ddos分布式拒绝服务攻击的原理与防范0101.docx
- 文档编号:9158402
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:15
- 大小:133.37KB
ddos分布式拒绝服务攻击的原理与防范0101.docx
《ddos分布式拒绝服务攻击的原理与防范0101.docx》由会员分享,可在线阅读,更多相关《ddos分布式拒绝服务攻击的原理与防范0101.docx(15页珍藏版)》请在冰豆网上搜索。
ddos分布式拒绝服务攻击的原理与防范0101
拒绝服务攻击原理及对策
一、简述
随着网络技术和网络应用的发展,网络安全问题显得越来越重要。
拒绝服务攻击由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题之一,给网络社会带来了极大的危害。
同时,拒绝服务攻击也将是未来信息战的重要手段之一。
因此,研究拒绝服务攻击及其对策是极为重要的。
(一)什么是拒绝服务攻击(DOS)
DoS是DenialofService的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。
最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。
连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
(二)什么是分布式拒绝服务攻击(DDOS)
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。
单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。
随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。
这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。
理解了DoS攻击的话,它的原理就很简单。
如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?
用100台呢?
DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
分布式拒绝服务(DDoS:
DistributedDenialofService)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。
通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上。
代理程序收到指令时就发动攻击。
利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行
高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。
在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。
而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
(三)被DDoS攻击时的现象
被攻击主机上有大量等待的TCP连接
网络中充斥着大量的无用的数据包,源地址为假
制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯
利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求
严重时会造成系统死机
(四)攻击运行原理
图1.1DDOS攻击体系
如图1.1,一个比较完善的DDoS攻击体系分成四大部分,先来看一下最重要的第2和第3部分:
它们分别用做控制和实际发起攻击。
请注意控制机与攻击机的区别,对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。
对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。
在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。
一般情况下黑客不直接去控制攻击傀儡机,而要从控制傀儡机上中转一下,这就导致DDoS攻击难以追查。
攻击者使用的傀儡机越多,他实际上提供给受害者的分析依据就越多。
占领一台机器后,高水平的攻击者会首先做两件事:
1.考虑如何留好后门(我以后还要回来的哦)!
2.如何清理日志。
这就是擦掉脚印,不让自己做的事被别人查觉到。
有些攻击者会把日志全都删掉,但这样的话网管员发现日志都没了就会知道受到了攻击,虽然无法再从日志发现线索。
狡猾的攻击者会挑有关自己的日志项目删掉,让人看不到异常的情况。
这样可以长时间地利用傀儡机。
在傀儡机上清理日志是一项庞大的工程,即使在有很好的日志清理工具的帮助下,黑客也是对这个任务很头痛的。
这就导致了有些攻击机弄得不是很干净,通过它上面的线索找到了控制它的上一级计算机,这上级的计算机如果是黑客自己的机器,那么他就会被揪出来了。
但如果这是控制用的傀儡机的话,黑客自身还是安全的。
控制傀儡机的数目相对很少,一般一台就可以控制几十台攻击机,清理一台计算机的日志对黑客来讲就轻松多了,这样从控制机再找到黑客的可能性也小多了。
二、攻击模拟
(一)DDos攻击一般步骤
1.搜集了解目标的情况
下列情况是黑客非常关心的情报:
∙被攻击目标主机数目、地址情况
∙目标主机的配置、性能
∙目标的带宽
对于DDoS攻击者来说,攻击互联网上的某个站点,如http:
//www.WWWW.com,有一个重点就是确定到底有多少台主机在支持这个站点,一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。
以163为例,一般会有下列地址都是提供WWW服务的:
202.108.9.16
61.145.126.68
202.108.252.146
如果要进行DDoS攻击的话,应该攻击哪一个地址呢?
