分布拒绝服务攻击

分布拒绝服务攻击（精选8篇）

分布拒绝服务攻击 第1篇

分布式拒绝服务 (DDos) 攻击, 是用分布在不同地点的大量计算机, 采用协作的方式, 同时向被攻击目标发送大大超过其处理能力的数据包, 使被攻击目标不能提供正常服务。自1999年来, 许多著名的网站如Yahoo、Ebay等都曾遭受过这种攻击, 造成了难以挽回的经济损失。因为DDos攻击可以伪造源地址, 具有极大的隐蔽性, 检测困难, 所以Ddos攻击是目前Internet上最难防范的攻击方式。

1.1 DDoS攻击分析

DDoS攻击的基本过程:攻击主机通过长时间准备, 入侵大量攻击从机, 并在从机上安装守护进程 (Daemon) , 当攻击从机接受到攻击命令后, 首先向服务器发送众多的带有虚假地址的请求, 服务器发送回复信息后等待回传信息, 因为地址是伪造的, 所以服务器一直等不到回传的消息, 分配给这次请求的资源就始终不能被释放。当服务器等待一定的时间后, 连接会因超时而被切断, 攻击从机会再次传送新的一批请求。在这种反复发送带有虚假地址请求的情况下, 服务器资源最终会被耗尽, 甚至导致系统崩溃。

1.2 DDoS攻击特点

DDoS攻击采取了分布式的攻击手段, 改变了传统的点对点攻击模式, 使得攻击数据流呈现无规律状态;通常使用常见的协议与服务, 仅从协议与服务类型方面难以区分正常连接请求与恶意请求;攻击数据包通常经过伪装, 使用伪造的源IP地址, 无法识别来源。以上特点使得对DDoS攻击的检测十分困难。

1.3 被DDoS攻击时的现象

被DDoS攻击时的现象包括:被攻击主机上有大量等待的TCP连接;网络中充斥着大量无用的数据包;高流量无用数据造成网络拥塞, 使受害主机无法正常与外界通信;利用受害主机提供的服务或传输协议上的缺陷, 反复高速地发出特定的服务请求, 使受害主机无法及时处理所有正常请求, 造成系统死机。

1.4 DDoS攻击特性

对DDoS攻击进行分析, 可以得到以下DDoS攻击特征:

(1) 攻击流量目的地址过于集中, 且无拥塞控制特性。

(2) 用随机端口攻击目标机时, 同时向目标机数千端口发送数据包;用固定端口攻击目标机时, 同时向目标机单一端口发送大量数据包。

(3) 当发生TCP FLOOD/ICMP Flood时, 流向目标机流量包含大量的相同标志位数据包, 如TCP SYN包、TCP RST包、ICMP ECHO包、ICMP MASK包、ICMP TIME包等。

1.5 DDoS攻击程序

目前攻击者最常使用的几种DDoS攻击程序是:Trinoo, TFN, Stacheldraht和TFN2k。

1.5.1 Trinoo

Trinoo是发布最早的主流工具, 使用TCP和UDP, 工作方式是通过一个远程控制程序 (攻击者) 和主控 (Master) 通信, 指挥守护进程 (服务器程序) 发动攻击。守护进程驻存在实际进行攻击的系统上, 而Master控制守护进程系统。攻击者控制了足够数量的傀儡机并在傀儡机上安装配置好DDoS软件, 便建立好了Trinoo网络, 随时可以进行攻击。

1.5.2 TFN (Tribe Flood Network)

TFN是德国著名黑客Mixter编写的, 它由客户端程序和守护程序组成, 通过绑定到TCP端口的Root Shell控制, 实施ICMP Flood, SYN Flood, UDP Flood和Smurf等多种拒绝服务的分布式网络攻击。TFN客户端、主控端和代理端主机相互间通信时使用ICMP Echo和Icmp Echo Reply数据包。

1.5.3 Stacheldraht

Stacheldraht结合了Trinoo与TFN的特点, 并添加了一些补充特征, 如加密组件之间的通信和自动更新守护进程。Stacheldraht使用TCP和ICMP通信, 攻击者与主控端交互, 同时主控端控制代理端。Stacheldraht在功能上与Trinoo和TFN相近。

1.5.4 TFN2k

TFN2k代表TFN 2000版, 是Mixter编写的TFN后续版本, 它允许端口上随机通信及加密, 这样就绕过了边界路由器上端口阻挡的防护措施和入侵检测软件。TFN2k攻击不但可以与SYN、UDP、ICMP和Smurf攻击相配合, 而且还可以在不同的攻击方式之间随机切换。

