web安全---DDOS攻击

	DDOS简介 DDOS又称为分布式拒绝服务 全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载导致 服务不可用 从而造成服务器拒绝正常流量服务。就如酒店里的房间是有固定的数量的，比如一个酒店有50个房间当 50个房间都住满人之后 再有新的用户想住进来 就必须要等之前入住的用户先出去。如果入住的用户一直不出去那么 酒店就无法迎接新的用户 导致酒店负荷过载，这种情况就是 拒绝服务。如果想继续提供资源 那么酒店应该提升自己 的资源量 服务器也是同样的道理。 拒绝服务攻击的基本概念 拒绝服务：拒绝服务是指应用系统无法正常对外提供服务的状态 如网络阻塞 系统宕机 响应缓慢等都属于拒绝服务的表现。 拒绝服务攻击DOS：拒绝服务攻击Denial of Service Attack是一种通过各种技术手段导致目标系统进入拒绝 服务状态的攻击常见手段包括利用漏洞 消耗应用系统性能和消耗应用系统带宽。 分布式拒绝服务攻击DDOS：分布式拒绝服务攻击Distributed Denial of Service Attack是拒绝服务攻击的 高级手段利用分布全球的僵尸网络发动攻击，能够产生大规模的拒绝服务攻击。 DDOS攻击分类 1，漏洞型基于特定漏洞进行攻击：只对具备特定漏洞的目标有效,通常发送特定数据包或少量的数据包即可达到攻击效果。 2，业务型消耗业务系统性能额为主：与业务类型高度相关 需要根据业务系统的应用类型采取对应的攻击手段才能达到 效果通常业务型攻击实现效果需要的流量远低于流量型。 3，流量型消耗带宽资源为主：主要以消耗目标业务系统的带宽资源为攻击手段 通常会导致网络阻塞 从而影响正常业务。 拒绝服务攻击处理流程 1，现象分析：根据发现的现象、网络设备和服务的情况初步判断是否存在拒绝服务攻击。 2，抓包分析：通过抓包分析的方式进一步了解攻击的方式和特征。 3，启动对抗措施：最后启动对抗措施进行攻击对抗 可以进行资源提升 安全加固 安全防护等措施。 DDOS流量包分析 SYN Flood攻击 在正常的情况下 TCP三次握手过程如下 客户端向服务器端发送一个SYN请求包 包含客户端使用的端口号和初始序列号x。 服务器端收到客户端发送过来的SYN请求包后 知道客户端想要建立连接 于是向客户端发送一个SYN 请求包和ACK回应包，包含确认号x+1和服务器端的初始序列号y。 客户端收到服务器端返回的SYN请求包和ACK回应包后 向服务器端返回一个确认号y+1和序 号x+1的ACK请求包 三次握手完成 TCP连接建立成功。 SYN Flood攻击原理： 首先是客户端发送一个SYN请求包给服务器端 服务器端接受后会发送一个SYN+ACK包回应客户端 最后客户端会返回一个 ACK包给服务器端来实现一次完整的TCP连接。Syn flood攻击就是让客户端不返回最后的ACK包 这就形成了半开连接TCP 半开连接是指发送或者接受了TCP连接请求,等待对方应答的状态,半开连接状态需要占用系统资源以等待对方应答 半开连接 数达到上限 无法建立新的连接，从而造成拒绝服务攻击。 受害靶机的流量包分析 利用wireshark软件抓取数据包的数据 通过筛选器筛选出发送包频率多的ip地址。 筛选218.xxx.xxx.87 分析协议占比 发现tcp和http占比比较大 筛选tcp中的syn数据包 发现syn数据包占比为82.9 可以判断应该为SYN FLOOD拒绝服务攻击 UDP Flood攻击 UDP Flood攻击原理： 由于UDP属于无连接协议 消耗的系统资源较少 相同条件下容易产生更高的流量 是流量型攻击的主要手段。当受害系统接 收到一个UDP数据包的时候 它会确定目的端口正在等待中的应用程序。当它发现该端口中并不存在正在等待的应用程序它 就会产生一个目的地址无法连接的ICMP数据包发送给该伪造的源地址。如果向受害者计算机端口发送了足够多的UDP数据 包的时候，系统就会造成拒绝服务攻击 因此，UDP FLOOD成为了流量型拒绝服务攻击的主要手段。 受害靶机的流量包分析 利用wireshark软件抓取数据包的数据，通过筛选器筛选出发送包频率多的ip地址。 筛选117.xxx.xxx.0网段 分析协议占比 可以看到受害靶机接受的UDP包比较多。 可以看到UDP包的大小都是固定的172bytes。 可以看出都是发送udp包 udp包大小都是相同的 可以判断是udp flood攻击。 慢速拒绝服务攻击 apt install slowhttptest -y 安装slowhttptest 慢速拒绝服务攻击原理： 完整的http请求包是以 \r\n\r\n 结尾 慢速拒绝服务攻击时仅发送 \r\n 少发送一个 \r\n 服务器认 为请求还未发完 服务器就会一直等待直至超时。 slowhttptest -c 5000 -H -g -o my_header_stats -i 10 -r 5000 -t GET -u "http://10.10.10.134" -x 200 -p 3 测试时建立5000连接数-c；选择slowloris模式-H；生成cvs和HTML文件的统计数据-G；生成的文件名 my_header_stats -o；指定发送数据间的间隔10秒 -i 每秒连接数5000-t；指定url-u；指定发送的最大 数据长度200 -x；指定等待时间来确认DOS攻击已经成功-p 观察靶机的cpu和网络流量明显增加很多 受害靶机的流量包分析 攻击机ip：10.10.10.129，靶机ip：10.10.10.134 [PSH,ACK]是攻击机发送有数据的ACK包给靶机[ACK]包是靶机回复攻击机的数据包。 可以看到没有发送2次连续的\r\n以至于靶机要一直等待。 http协议比例为36.6 tcp协议比例为87.4 筛选ack数据包 占比率98.2 不符合常态 综上可以判断为慢速拒绝服务攻击 ICMP Flood攻击 ICMP Flood攻击原理： 当 ICMP ping 产生的大量回应请求超出了系统的最大限度以至于系统耗费所有资源来进行响应直至再也无法 处理有效的网络信息流 但是由于ICMP协议报文被丢弃不影响大多数系统运行 所以容易被防护。 利用hping3造成ICMP Flood攻击 hping3 -q -n -a 1.1.1.1 –icmp -d 200 –flood 10.10.10.134 观察靶机的cpu和网络流量明显增加很多 受害靶机的流量包分析 伪造的源ip：1.1.1.1发送大量icmp包给目标ip:10.10.10.134 筛选出同一IP发送大量ICMP包 且占比率86.0 判断为ICMP拒绝服务攻击。 后记 拒绝服务攻击造成的危害是比较大的 本质是对有限资源的无限制的占用所造成的 所以在这方面需要限制每 个不可信任的资源使用中的分配额度 或者提高系统的有限资源等方式来防范拒绝服务攻击。