使202.108.9.16这台机器瘫痪,但其他的主机还是能向外提供www服务,所以想让别人访问不到的话,要所有这些IP地址的机器都瘫痪才行。
在实际的应用中,一个IP地址往往还代表着数台机器:
网站维护者使用了四层或七层交换机来做负载均衡,把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。
这时对于DDoS攻击者来说情况就更复杂了,他面对的任务可能是让几十台主机的服务都不正常。
事先搜集情报对DDoS攻击者来说是非常重要的,这关系到使用多少台傀儡机才能达到效果的问题。
简单地考虑一下,在相同的条件下,攻击同一站点的2台主机需要2台傀儡机的话,攻击5台主机可能就需要5台以上的傀儡机。
但在实际过程中,有很多黑客并不进行情报的搜集而直接进行DDoS的攻击,这时候攻击的盲目性就很大了,效果如何也要靠运气。
2.占领傀儡机
黑客最感兴趣的是有下列情况的主机:
∙链路状态好的主机
∙性能好的主机
∙安全管理水平差的主机
这一部分实际上是使用了另一大类的攻击手段:
利用型攻击。
这是和DDoS并列的攻击方式。
简单地说,就是占领和控制被攻击的主机。
取得最高的管理权限,或者至少得到一个有权限完成DDoS攻击任务的帐号。
对于一个DDoS攻击者来说,准备好一定数量的傀儡机是一个必要的条件。
攻击者要攻击并占领傀儡机。
首先,黑客做的工作一般是扫描,随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器,象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞……,都是黑客希望看到的扫描结果。
随后就是尝试入侵,这里涉及到的具体细节限于篇幅,无法一一介绍。
黑客在占领了一台傀儡机之后,除了上面说过留后门擦脚印这些基本工作之外,还会把DDoS攻击用的程序上载过去,一般是利用ftp。
在攻击机上,会有一个DDoS的发包程序,黑客就是利用它来向受害目标发送恶意攻击包的。
3.实际攻击
经过前2个阶段的精心准备之后,黑客就开始准备对既定目标进行攻击了。
前面的准备做得好的话,实际攻击过程是比较简单的。
如图示,黑客登录到做为控制台的傀儡机,向所有的攻击机发出攻击命令。
这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令,一起向受害主机以高速度发送大量的数据包,导致它死机或是无法响应正常的请求。
黑客一般会以远远超出受害方处理能力的速度进行攻击,以期造成严重的后果。
有时候攻击者一边攻击,还会用各种手段来监视攻击的效果,在需要的时候进行一些调整。
简单些就是开个窗口不断地ping目标主机,在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。
(二)攻击实例
1.SYNFlood攻击原理
SYN-Flood是目前最流行的DDoS攻击手段,早先的DoS的手段在向分布式这一阶段发展的时候也经历了浪里淘沙的过程。
SYN-Flood的攻击效果最好,应该是众黑客不约而同选择它的原因。
SYN-Flood原理-三次握手
图2.1TCP三次握手
如图2.1,在第一步中,客户端向服务端提出连接请求。
这时TCPSYN标志置位。
客户端告诉服务端序列号区域合法,需要检查。
客户端在TCP报头的序列号区中插入自己的ISN。
服务端收到该TCP分段后,在第二步以自己的ISN回应(SYN标志置位),同时确认收到客户端的第一个TCP分段(ACK标志置位)。
在第三步中,客户端确认收到服务端的ISN(ACK标志置位)。
到此为止建立完整的TCP连接,开始全双工模式的数据传输过程。
SynFlood攻击者不会完成三次握手
图2.2SynFlood恶意地不完成三次握手
假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYNTimeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。
实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况称做:
服务器端受到了SYNFlood攻击(SYN洪水攻击)。
2.攻击模拟
下面是在实验室中模拟的一次SynFlood攻击的实际过程。
这一个局域网环境,只有一台攻击机(PIII667/256/redhat9.0),被攻击的是一台同样配置的主机,网络设备是Cisco的百兆交换机。
这是在攻击并未进行之前,在redhat上进行snoop的记录,snoop是一个很好的网络抓包与分析的工具。
可以看到攻击之前,目标主机上接到的基本上都是一些普通的网络包。
…
…
?
->(broadcast)ETHERType=886F(Unknown),size=1510bytes
?
->(broadcast)ETHERType=886F(Unknown),size=1510bytes
?
->(multicast)ETHERType=0000(LLC/802.3),size=52bytes
?