2、DDoS攻击的分类

按照TCP/IP协议的层次可将DDoS攻击分为基于ARP的攻击、基于ICMP的攻击、基于IP的攻击、基于UDP的攻击、基于TCP的攻击和基于应用层的攻击。

2.1 基于ARP的攻击

ARP是无连接的协议, 当收到攻击者发送来的ARP应答时, 它将接收ARP应答包中所提供的信息, 更新ARP缓存。因此, 含有错误源地址信息的ARP请求和含有错误目标地址信息的ARP应答均会使上层应用忙于处理这种异常而无法响应外来请求, 使得目标主机丧失网络通信能力, 产生拒绝服务, 如ARP重定向攻击。

2.2 基于ICMP的攻击

攻击者向一个子网的广播地址发送多个ICMP Echo请求数据包, 并将源地址伪装成想要攻击的目标主机的地址。这样, 该子网上的所有主机均对此ICMP Echo请求包作出答复, 向被攻击的目标主机发送数据包, 使该主机受到攻击, 导致网络阻塞。例如Ping洪水攻击和Smurf攻击就是典型的基于ICMP的攻击。

2.3 基于IP的攻击

TCP/IP中的IP数据包在网络传递时, 数据包可以分成更小的片段, 到达目的地后再进行合并重装。在实现分段重新组装的进程中存在漏洞, 缺乏必要的检查。利用IP报文分片后重组的重叠现象攻击服务器, 进而引起服务器内核崩溃, 如Teardrop是基于IP的攻击。

2.4 基于UDP的攻击

UDP为用户程序之间的信息传输提供了简便的协议机制, 但不提供错误更正和重发, 也不防止包的丢失或重复。由于UDP不会验证其发送的数据报是否被正确接收就会发送新的数据报, 因此可以伪造大量的数据报用于攻击目标主机, 如UDP Flood, UDP Echo, Fraggle等都是基于该协议的攻击。

2.5 基于TCP的攻击

在建立TCP连接的过程中, 如果在第二次握手以后故意不回应, 服务器一般会重新发送SYN/ACK报文给客户端, 并在等待一段时间后丢弃这个没有建立连接的请求。值得注意的是, 服务器用于等待来自客户机的ACK信息包的TCP/IP堆栈是有限的, 如果缓冲区被等待队列充满, 它将拒绝下一个连接请求, 造成资源的大量消耗, 无法向正常请求提供服务, 如SYN Flood Land攻击等。

2.6 基于应用层的攻击

应用层包括SMTP, HTTP, DNS等各种应用协议。其中SMTP定义了如何在两个主机间传输邮件的过程, 基于标准SMTP的邮件服务器, 在客户端请求发送邮件时, 是不对其身份进行验证的。另外, 许多邮件服务器都允许邮件中继。攻击者利用邮件服务器持续不断地向攻击目标发送垃圾邮件, 大量侵占服务器资源, 导致正常邮件的丢失, 如电子邮件炸弹、Finger炸弹等。

3、结束语

本文主要分析了DDoS攻击的特点、攻击程序及分类。随着网络的发展, DDoS攻击也日益呈现出复杂性、多变性、范围广、追踪难等特征。为了避免DDoS造成灾难性的后果, 应尽早识别攻击并采取相应的对策。

参考文献

[1].曹爱娟, 刘宝旭, 许榕生.抵御DDoS攻击的陷阱系统[J].计算机工程, 2004, 30 (1)

分布拒绝服务攻击 第2篇

这一个局域网环境，只有一台攻击机（PIII667/128/mandrake），被攻击的是一台Solaris 8.0 (spark)的主机，网络设备是Cisco的百兆交换机，这是在攻击并未进行之前，在Solaris上进行snoop的记录，snoop与tcpdump等网络监听工具一样，也是一个很好的网络抓包与分析的工具。可以看到攻击之前，目标主机上接到的基本上都是一些普通的网络包。

…

…

? ->(broadcast) ETHER Type=886F (Unknown), size = 1510 bytes

? ->(broadcast) ETHER Type=886F (Unknown), size = 1510 bytes

? ->(multicast) ETHER Type=0000 (LLC/802.3), size = 52 bytes

? ->(broadcast) ETHER Type=886F (Unknown), size = 1510 bytes

192.168.0.66 ->192.168.0.255 NBT Datagram Service Type=17 Source=GU[0]

192.168.0.210 ->192.168.0.255 NBT Datagram Service Type=17 Source=ROOTDC[20]

192.168.0.247 ->192.168.0.255 NBT Datagram Service Type=17 Source=TSC[0]

? ->(broadcast) ETHER Type=886F (Unknown), size = 1510 bytes

192.168.0.200 ->(broadcast) ARP C Who is 192.168.0.102, 192.168.0.102 ?

