DoS/DDoS Concepts

• DOS –Denial Of Service 阻斷服務
  藉由各種的攻擊手法，使資訊服務無法正常運作，其目的為透過特殊的攻擊方式來耗盡提供服務伺服器的資源或是頻寬，以達到讓其他的使用者無法使用到服務，利用TCP/IP協定當初設計的缺失，攻擊的模式是一對一的方式，持續送出大量封包或是特異畸形的封包來癱瘓目標主機上的服務,輕則停止服務,重則當機，警告或威脅對方，DoS成功後替換對方網站,讓client連到假網站
• DDOS –Distributed DOS 分散式阻斷服務
  由多重的來源進行攻擊，使資訊服務無法正常運作，又稱為洪水式攻擊，多台分散的電腦做DoS Attack,攻擊的模式為多對一,多數係以遙控方式，大規模，難以偵測，難以阻擋,一但發動便很難停止，針對網路頻寬以及針對系統資源兩種不同類型的攻擊方式。
  ※DoS的目標不是打服務，而是打掉對方的網路與資源，進而造成社交攻擊的機會。

DoS & DDoS Attack / Countermeasures

• 資源消耗型攻擊
  • 協定分析攻擊（SYN flood，SYN洪水）
  • 送出大量SYN封包，讓對方一直等待到記憶體用盡。
  • 攻擊對策：增加連接隊列的大小並減少打開連接的超時。
• LAND攻擊
  • 攻擊者發送一個來源 IP 為目標 IP 位址封包給目標，當封包的來源和目的主機的IP位址和埠號都相同的時候（經過偽造spoofed的封包），這樣目標會將這個封包回傳給自己形成無窮迴圈，最終耗盡資源。
  • 攻擊對策：使用Firewall的過濾規則可以防止這種攻擊行為
• 殭屍網路攻擊
  • 受黑客控制的惡意軟件感染系統，以便進行DDoS攻擊
  • 攻擊對策：
    1. RFC3704過濾
    2. 黑洞過濾。

SYN Flooding
1. 利用TCP三向交握的性質來進行攻擊
2. 當攻擊者對伺服器送出一個 SYN，它必須跟蹤部分打開的連接在偵聽佇列中至少75秒
3. 惡意的主機能利用小尺寸的偵聽佇列發送多個SYN請求，但從不回覆SYN + ACK
4. 受害者偵聽佇列是快速填滿
5. 將每個未完成的連線保持75秒能累計使用DoS attack
6. RFC3704過濾，它將拒絕來自欺騙地址的流量，並幫助確保流量可追溯到其正確的源網絡。例如，RFC3704過濾將丟棄來自bogon列表地址的數據包。
7. 黑洞過濾，在進入受保護網絡之前丟棄不需要的流量。當檢測到DDoS攻擊時，BGP（邊界網關協議）主機應該向ISP路由器發送路由更新，以便它們將前往受害服務器的所有流量路由到下一跳的null0接口。

LAND檢測方法：
判斷網絡數據包的源/目標地址是否相同。
殭屍網路
殭屍網路是指大量被命令與控制（C&C）伺服器所控制的網際網路主機群。攻擊者傳播惡意軟體並組成自己的殭屍網路。殭屍網路難於檢測的原因是，殭屍主機只有在執行特定指令時才會與伺服器進行通訊，使得它們隱蔽且不易察覺。殭屍網路根據網路通訊協定的不同分為IRC、HTTP或P2P類等。
殭屍網路對策

• 頻寬消耗型攻擊
  • UDP洪水攻擊（User Datagram Protocol floods）
    • 主要是用來提供快速、輕便及較不可靠的資料傳送服務，傳送時不需要建立複雜的連線
    • 攻擊對策：Firewall攔截過濾封包、IPS辨識非正常協定之封包
  • ICMP洪水攻擊（ICMP floods）
    • ICMP（網際網路控制訊息協定）洪水攻擊是通過向未良好設定的路由器傳送廣播資訊占用系統資源的做法。
    • 死亡之Ping（ping of death）
    • 死亡之Ping是產生超過IP協定能容忍的封包數，若系統沒有檢查機制，就會當機。
    • 攻擊對策：設定防火牆將檢查碎片化的IP數據包以獲得最大大小。
• 藍精靈攻擊 ( Smurf attack)
  • 使用IP欺騙和ICMP使流量飽和目標網絡。此攻擊方法使用針對廣播IP地址的ICMP回應請求。這些ICMP請求源自欺騙性的“受害者”地址。
  • 攻擊對策：Router & Firewall上禁用IP定向廣播。

UDP
1. 當大量UDP封包傳送給受害系統時，可能會導致頻寬飽和從而使得合法服務無法請求存取受害系統。UDP封包的目的埠可能是隨機或指定的埠，受害系統將嘗試處理接收到的封包以確定本地執行的服務。
2. 攻擊中又分為小封包跟大封包兩種類方式，小封包（64 位元組）是要利用網路設備需要對每一個封包進行檢查的行為下增加設備的負擔，大封包（1500 位元組以上）是要迫使攻擊目標在接收到封包後要進行重組，來達到網路壅塞的目的。
3. 攻擊期間也可以在該過程中過濾合法分組。如果UDP泛洪的捲高到足以使目標服務器的防火牆的狀態表飽和，那麼在服務器級別發生的任何緩解都將不足，因為瓶頸將在目標設備的上游發生。

ping of death
1. 此類攻擊使用IP數據包來“ping”目標系統，其IP大小超過65,535字節。不允許使用此大小的IP數據包，因此攻擊者會對IP數據包進行分段。一旦目標系統重新組裝數據包，它就會遇到緩衝區溢出和其他崩潰。
2. 攻擊對策：這將阻止網絡設備上的ICMP回應廣播請求。另一種選擇是配置終端系統以防止它們響應來自廣播地址的ICMP數據包。

• 頻寬消耗型攻擊
  • 淚滴攻擊 ( Teardrop attack )
  • 每個資料要傳送前，該封包都會經過切割，每個小切割都會記錄位移的資訊，以便重組，但此攻擊模式139和445。就是捏造位移資訊，造成重組時發生問題，造成錯誤。
  • 攻擊對策：如果用戶沒有防止此DoS攻擊的補丁，請禁用SMBv2並阻止端口
• 應用程序層攻擊
  • 應用層攻擊或第7層攻擊是指一種惡意行為，旨在針對OSI模型中的“頂層”，其中發生HTTP GET和HTTP POST 等常見互聯網請求。與網絡層攻擊（例如DNS擴增）相比，這些第7層攻擊由於除了網絡資源之外還消耗了服務器資源
  • 攻擊對策：第7層攻擊難以防禦，因為流量難以標記為惡意。
    1. 對發出網絡請求的設備實施挑戰，以便測試它是否是機器人。
    2. 阻止HTTP泛洪的其他途徑包括使用Web應用程序防火牆，通過IP信譽數據庫管理和過濾流量，以及工程師通過即時網絡分析