slides
advertisement
SYN Flood & UDP Flood
2011-04-20
提纲
• SYN Flood
– 历史
– 原理与影响
– 攻击工具
– 防御方法
• UDP Flood
– 简介
• DDOS
TCP SYN Flood
• 历史
– Bill Cheswick and Steve Bellovin, 1994, 《Firewalls
and Internet Security: Repelling the Wily Hacker》
– Publicized in 1996, 《Prack Magazine》, with
description and exploit tool
TCP SYN Flood
• 原理与影响
– TCP三次握手
– The Goal of Attack
• Not the network resource
• Not the host memory
• But the backlog
TCP SYN Flood
• 原理与影响
– Three Key Component
• Barrage Size
• Barrage Frequency
• IP Address Selection
TCP SYN Flood
• 原理与影响
– Attack Result (Destroying the availability)
• Only prevent new incoming connections to the victim
port
• Not the outgoing connection requests
• Not the established connections to the victim port
TCP SYN Flood
• 攻击工具
– Longcat Flooder
– SinFlood
– Synflooder.pl
– metasploit
– Netwox
– ……
利用Netwox进行TCP SYN Flood攻击
演示
################## running tool number 76 ##################
Title: Synflood
+------------------------------------------------------------------------+
| This tool sends a lot of TCP SYN packets.
|
+------------------------------------------------------------------------+
Usage: netwox 76 -i ip -p port [-s spoofip]
Parameters:
-i|--dst-ip ip
destination IP address {5.6.7.8}
-p|--dst-port port
destination port number {80}
-s|--spoofip spoofip
IP spoof initialization type {linkbraw}
Example: netwox 76 -i "5.6.7.8" -p "80"
Example: netwox 76 --dst-ip "5.6.7.8" --dst-port "80"
Enter optional tool parameters and press Return key.
netwox 76 -i "172.*.*.188" -p 80
此时再使用主机A向服务器B发送连接请求,服务器会回应"Unable to connect
to remote host: Connection timed out"
TCP SYN Flood
• 防御方法
– Filtering
– Increasing Backlog
– Reducing SYN-RECEIVED Timer
– Recycling the Oldest Half-Open TCB
– Syn Cache (Dave Borman Oct. 1996)
– Syn Cookie
– Hybrid Approach
– Firewalls and Proxies
SYN Flood Defense——SYN Cookie
• 弥补TCP连接建立过程资
源分配这一缺陷
• “无状态的三次握手”
– 服务器收到一个SYN报文
后,不立即分配缓冲区
客户端
– 利用连接的信息生成一
个cookie, 作为SEQ
– 客户端返回ACK中带着
ACK = cookie+1
– 服务器端核对cookie,
通过则建立连接,分
配资源
SYN
SYN/ACK
合法的用户将返回
正确的确认号
ACK NUM = X + 1
服务器
收到客户端SYN请
求,计算cookie,
作为即将发送的数
据包的序列号
SEQ NUM = X
ACK
核对客户端发回来
的确认号,无误后
分配资源,完成连
接过程
...
SYN Flood Defense——Firewall
• 有状态防火墙
– 网络中的TCP连
接进行状态监控
和处理
– 维护TCP连接状
态:NEW状态、
GOOD状态、
BAD状态…
– “三次握手”代理
客户端
代理服务器
服务器
客户端
代理服务器
SYN
SYN
SYN/ACK
SYN
SYN
ACK
SYN
SYN/ACK
SYN/ACK
SYN/ACK
ACK
SYN/ACK
...
...
服务器
TCP SYN Flood
• Defense Mechanism in OSes
– BSD (NetBSD, FreeBSD 4.4, OpenBSD 3.6)
• SYN Cache (Default On, SYN-ACKs retransmission)
– Linux 2.6.5
• SYN Cookie
– Windows (2000, ……)
• TCP SYN attack protection
UDP Flood
• 历史
– Trinoo 1999
• Trinoo is not a virus, but an attack tool that performs a
distributed Denial of Service attack
– TFN2K 2000
• UDP Flood, ICMP Flood, TCP Syn Flood
UDP Flood
• UDP协议
– 无状态不可靠
– 仅仅是传输数据报
– 攻击原理:大量UDP包
• 三个视角
– 目标主机的UDP端口active
– 目标主机的UDP端口inactive
– 网络带宽
2015年4月13日
网络攻防技术与实践课程
Copyright (c) 2008-2009 诸葛建伟
14
UDP Flood
• 实施方式
– 带宽耗尽型拒绝服务攻击
– 分布式拒绝服务攻击(DDoS)
– 利用僵尸网络控制大量受控
傀儡主机
– 通常会结合IP源地址欺骗技
术
2015年4月13日
网络攻防技术与实践课程
Copyright (c) 2008-2009 诸葛建伟
15
UDP Flood
• 攻击工具
– Windows
• rok/i/ts, Low Orbit Ion Cannon
– Mac
• Zap Attack, UDPFlooder(java)
– Linux
• Mt pulse.pl
• Hping
UDP Flood攻击防范措施
• 禁用或过滤监控和响应服务
• 禁用或过滤其它的 UDP 服务
• 网络关键位置使用防火墙和代理机制来过滤掉一
些非预期的网络流量
• 遭遇带宽耗尽型拒绝服务攻击
–
–
–
–
终端无能为力
补救措施:网络扩容、转移服务器位置
事件响应:汇报给安全应急响应部门、追溯和处置
流量清洗解决方案:ISP为关键客户/服务所提供
DDOS
•
•
•
•
•
•
描述
历史
前期准备
发起攻击
影响
防范
DDOS
• 描述
– DOS or DDOS
• Attack Target: Availability
– Goal: Exhaust the victim’s resources
• network bandwidth
• computing power
• OS data structure
DDOS
• 历史
– Sep 6, 1996, against Panix(ISP), SYN Flood, SMTP
– 1998, Fapi, unmatured
– 1999, Trinoo, UDP Flood
– 1999-2000, TFN&TFN2K(Tribe Flood Network),
Target——CNN, Yahoo, Ebay, Datek
– 2000, Stacheldraht, full-control, blowfishencrypted control channel
– Mstream, Omega, Trinity, Derivatives, myServer,
and Plague
DDOS
• 前期准备
– Recruiting the Vulnerable Machines
– Propagating the Malicious Code
• Central source propagation
• Back-chaining propagation
• Autonomous propagation
DDOS
• 发起攻击
– 类型
• Typical DDOS
DDOS
• 发起攻击
– 类型
• Reflect DDOS
DDOS
• 发起攻击
– Well-Known DDOS Attack
•
•
•
•
•
•
•
•
Apache2, Back, CrashIIS
ARP Poison
DoSNuke
Land
Mailbomb
SYN Flood
Ping of Death
Process Table
DDOS
• 发起攻击
– Well-Known DDOS Attack
•
•
•
•
•
•
Smurf Attack
SSH Process Table
Syslogd
TCP Reset
Teardrop
UDP Storm
DDOS
• 发起攻击
DDOS
• 防范
– Preventive Mechanism
– Reactive Mechanism
– Modern Tendencies
• Honeypots
• Route Filter Techniques
Reference
• Wikipedia
• RFC4987
• Distributed Denial of Service Attacks, By
Charalampos Patrikakis, Michalis Masikos, and
Olga Zouraraki.
Thank you for attention
Q&A