? ->(broadcast) ETHER Type=886F (Unknown), size = 1510 bytes

? ->(broadcast) ETHER Type=886F (Unknown), size = 1510 bytes

192.168.0.66 ->192.168.0.255 NBT Datagram Service Type=17 Source=GU[0]

192.168.0.66 ->192.168.0.255 NBT Datagram Service Type=17 Source=GU[0]

192.168.0.210 ->192.168.0.255 NBT Datagram Service Type=17 Source=ROOTDC[20]

? ->(multicast) ETHER Type=0000 (LLC/802.3), size = 52 bytes

? ->(broadcast) ETHER Type=886F (Unknown), size = 1510 bytes

? ->(broadcast) ETHER Type=886F (Unknown), size = 1510 bytes……

接着，攻击机开始发包，DDoS开始了…，突然间sun主机上的snoop窗口开始飞速地翻屏，显示出接到数量巨大的Syn请求。这时的屏幕就好象是时速300公里的列车上的一扇车窗。这是在Syn Flood攻击时的snoop输出结果：

…

127.0.0.178 ->lab183.lab.net AUTH C port=1352

127.0.0.178 ->lab183.lab.net TCP D=114 S=1352 Syn Seq=674711609 Len=0 Win=65535

127.0.0.178 ->lab183.lab.net TCP D=115 S=1352 Syn Seq=674711609 Len=0 Win=65535

127.0.0.178 ->lab183.lab.net UUCP-PATH C port=1352

127.0.0.178 ->lab183.lab.net TCP D=118 S=1352 Syn Seq=674711609 Len=0 Win=65535

127.0.0.178 ->lab183.lab.net NNTP C port=1352

127.0.0.178 ->lab183.lab.net TCP D=121 S=1352 Syn Seq=674711609 Len=0 Win=65535

127.0.0.178 ->lab183.lab.net TCP D=122 S=1352 Syn Seq=674711609 Len=0 Win=65535

127.0.0.178 ->lab183.lab.net TCP D=124 S=1352 Syn Seq=674711609 Len=0 Win=65535

127.0.0.178 ->lab183.lab.net TCP D=125 S=1352 Syn Seq=674711609 Len=0 Win=65535

127.0.0.178 ->lab183.lab.net TCP D=126 S=1352 Syn Seq=674711609 Len=0 Win=65535

127.0.0.178 ->lab183.lab.net TCP D=128 S=1352 Syn Seq=674711609 Len=0 Win=65535

127.0.0.178 ->lab183.lab.net TCP D=130 S=1352 Syn Seq=674711609 Len=0 Win=65535

127.0.0.178 ->lab183.lab.net TCP D=131 S=1352 Syn Seq=674711609 Len=0 Win=65535

127.0.0.178 ->lab183.lab.net TCP D=133 S=1352 Syn Seq=674711609 Len=0 Win=65535

127.0.0.178 ->lab183.lab.net TCP D=135 S=1352 Syn Seq=674711609 Len=0 Win=65535…

这时候内容完全不同了，再也收不到刚才那些正常的网络包，只有DDoS包。大家注意一下，这里所有的Syn Flood攻击包的源地址都是伪造的，给追查工作带来很大困难。这时在被攻击主机上积累了多少Syn的半连接呢？我们用netstat来看一下：

# netstat -an | grep SYN …

…

192.168.0.183.9 127.0.0.79.1801 0 0 24656 0 SYN_RCVD

192.168.0.183.13 127.0.0.79.1801 0 0 24656 0 SYN_RCVD

192.168.0.183.19 127.0.0.79.1801 0 0 24656 0 SYN_RCVD

192.168.0.183.21 127.0.0.79.1801 0 0 24656 0 SYN_RCVD

192.168.0.183.22 127.0.0.79.1801 0 0 24656 0 SYN_RCVD

192.168.0.183.23 127.0.0.79.1801 0 0 24656 0 SYN_RCVD

192.168.0.183.25 127.0.0.79.1801 0 0 24656 0 SYN_RCVD

192.168.0.183.37 127.0.0.79.1801 0 0 24656 0 SYN_RCVD

192.168.0.183.53 127.0.0.79.1801 0 0 24656 0 SYN_RCVD……

其中SYN_RCVD表示当前未完成的TCP SYN队列，统计一下：

# netstat -an | grep SYN | wc -l

5273

# netstat -an | grep SYN | wc -l

5154

# netstat -an | grep SYN | wc -l

5267

…..

