拒绝服务攻击原理进行简要分析，并提出相应的对策。
l 死亡之Ping（Ping of death）攻击
由于在早期的阶段，路由器对包的最大大小是有限制的，许多操作系统TCP/IP栈规定ICMP包的大小限制在64KB以内。在对ICMP数据包的标题头进行读取之后，是根据该标题头里包含的信息来为有效载荷生成缓冲区。当大小超过64KB的ICMP包，就会出现内存分配错误，导致TCP/IP堆栈崩溃，从而使接受方计算机宕机。这就是这种“死亡之Ping”攻击的原理所在。根据这一攻击原理，黑客们只需不断地通过Ping命令向攻击目标发送超过64KB的数据包，就可使目标计算机的TCP/IP堆栈崩溃，致使接受方宕机。
防御方法：现在所有的标准TCP/IP协议都已具有对付超过64KB大小数据包的处理能力，并且大多数防火墙能够通过对数据包中的信息和时间间隔分析，自动过滤这些攻击。Windows 98、Windows NT 4.0（SP3之后 ）、Windows 2000/XP/Server 2003、Linux、Solaris和Mac OS等系统都已具有抵抗一般“Ping of death”拒绝服务攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议数据包，都可以防止此类攻击发生。
l 泪滴（teardrop）攻击
对于一些大的IP数据包，往往需要对其进行拆分传送，这是为了迎合链路层的MTU（最大传输单元）的要求。比如，一个6000字节的IP包，在MTU为2000的链路上传输的时候，就需要分成三个IP包。在IP报头中有一个偏移字段和一个拆分标志（MF）。如果MF标志设置为1，则表面这个IP包是一个大IP包的片断，其中偏移字段指出了这个片断在整个IP包中的位置。例如，对一个6000字节的IP包进行拆分（MTU为2000），则三个片断中偏移字段的值依次为：0，2000，4000。这样接收端在全部接收完IP数据包后，就可以根据这些信息重新组装这几个分次接收的拆分IP包。在这里就又一个安全漏洞可以利用了，就是如果黑客们在截取IP数据包后，把偏移字段设置成不正确的值，这样接收端在收后这些分拆的数据包后就不能按数据包中的偏移字段值正确重合这些拆分的数据包，但接收端会不断偿试，这样就可能致使目标计算朵操作系统因资源耗尽而崩溃。
泪滴攻击利用修改在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些操作系统（如SP4以前的Windows NT 4.0）的TCP/IP在收到含有重叠偏移的伪造分段时将崩溃，不过新的操作系统已基本上能自己抵御这种攻击了。
防御方法：尽可能采用最新的操作系统，或者在防火墙上设置分段重组功能，由防火墙先接收到同一原包中的所有拆分数据包，然后完成重组工作，而不是直接转发。因为防火墙上可以设置当出现重叠字段时所采取的规则。
l TCP SYN洪水（TCP SYN Flood）攻击
TCP/IP栈只能等待有限数量ACK（应答）消息，因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果这一缓冲区充满了等待响应的初始信息，则该计算机就会对接下来的连接停止响应，直到缓冲区里的连接超时。
TCP SYN洪水攻击正是利用了这一系统漏洞来实施攻击的。攻击者利用伪造的IP地址向目标发出多个连接（SYN）请求。目标系统在接收到请求后发送确认信息，并等待回答。由于黑客们发送请示的IP地址是伪造的，所以确认信息也不会到达任何计算机，当然也就不会有任何计算机为此确认信息作出应答了。而在没有接收到应答之前，目标计算机系统是不会主动放弃的，继续会在缓冲区中保持相应连接信息，一直等待。当达到一定数量的等待连接后，缓区部内存资源耗尽，从而开始拒绝接收任何其他连接请求，当然也包括本来属于正常应用的请求，这就是黑客们的最终目的。
防御方法：在防火墙上过滤来自同一主机的后续连接。不过“SYN洪水攻击”还是非常令人担忧的，由于此类攻击并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。防火墙的具体抵御TCP SYN洪水攻击的方法将在本书的第三章最后有详细介绍。
l Land攻击
这类攻击中的数据包源地址和目标地址是相同的，当操作系统接收到这类数据包时，不知道该如何处理，或者循环发送和接收该数据包，以此来消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。
防御方法：这类攻击的检测方法相对来说比较容易，因为它可以直接从判断网络数据包的源地址和目标地址是否相同得出是否属于攻击行为。反攻击的方法当然是适当地配置防火墙设备或包过滤路由器的包过滤规则。并对这种攻击进行审计，记录事件发生的时间，源主机和目标主机的MAC地址和IP地址，从而可以有效地分析并跟踪攻击者的来源。
l Smurf 攻击
这是一种由有趣的卡通人物而得名的拒绝服务攻击。Smurf攻击利用多数路由器中具有同时向许多计算机广播请求的功能。攻击者伪造一个合法的IP地址，然后由网络上所有的路由器广播要求向受攻击计算机地址做出回答的请求。由于这些数据包表面上看是来自已知地址的合法请求，因此网络中的所有系统向这个地址做出回答，最终结果可导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，这也就达到了黑客们追求的目的了。这种Smurf 攻击比起前面介绍的“Ping of Death”洪水的流量高出一至两个数量级，更容易攻击成功。还有些新型的Smurf攻击，将源地址改为第三方的受害者（不再采用伪装的IP地址），最终导致第三方雪崩。
防御方法：关闭外部路由器或防火墙的广播地址特性，并在防火墙上设置规则，丢弃掉ICMP协议类型数据包。
l Fraggle攻击
Fraggle攻击只是对Smurf攻击作了简单的修改，使用的是UDP协议应答消息，而不再是ICMP协议了（因为黑客们清楚UDP协议更加不易被用户全部禁止）。同时Fraggle攻击使用了特定的端口（通常为7号端口，但也有许多使用其他端口实施Fraggle攻击的），攻击与Smurf攻击基本类似，不再赘述。
防御方法：关闭外部路由器或防火墙的广播地址特性。在防火墙上过滤掉UDP报文，或者屏蔽掉一些常被黑客们用来进行Fraggle攻击的端口。
l 电子邮件***
电子邮件***是最古老的匿名攻击之一，通过设置一台计算机不断地向同一地址发送大量电子邮件来达到攻击目的，此类攻击能够耗尽邮件接受者网络的带宽资源。
防御方法：对邮件地址进行过滤规则配置，自动删除来自同一主机的过量或重复的消息。