->(broadcast)ETHERType=886F(Unknown),size=1510bytes
192.168.0.66->192.168.0.255NBTDatagramServiceType=17Source=GU[0]
192.168.0.210->192.168.0.255NBTDatagramServiceType=17Source=ROOTDC[20]
192.168.0.247->192.168.0.255NBTDatagramServiceType=17Source=TSC[0]
?
->(broadcast)ETHERType=886F(Unknown),size=1510bytes
192.168.0.200->(broadcast)ARPCWhois192.168.0.102,192.168.0.102?
?
->(broadcast)ETHERType=886F(Unknown),size=1510bytes
?
->(broadcast)ETHERType=886F(Unknown),size=1510bytes
192.168.0.66->192.168.0.255NBTDatagramServiceType=17Source=GU[0]
192.168.0.66->192.168.0.255NBTDatagramServiceType=17Source=GU[0]
192.168.0.210->192.168.0.255NBTDatagramServiceType=17Source=ROOTDC[20]
?
->(multicast)ETHERType=0000(LLC/802.3),size=52bytes
?
->(broadcast)ETHERType=886F(Unknown),size=1510bytes
?
->(broadcast)ETHERType=886F(Unknown),size=1510bytes
…
…
接着,攻击机开始发包,DDoS开始了…,突然间redhat主机上的snoop窗口开始飞速地翻屏,显示出接到数量巨大的Syn请求。
这时的屏幕就好象是时速300公里的列车上的一扇车窗。
这是在SynFlood攻击时的snoop输出结果:
…
…
127.0.0.178->AUTHCport=1352
127.0.0.178->TCPD=114S=1352SynSeq=674711609Len=0Win=65535
127.0.0.178->TCPD=115S=1352SynSeq=674711609Len=0Win=65535
127.0.0.178->UUCP-PATHCport=1352
127.0.0.178->TCPD=118S=1352SynSeq=674711609Len=0Win=65535
127.0.0.178->NNTPCport=1352
127.0.0.178->TCPD=121S=1352SynSeq=674711609Len=0Win=65535
127.0.0.178->TCPD=122S=1352SynSeq=674711609Len=0Win=65535
127.0.0.178->TCPD=124S=1352SynSeq=674711609Len=0Win=65535
127.0.0.178->TCPD=125S=1352SynSeq=674711609Len=0Win=65535
127.0.0.178->TCPD=126S=1352SynSeq=674711609Len=0Win=65535
127.0.0.178->TCPD=128S=1352SynSeq=674711609Len=0Win=65535
127.0.0.178->TCPD=130S=1352SynSeq=674711609Len=0Win=65535
127.0.0.178->TCPD=131S=1352SynSeq=674711609Len=0Win=65535
127.0.0.178->TCPD=133S=1352SynSeq=674711609Len=0Win=65535
127.0.0.178->TCPD=135S=1352SynSeq=674711609Len=0Win=65535
……
这时候内容完全不同了,再也收不到刚才那些正常的网络包,只有DDoS包。
这里所有的SynFlood攻击包的源地址都是伪造的,给追查工作带来很大困难。
这时在被攻击主机上积累了多少Syn的半连接呢?
用netstat来看一下:
#netstat-an|grepSYN
…
…
192.168.0.183.9 127.0.0.79.1801 0 024656 0SYN_RCVD
192.168.0.183.13 127.0.0.79.1801 0 024656 0SYN_RCVD
192.168.0.183.19 127.0.0.79.1801 0 024656 0SYN_RCVD
192.168.0.183.21 127.0.0.79.1801 0 024656 0SYN_RCVD
192.168.0.183.22 127.0.0.79.1801 0 024656 0SYN_RCVD
192.168.0.183.23 127.0.0.79.1801 0 024656 0SYN_RCVD
192.168.0.183.25 127.0.0.79.1801 0 024656 0SYN_RCVD
192.168.0.183.37 127.0.0.79.1801 00246560SYN_RCVD
192.168.0.183.53127.0.0.79.180100246560SYN_RCVD
…
…
其中SYN_RCVD表示当前未完成的TCPSYN队列,统计一下:
#netstat-an|grepSYN|wc-l
5273
#netstat-an|grepSYN|wc-l
5154
#netstat-an|grepSYN|wc-l
5267
…..