共有五千多个Syn的半连接存储在内存中，

这时候被攻击机已经不能响应新的服务请求了，系统运行非常慢，也无法ping通。

这是在攻击发起后仅仅70秒钟左右时的情况。

DDoS的防范

到目前为止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻：DDoS就好象有1,000个人同时给你家里打电话，这时候你的朋友还打得进来吗？

不过即使它难于防范，也不是说我们就应该逆来顺受，实际上防止DDoS并不是绝对不可行的事情。互联网的使用者是各种各样的，与DDoS做斗争，不同的角色有不同的任务。我们以下面几种角色为例：

企业网管理员

ISP、ICP管理员

骨干网络运营商

企业网管理员

网管员做为一个企业内部网的管理者，往往也是安全员、守护神。在他维护的网络中有一些服务器需要向外提供WWW服务，因而不可避免地成为DDoS的攻击目标，他该如何做呢？可以从主机与网络设备两个角度去考虑。

主机上的设置

几乎所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种：

关闭不必要的服务

限制同时打开的Syn半连接数目

缩短Syn半连接的time out 时间

及时更新系统补丁

网络设备上的设置

企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对你来说是否值得。

1.防火墙

禁止对主机的非开放服务的访问

限制同时打开的SYN最大连接数

限制特定IP地址的访问

启用防火墙的防DDoS的属性

严格限制对外开放的服务器的向外访问

第五项主要是防止自己的服务器被当做工具去害人。

2.路由器

以Cisco路由器为例

Cisco Express Forwarding（CEF）

使用 unicast reverse-path

访问控制列表（ACL）过滤

设置SYN数据包流量速率

升级版本过低的ISO

为路由器建立log server

其中使用CEF和Unicast设置时要特别注意，使用不当会造成路由器工作效率严重下降，升级IOS也应谨慎。路由器是网络的核心设备，与大家分享一下进行设置修改时的小经验，就是先不保存。Cisco路由器有两份配置startup config和running config，修改的时候改变的是running config，可以让这个配置先跑一段时间（三五天的就随意啦），觉得可行后再保存配置到startup config；而如果不满意想恢复原来的配置，用copy start run就行了。

ISP / ICP管理员

ISP / ICP为很多中小型企业提供了各种规模的主机托管业务，所以在防DDoS时，除了与企业网管理员一样的手段外，还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。客观上说，这些托管主机的安全性普遍是很差的，有的连基本的补丁都没有打就赤膊上阵了，成为 最喜欢的“肉鸡”，因为不管这台机器 怎么用都不会有被发现的危险，它的安全管理太差了；还不必说托管的主机都是高性能、高带宽的-简直就是为DDoS定制的。而做为ISP的管理员，对托管主机是没有直接管理的权力的，只能通知让客户来处理。在实际情况时，有很多客户与自己的托管主机服务商配合得不是很好，造成ISP管理员明知自己负责的一台托管主机成为了傀儡机，却没有什么办法的局面。而托管业务又是买方市场，ISP还不敢得罪客户，怎么办？咱们管理员和客户搞好关系吧，没办法，谁让人家是上帝呢？呵呵，客户多配合一些，ISP的主机更安全一些，被别人告状的可能性也小一些。

骨干网络运营商

他们提供了互联网存在的物理基础。如果骨干网络运营商可以很好地合作的话，DDoS攻击可以很好地被预防。在yahoo等知名网站被攻击后，美国的网络安全研究机构提出了骨干运营商联手来解决DDoS攻击的方案。其实方法很简单，就是每家运营商在自己的出口路由器上进行源IP地址的验证，如果在自己的路由表中没有到这个数据包源IP的路由，就丢掉这个包。这种方法可以阻止 利用伪造的源IP来进行DDoS攻击。不过同样，这样做会降低路由器的效率，这也是骨干运营商非常关注的问题，所以这种做法真正采用起来还很困难。

对DDoS的原理与应付方法的研究一直在进行中，找到一个既有效又切实可行的方案不是一朝一夕的事情。但目前我们至少可以做到把自己的网络与主机维护好，首先让自己的主机不成为别人利用的对象去攻击别人；其次，在受到攻击的时候，要尽量地保存证据，以便事后追查，一个良好的网络和日志系统是必要的。无论DDoS的防御向何处发展，这都将是一个社会工程，需要IT界的同行们来一起关注，通力合作。

参考资料

staff.washington.edu/dittrich/misc/ddos/

分布式拒绝服务攻击概述 第3篇

在目前出现的各种网络攻击方式中, 分布式拒绝服务DDo S (Distributed Denialof Service, DDo S) 攻击是一种极具破坏力的攻击手段, DDo S攻击是一种分布式的, 利用合法的服务请求占用过多的服务器资源 (包括网络带宽, 内存和CPU等) , 从而使合法用户无法得到服务器响应的攻击手段。攻击者首先侵占多个傀儡机作为跳板, 然后通过多个傀儡机同时向目标发起攻击。由于攻击来自网络上不同地址的大量傀儡计算机, 不仅攻击的破坏性很大, 而且给对攻击的防御和追踪带来了困难。

