浅谈基于校园网拒绝服务攻击的分析及防范
校园 网络 的建设和普及,给学校的教学和管理、学生的学习生活等多方面带来了极
大的方便,并担负着支持全校教学和科研工作的重要职责,然而校园网在网络安全方面并
非一方“净土”,从黑客的 发展 历史 看,黑客(入侵者)和校园网络有很深的渊源。 1 拒绝
服务(DoS)攻击在校园网内频繁发生的原因 拒绝服务 DoS(DenialofService)攻击顾名思义就
是使 Internet 中的受攻击对象(主机、服务器、路由器等网络设备)无法提供或者接受正常
服务的一种攻击,典型的 DoS 攻击中,攻击者向受害者发送大量的数据从而消耗其资源(
网络带宽,路由器上的包缓冲区,目标机器的 CPU 和内存),从而使用户无法访问所需信
息。因此可以说 DoS 是一种损人不利已的攻击行为。 论文联盟 编辑。从
拒绝服务攻击的原理可以看出,不管是拒绝服务攻击阶段还是分布式拒绝服务攻击的攻击
阶段,都需要很高的网络带宽。而校园网络的宽带和大量主机资源,以及学生的好奇,想
在 教育 网络中进行入侵实验的诸多特点,正好满足拒绝服务攻击的要求,这就是校园网
成为拒绝服务攻击的“一方乐土”的重要原因。在比较严重的网络攻击事件中,以校园网为“
基地”发起的拒绝服务攻击事件令人印象深刻。最著名的是 2002 年黑客对 Yaho 和 Ebay
等网站发起的拒绝服务攻击,使这些网站的服务一度关闭,据调查,这些攻击就是从校园
网络中发起的。 拒绝服务攻击不仅可以利用校园网络为“基地”发起,攻击校园网以外的目
标,更多的是攻击校园网内部的目标,特别是在攻击者“练手”的实验阶段。通过调查发现
,校园网的入侵方式中拒绝服务攻击最多,危害也最大。由于校园网具有开放、高带宽、
多主机等特点,校园网内部网络入侵一般具有以下特征: ·大规模。所谓大规模,一方面
是指发动入侵所涉及的网络范围大或者主机数量多,引起的网络流量大,另一方面指入侵
形式不是一对一,而是多对一或多对多。 ·分布式。所谓分布式入侵是指从多个地点、多
台主机发起甚至是联合发起的。 通过上述对校园网络安全特点的分析,我们可以看出校
园网具有拒绝服务攻击存在的种种“优势”。古语云“知己知彼,百战不殆”,因此研究拒绝
服务攻击对于校园网的安全,具有非常现实 l 的意义。 2 常见的几种拒绝服务拒绝攻击
(DoS) 服务拒绝攻击是最容易实施的攻击行为之一,攻击操作方法多种多样,可能是单一
的手段,也可能是多种方式的组合利用,DoS:~c 击主要包括: (1) 死亡之 ping 由于在
早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对 TCP/IP 栈的实现在
ICMP 包上都是规定 64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的
信息来为有效载荷生成缓冲区。当产生畸形的,声称自己的尺寸超过 ICMP 上限的包也就
是加载的尺寸超过 64KB 上限时,就会出现内存分配错误,导致 TCP/IP 堆栈崩溃,致使
接收方死机。 防御方法:现在所有的标准 TCP/IP.都已实现对付超大尺寸的包,并且大
多数防火墙能够自动过滤这些攻击,包括:从 wind0ws98 之后的
windowsNT(servicepack3 之后)、Linux、Solaris 和 MacOS 都具有抵抗一般死亡之 ping 攻
击的能力。此外,对防火墙进行配置,阻断 ICMP 以及任何未知协议,都能防止此类攻击
。 (2)泪滴攻击 泪滴攻击是利用在 TCP/IP 堆栈中实现信任 lP 碎片中的包的标题头所包含
的信息来实现自己的攻击。对于一些大的 lP 包,需要对其进行分片传送,这是为了迎合
链路层的 MTU(最大传输单元)的要求。比如,一个 4500 字节的 lP 包,在 MTU 为 1500
的链路上传输的时候,就需要分成三个 lP 包。在 lP 报头中有一个偏移字段和一个分片标
志(MF),如果 MF 标志设置为 1,则表明这个 lP 包是一个大 lP 包的片断,其中偏移字段指
出了这个片断在整个 lP 包中的位置。例如,对一个 4500 字节的 IP 包进行分片(MTL 为
1500),则三个片断中偏移字段的值依次为:0,1500,3000。这样接收端就可以根据这
些信息成功地组装该 lP 包。 如果一个攻击者打破这种正常情况,把偏移字段设置成不正
确的值,即可能出现重合或断开的情况,就可能导致目标操作系统崩溃。这就是所谓的泪
滴攻击。防御方法:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而
不是转发它们。 (3)UDP 洪水 各种各样的假冒攻击利用简单的 TCP/lP 服务,如 Chargen
和 Echo 来传送毫无用处的占满带宽的数据。通过伪造与某一主机的 Chargen}]~L 务之间