共有五千多个Syn的半连接存储在内存中。
这时候被攻击机已经不能响应新的服务请求了,系统运行非常慢,也无法ping通。
攻击者可以通过反弹技术使我们对DDOS攻击更难以防御——利用反弹服务器反弹DDOS的洪水包,也就是说,通过发送大量的欺骗请求数据包(来源地址为victim,受害服务器,或目标服务器)给Internet上大量的服务器群,而这些服务器群收到请求后将发送大量的应答包给victim。
结果是原来用于攻击的洪水数据流被大量的服务器所稀释,并最终在受害者处汇集为洪水,使受害者更难以隔离攻击洪水流,并且更难以用Traceback跟踪技术去找到洪水流的来源,如图2.3所示。
图2.3:
利用反弹进行DDOS攻击的结构
三、DDoS的防范
到目前为止,进行DDoS攻击的防御还是比较困难的。
首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。
一位资深的安全专家给了个形象的比喻:
DDoS就好象有1,000个人同时给你家里打电话,这时候你的朋友还打得进来吗?
虽然DDos难于防范,但防止DDoS并不是绝对不可行的事情。
互联网的使用者是各种各样的,与DDoS做斗争,不同的角色有不同的任务。
我们以下面几种角色为例:
∙企业网管理员
∙ISP、ICP管理员
∙骨干网络运营商
(一)企业网管理员
网管员做为一个企业内部网的管理者,往往也是安全员、守护神。
在他维护的网络中有一些服务器需要向外提供WWW服务,因而不可避免地成为DDoS的攻击目标,他该如何做呢?
可以从主机与网络设备两个角度去考虑。
1.主机上的设置
几乎所有的主机平台都有抵御DoS的设置,总结一下,基本的有几种:
∙关闭不必要的服务
∙限制同时打开的Syn半连接数目
∙缩短Syn半连接的timeout时间
∙及时更新系统补丁
2.网络设备上的设置
企业网的网络设备可以从防火墙与路由器上考虑。
这两个设备是到外界的接口设备,在进行防DDoS设置的同时,要注意一下这是以多大的效率牺牲为代价的,对特定的对象来说是否值得。
(1)防火墙
∙禁止对主机的非开放服务的访问
∙限制同时打开的SYN最大连接数
∙限制特定IP地址的访问
∙启用防火墙的防DDoS的属性
∙严格限制对外开放的服务器的向外访问
第五项主要是防止自己的服务器被当做工具去害人。
(2).路由器
以Cisco路由器为例
∙CiscoExpressForwarding(CEF)
∙使用unicastreverse-path
∙访问控制列表(ACL)过滤
∙设置SYN数据包流量速率
∙升级版本过低的ISO
∙为路由器建立logserver
(二)ISP/ICP管理员
ISP/ICP为很多中小型企业提供了各种规模的主机托管业务,所以在防DDoS时,除了与企业网管理员一样的手段外,还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。
客观上说,这些托管主机的安全性普遍是很差的,有的连基本的补丁都没有打就赤膊上阵了,成为黑客最易控制的傀儡机,托管的主机大都是高性能、高带宽的,往往适合用做DDos攻击。
(三)骨干网络运营商
他们提供了互联网存在的物理基础。
如果骨干网络运营商可以很好地合作的话,DDoS攻击可以很好地被预防。
在2000年yahoo等知名网站被攻击后,美国的网络安全研究机构提出了骨干运营商联手来解决DDoS攻击的方案。
方法很简单,就是每家运营商在自己的出口路由器上进行源IP地址的验证,如果在自己的路由表中没有到这个数据包源IP的路由,就丢掉这个包。
这种方法可以阻止黑客利用伪造的源IP来进行DDoS攻击。
不过同样,这样做会降低路由器的效率,这也是骨干运营商非常关注的问题,所以这种做法真正采用起来还很困难。
对DDoS的原理与应付方法的研究一直在进行中,找到一个既有效又切实可行的方案不是一朝一夕的事情。
但目前至少可以做到把自己的网络与主机维护好,首先让自己的主机不成为别人利用的对象去攻击别人;其次
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ddos 分布式 拒绝服务 攻击 原理 防范 0101