2 DDo S攻击概述

2.1 DDo S攻击体系结构

总的来说, 可以将一个典型的DDo S攻击的体系结构划分为四个部分:攻击者、主控机、攻击机、受害者。攻击者通过主控机控制大量的攻击机, 拥有攻击机的控制权或者是部分的控制权, 可以把相应的DDo S程序上传到这些平台上, 这些程序与正常的程序一样运行并等待来自攻击者的指令, 通常它还会利用各种手段隐藏自己不被别人发现。在平时, 这些机器并没有什么异常, 一旦攻击者连接到它们并发出指令的时候, 攻击机就会发起攻击。这种攻击非常隐蔽, 因为要想找出真正的攻击者就必须先查出攻击机, 然后依据攻击机的日志等文件查找上一级的控制者, 一级级直到找出攻击者为止。攻击者想要快速干净的擦除大量攻击机上记录攻击痕迹的文件 (如日志文件) 很不容易, 但他清除少量主控机的这些记录文件则非常简单, 从而避免被发现。

2.2 DDo S攻击过程

攻击者进行一次DDo S攻击大概需要经过了解攻击目标、攻占傀儡机、实际攻击三个主要步骤, 下面依次说明每一步骤的具体过程:

2.2.1 了解攻击目标就是对所要攻击的目标有一个全面和准确的了解, 以便对将来的攻击做到心中有数。主要关心的内容包括被攻击目标的主机数目、地址情况, 目标主机的配置、性能, 目标的带宽等等。对于DDo S攻击者来说, 攻击互联网上的某个站点, 有一个重点就是确定到底有多少台主机在支持这个站点, 一个大的网站可能有很多台主机利用负载均衡技术提供服务。所有这些攻击目标的信息都关系到后面两个阶段的实施目标和策略, 如果盲目的发动DDo S攻击就不能保证攻击目的的完成, 还可能过早的暴露攻击者的身份, 所以了解攻击目标是有经验的攻击者必经的步骤。

2.2.2 攻占傀儡主机就是控制尽可能多的机器, 然后安装相应的攻击程序, 在主控机上安装控制攻击的程序, 而攻击机则安装DDo S攻击的发包程序。攻击者最感兴趣, 也最有可能成为别人的傀儡主机的机器包括那些链路状态好、性能好同时安全管理水平差的主机。攻击者一般会利用已有的或者未公布的一些系统或者应用软件的漏洞, 取得一定的控制权, 起码可以安装攻击实施所需要的程序, 更厉害的可能还会取得最高控制权、留下后门等等。在早期的DDo S攻击过程中, 攻占傀儡主机这一步主要是攻击者自己手动完成的, 亲自扫描网络, 发现安全性比较差的主机, 将其攻占并且安装攻击程序。但是后来随着DDo S攻击和蠕虫的融合, 攻占傀儡机变成了一个自动化的过程, 攻击者只要将蠕虫放入网络中, 蠕虫就会在不断扩散中不停地攻占主机, 这样所能联合的攻击机将变得非常巨大, DDo S攻击的威力更大。

2.2.3 DDo S攻击的最后一个阶段就是实际的攻击过程, 攻击者通过主控机向攻击机发出攻击指令, 或者按照原先设定好的攻击时间和目标, 攻击机不停的向目标或者反射服务器发送大量的攻击包, 来吞没被攻击者, 达到拒绝服务的最终目的。和前两个过程相比, 实际攻击过程倒是最简单的一个阶段, 一些有经验的攻击者可能还会在攻击的同时通过各种手段检查攻击效果, 甚至在攻击过程中动态调整攻击策略, 尽可能清除在主控机和攻击机上留下的蛛丝马迹。

3 DDo S攻击的分类

DDo S攻击的形式多种多样, 为了对其进行分类, 人们提出了一系列分类标准, 比如按照DDo S攻击工具的自动化程度, 可以分为手动攻击、半自动化攻击和全自动化攻击;按照DDo S攻击的攻击速率, 可以分为持续稳定攻击和动态变化攻击;按照DDo S攻击的攻击效果, 可以分为瘫痪系统和降低系统性能攻击:按照DDo S攻击利用的系统漏洞, 可以分为协议漏洞攻击、软件漏洞攻击和蛮力 (brute.force) 攻击。主要是按照DDo S攻击利用的漏洞对其进行分类。

3.1 协议漏洞攻击

TCP/IP协议制定时并没有考虑安全因素, 因此存在很多安全漏洞。这也是DDo S攻击如此普遍的原因之一。例如常见的一些黑客可以利用的协议漏洞有:利用TCP“三次握手”攻击, 利用IP源路由信息的攻击, 利用ICMP的攻击, 利用RIP协议的攻击, 利用BGP协议攻击等等。

3.2 软件漏洞攻击

软件漏洞是某个程序 (包括操作系统) 在设计时未考虑周全, 当程序遇到一个看似合理, 但实际无法处理的问题时引发的不可预见的错误。黑客进行的软件漏洞攻击主要集中在系统的两个部分:系统的对外服务和集成的应用软件。以下列举了常见的软件漏洞DDo S攻击方法:RPC接口中的缓冲区溢出漏洞;IIS缓冲区溢出漏洞;SQL Server2000缓冲区溢出漏洞;Net BIOS漏洞;微软远程服务漏洞攻击等等。