的一次的 UDP 连接,回复地址指向开着 Echo。服务的一台主机,这样就生成在两台主机
之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。 防御方法
:关掉不必要的 TCP/IP}]~L 务,或者对防火墙进行配置阻断来自 Internet 的这些服务的
UDP 请求。 (4)SYN 洪水 在 TCP/IP 的连接建立过程中,正常情况下连接双方需要完成从
客户向服务器发送的一个 SYN 请求消息(第一次握手),服务器同意响应的 SYN—ACK(第二
次握手),当客户收到 SYN—ACK 后,再向服务器发送一个 ACK 消息(第三次握手)的 3 次
握手过程,一个 TCP 连接才被建立,在 3 次握手过程中,服务器需要保持所有未完成的
握手信息在有限的内存缓冲区中,如果攻击者不停地向该服务器发送 SYN 连接请求,而
又不向服务器回复 ACK 信息,内存缓冲区充满了虚假连接的初始信息,该服务器就会对
接下来的连接停止响应。防御方法:在防火墙上过滤来自同一主机的后续连接。但是,未
来的 SYN 洪水令人担忧,由于释放洪水并不寻求响应,所以无法从一个简单高容量的传
输中鉴别出来。
(5)LAND 攻击 LAND 攻击利用了 TCP 连接建立的三次握手过程,通过向一个目标 计算 机
发送一个 TCPsYN 报文(连接建立请求报文)而完成对目标计算机的攻击。与正常的 TCPsYN
报文不同的是,LAND 攻击报文的源 lP 地址和目的 lP 地址是相同的,都是目标计算机的
lP 地址。这样目标计算机接收到这个 sYN 报文后,就会向该报文的源地址发送一个 AcK
报文,并建立一个 TcP 连接控制结构(TCB),而该报文的源地址就是自己,因此,这个
AcK 报文就发给了自己。这样如果攻击者发送了足够多的 SYN 报文,则目标计算机的 TCB
可能会耗尽,最终不能正常服务。防御方法:打最新的补丁,或者在防火墙进行配置,将
那些在外部接口上入站的含有内部源地址滤掉。 论文联盟 编辑。
(6)smurf 攻击 ICMPECHO 请求包用来对 网络 进行诊断,当一台计算机接收到这样一个报
文后,会向报文的源地址回应一个 ICMPECHOREPLY。一般情况下,计算机是不检查该
ECHO 请求的源地址的,因此,如果一个恶意的攻击者把 ECHO 的源地址设置为一个广播
地址,这样计算机在回复 REPLY 的时候.,就会以广播地址为目的地址,这样本地网络
上所有的计算机都必须处理这些广播报文。如果攻击者发送的 ECHO 请求报文足够多,产
生的 REPLY 广播报文就可能把整个网络淹没。这就是所谓的 smurf 攻击。除了把 EcHO 报
文的源地址设置为广播地址外,攻击者还可能把源地址设置为一个子网广播地址,这样,
该子网所在的计算机就可能受到影响。防御方法:为了防止黑客利用你的网络攻击他人,
关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉
ICMP 包。 (7)Fraggle 攻击 Fraggle 攻击是对 Smurf 攻击作了简单的修改,使用的是 UDP
应答消息而~-ICMP.防御方法:在防火墙上过滤掉 UDP 应答消息。 (8) 电子 邮件炸弹 电
子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电
子邮件,攻击者能够耗尽接受者网络的带宽。防御方法:对邮件地址进行配置,自动删除
来自同一主机的过量或重复的消息。 (9)畸形消息攻击 各类操作系统上的许多服务都存在
此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信
息时可能会崩溃。防御方法:打上最新的服务补丁。 (10)分布式拒绝服务攻击
(distributed denialofservice,DDoS) DDoS 攻击是网络攻击中最有害的攻击之一,它是在
传统的 DoS 攻击基础之上产生的一类攻击方式,单一的 DoS 攻击一般采用一对一的方式
,如果用一台攻击机不能起到作用的话,攻击者就使用 10 台、1OO 台……攻击机同时产
生攻击,最终导致被攻击的机器无法及时处理请求。 一个比较完善的 DDoS 攻击体系可
分成四部分:黑客、控制机、代理攻击机、被攻击目标。在攻击时先由黑客入侵并控制大
量的主机从而取得控制权,使他们成为控制机和攻击机,然后在这些被入侵的主机中安装
DDos 攻击程序,并利用这些被控制的代理攻击机对攻击目标发起 DDoS 攻击,从而成倍
地增加了攻击的威力。 3.结语 虽然拒绝服务攻击是一种技术含量低、容易实施的攻击行
为,但是它的攻击效果明显而且相当难以防范,因此防范工作至关重要,总的来说应从合
理配置路由器的控制流量、 科学 部署防火墙保护内部网络、及时升级系统软件和应用软
件、安装 NIDS、建立与防火墙联动体系等多方面入手,将拒绝服务攻击的危害降到最低
。