3.3 蛮力攻击

蛮力攻击方式不同于上面两种, 它没有利用系统的漏洞, 而是通过向目标机器发送大量看似合法的连接请求, 使目标机器忙于处理这些连接请求而导致系统性能下降或因为资源耗尽而停止服务。这种攻击方式按系统是否能过滤掉攻击者发送的IP包又可以分为两种:可过滤性攻击和非过滤性攻击:可过滤性攻击是指攻击者发送的IP包 (可能是伪造的) 与系统提供的服务不相关, 因此系统可以利用防火墙将这些大量的IP包过滤掉。非过滤性攻击与可过滤性攻击不同的是攻击者发送的IP包与系统提供的服务相关, 即攻击者发送看似合法的连接请求, 此时防火墙无法对攻击者发送的大量IP包进行过滤。由于目标主机无法通过改善网络协议或软件漏洞来减轻或杜绝蛮力攻击造成的影响。因此, 蛮力攻击是黑客利用的最多的攻击手段, 不管系统时候存在协议漏洞或软件漏洞, 蛮力攻击都可以发送大量的IP包淹没受害主机, 而造成受害主机拒绝服务。

结束语

根据以往的各种DDo S事件和手段的经验, 我们可以总结出DDo S攻击会有如下的发展趋势:a.自动化程度越来越高, 高度自动化的攻击工具将会更多;b.分布性更强, 攻击程度更大;c.不断智能化, 更容易逃避检测和过滤;d.目标范围更大, 针对路由器弱点的DDo S攻击将会增多;e.隐蔽性会越来越强, 攻击源更难追踪;拒绝服务攻击以其攻击范围广、隐蔽性强、简单有效等特点成为最常见的网络攻击技术之一, 它极大地影响了网络和业务主机系统的有效服务。由于TCP/IP本身的缺陷, 对于DDo S攻击目前没有彻底的解决方案。只是对DDo S攻击手段的一个概述, 下一步将具体进行对DDos攻击防御方面的研究。

摘要：分布式拒绝服务攻击是当下最流行的黑客攻击手段之一, 其攻击手段多样, 隐蔽性强, 对于攻击目标的破坏性很大。对分布式拒绝服务攻击的原理和目前已经出现的各种分布式拒绝服务攻击手段进行了概述, 对其发展趋势进行了展望。

关键词：分布式拒绝服务,DDoS,攻击

参考文献

[1]张晓阳.对应网络DDoS攻击的安全防范策略研究[J].合肥学院学报 (自然科学版, 2009, 19 (2) .

[2]沈芳阳, 李振坤, 柳正青等.DDoS攻击及其防范策略[J].微机发展, 2005, 13 (9) .

分布式拒绝服务攻击的原理与防范 第4篇

1. DDoS攻击的原理

要了解DDoS必须先了解DoS的概念,DoS是拒绝服务的简称,这类攻击种类很多,目前比较常见的包括SYN变种攻击、TCP混乱数据包攻击、针对UDP协议攻击、针对WEB Server的多连接攻击、针对WEB Server的变种攻击和针对WEB Server的变种攻击等,这些攻击一般利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。但DoS攻击采用一对一方式,适合攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标较低高的系统。今年来,随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,Gbit网逐步普及,单纯的DoS攻击几乎完全失去了作用。在这种情况下DDoS应运而生。

DDoS是分布式DoS的简称,是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模的DDoS攻击方式。

图-1是一个DDoS的示例图,并不局限于哪一种具体的DoS攻击方法,这个图给出的是DDoS的组织方式,从图中可以看出DDoS攻击体系中的四个组成部分,黑客组织大量攻击傀儡机同时攻击受害主机,为了防止攻击傀儡机上的攻击痕迹被利用来侦测黑客,黑客一般采用一台被入侵的控制傀儡机来实现分布式控制,这样即便从攻击傀儡机上的攻击痕迹发现了这些傀儡机的控制者,也不过是发现了一台被黑客控制并清理了日志的控制傀儡机。

2. DDoS攻击的防御

由于DDoS攻击的方法很多,所以针对DDoS的防御不能具体化,事实上完全杜绝DDoS防范是不可能的,我们只能从策略上尽量提高系统抵抗DDoS攻击的健壮性,增加DDoS攻击的难度,为主动防御和反击提供时间和依据。

通过图-1中角色的划分,我们可以得出一些有效的系统的防御策略。

2.1 在受害者端:DDoS攻击的对象一般是局域网中服务器,在这一端可以采用如下几个方式来进行防御

●安装专业抗DDoS防火墙,比如金盾,冰盾,傲盾等等。

●提高系统能力,比如采用高性能的网络设备,提供充足的网络带宽保证,增强操作系统的TCP/IP栈等。

●使用honeypot技术,提供诱饵机,为主机防御DDoS争取时间,同时使用honeypot还可以用来获取黑客攻击时的模式、步骤等攻击情报。

●过滤不必要的服务和端口,避免为攻击者提供太多的漏洞和攻击点。

●利用负载均衡技术,增加服务器数量,减轻服务器负担。

2.2 在攻击傀儡机端:

攻击傀儡机在整个DDoS中是要求最低的,局域网中的一般主机均可以充当这个角色,在攻击发生前要确定攻击傀儡机几乎是不可能的,因此提高局域网中的普通主机的综合安全性能是个不错的方法.这其中包括安装单机防火墙,定期查杀病毒,查杀木马,采用安全网络协议等。

2.3 在控制傀儡机端:

控制傀儡机是黑客发动攻击的跳板也是黑客在面对追查时的一道屏障,黑客对控制傀儡机的要求一般都是非常高的,要求链路状态好,性能好,安全管理水平差。而这也恰好是好的蜜罐的基本要求,所以在局域网中布置honeypot是个相当不错的选择。此外可以在局域网中合理配置分布式IDS(入侵检测系统),分布式IDS的扫描终端对于发现状态异常的主机是非常有作用的;如果系统中采用了IDS和防火墙连动,或者IDS与SNMP连动,发现控制傀儡机并及时断开控制傀儡机的网络连接,可能是处理DDoS的一种良好的解决方案。

2.4 在黑客端:

进攻时最好的防御,迅速追查黑客的位置并予以反击是彻底解决DDoS唯一可能,现在已经有了一些追查黑客位置的软件和方法,比较著名的是Cisco的IP Source Tracker,但是目前追查黑客位置的技术尚不成熟。

2.5

从整个局域网的角度来防御DDoS,可以通过划分网段,每个网段独立保护的方法来进行防御,这样可以更好的利用ICMP协议,尽量减少网络被攻击时的损失。

摘要：DDoS(分布式拒绝服务攻击)是目前计算机网络攻击中危害最大,防御难度最大的网络攻击方式,本文对DDoS的基本原理进行了说明,并提出了对该类攻击进行有效防范的方法。

关键词：DDoS,基本原理,有效防范

参考文献

[1]尚占峰,张登义.DDoS防御机制研究[J].微计算机信息,2006,09.

分布式拒绝服务攻击与防范策略详探 第5篇

1 DDo S攻击的原理

DDo S攻击的原理是攻击者利用所控制的N台中间计算机 (傀儡主机) 一起向目标机器发送大量看似合法的数据包, 造成目标机网络阻塞或服务器资源耗尽而导致拒绝服务产生, 导至合法的网络数据包被虚假的网络数据包淹没而无法到达主机, 形成合法用户无法正常访问。

DDo S攻击一般分为三个阶段:

第一阶段是目标确认:黑客会在互联网上锁定被攻击对象的IP地址。这个被锁定的IP地址可能代表了Web服务器, DNS服务器, 互联网网关等。

第二个阶段是准备阶段:在这个阶段, 黑客会入侵互联网上大量的没有良好防护系统的计算机 (通常以DSL宽带或有线电缆上网的家庭计算机为主) 。黑客会在这些计算机中植入日后攻击目标所需的工具。

第三个阶段是实际攻击阶段:黑客会将攻击命令发送到所有被入侵的计算机 (也就是傀儡主机) 上, 并命令这些计算机利用预先植入的攻击工具不断向攻击目标发送数据包, 使得目标无法处理大量的数据或者频宽被占满。

2 DDo S攻击的常用工具

D D o S攻击实施起来有一定的难度, 它要求攻击者必须具备入侵他人计算机的能力。但是很不幸的是出现了一些傻瓜式的黑客程序, 这些程序可以在几秒钟内完成入侵和攻击程序的安装, 使发动DDo S攻击变成一件轻而易举的事情。常用的黑客程序有Trinoo、TFN、TFN2K、Stacheldraht等。

Trinoo:Trinoo攻击方法是向被攻击目标主机的随机端口发出全零的4字节U D P包, 在处理这些超出其处理能力的垃圾数据包的过程中, 被攻击主机的网络性能不断下降, 直到不能提供正常服务, 乃至崩溃。

TFN:TFN具有伪造数据包的能力, 它主要采取的攻击方法为:SYN风暴、Ping风暴、UDP炸弹和SMURF。

TFN2K:TFN2K由TFN发展而来, 在TFN所具有的特性上, TFN2K又新增一些特性。TFN对ICMP的通讯没有加密, 而TFN2K的网络通讯是经过加密的, 中间还可能混杂了许多虚假数据包, 且攻击方法增加了Mix和Targa3。

Stacheldraht:Stacheldraht也是从TFN派生出来的, 因此它具有TFN的特性。此外它增加了加密的通讯能力, 它对命令源作假, 可以防范一些路由器的RFC2267过滤。Stacheldrah中有一个内嵌的代理升级模块, 可以自动下载并安装最新的代理程序。

3 DDOS攻击的安全防范策略

由于DDo S攻击工具的泛滥, 及所针对的协议层的缺陷短时无法改变的事实, DDo S也就成为了目前流传最广、最难防范的攻击方式之一。从现有的技术角度来讲, 对于DDo S攻击并没有100%有效的防御手段, 但是只要我们积极部署防御措施, 还是能够在很大程度上缓解和抵御这类安全威胁的。

3.1 增强目标系统自身防御能力

拥有高带宽和高性能的服务器, 往往是黑客首选的攻击目标。对抗DDo S攻击一个很重要的要素就是增强目标系统自身的防御能力。

增强目标系统的硬件力。使用更大的带宽及提升相关设备的性能是面对DDo S攻击最直接的处理方法。只是在执行这类“硬性增幅”的时候, 我们需要把握适度的原则。

充分发挥系统自身的潜能。通过对目标系统的针对性处理, 可以有效地放大现有资源的能量。最基本的任务是对这些服务器要经常打上最新的安全补丁程序。因为利用漏洞实施拒绝服务攻击相对于纯粹实施要容易得多。如果不消除明显可被拒绝服务攻击利用的漏洞, 其它的防御工作将只能成为摆设。我们要根据自身环境的情况, 注意相关系统的补丁发布情况。

关闭无用的端口。任何网络连接都是通过开放应用端口来实现的, 作为服务器来说, 服务端口开放越多, 系统安全稳定性越难以保证。所以, 提供特定服务的服务器应该只开放必不可少的端口, 关闭无关的端口。如:一台作为www和ftp的服务器, 应该只开放80和25端口, 关闭其它无关服务的端口, 以减少系统漏洞。

限制连接队列的长度与减少处理延时。前者可以缓解系统资源的耗尽, 虽然不能完全避免“拒绝服务”的发生, 但是在一定程度上降低了系统崩溃的可能性。后者能够加强系统的处理能力, 通过减少延时, 我们可以以更快的速度抛弃队列里等待的连接, 而不是任其堆满队列, 这种方法对建立在类似SYN风暴这样以畸形连接淹没队列方式之上的DDo S攻击是很有效的。

3.2 减少外围主机被控制的机率

DDo S攻击必须利用所控制的多台傀儡主机才能发动攻击。一般说来, 如果网络内部或邻近的主机被用来对本网络目标机器进行DDo S攻击, 攻击的效果会更明显。所以, 必须保证目标系统外围主机和网络的安全, 使攻击者无法获得大量的傀儡主机。保护这些外围主机最好的办法就是及时了解其操作系统的安全漏洞并采取相应的安全措施, 如及时安装补丁程序、定期升级系统软件、安装必要的防毒和防火墙软件等, 避免被黑客和自动化的的DDo S程序植入攻击程序而成为黑客攻击的帮凶。

3.3 中间设防纵深防御

攻击者和目标系统通常并非直接相连, 两者之间要经过很多网络节点才能进行通信。所以我们可以在两者之间尽可能部署有效的屏障。设置屏障最主要的工具就是防火墙。先进的防火墙产品能够有效识别和处理数据包的深层内容, 这样有助于我们设置更加细致的过滤机制。现在有很多防火墙产品集成了反DDo S功能, 进一步提高了对常见DDo S攻击包的识别能力。

除了专业抗DDo S放火墙之外, 包括很多路由器产品在内的网络设备都具备防火墙功能, 我们应该尽可能充分地利用。特别是路由器, 其任务是负责对数据流进行导向, 我们应尽可能将其置于“前哨”位置。这样既可以起到御敌于千里之外的作用, 又可以灵活地将攻击包导向到其它无害的位置甚至化攻击于虚无。

3.4 攻击发生后积极应对

攻击发生后, 我们应该积极应对, 将攻击带来的损失降低到最小。

确定攻击来源。可以通过一些统计的方法来得到攻击来源。例如:在攻击时, 攻击数据的发送方会发出超出正常极限的数据量。这样, 对通讯数据量进行统计可以得到有关攻击系统的数量和位置的信息。如果攻击来源于网络内部, 可以由网络管理员将这些机器关闭, 从而在第一时间将攻击消除;如果攻击来源于网络外部, 可以采取临时过滤的方法, 将这些攻击源在服务器或路由器上过滤掉。

找出攻击经过的路由。常见的DDo S工具一般都会有自己特定的通讯方式。例如trinoo程序通讯时, 经常会用到一些特定端口, 例如U D P3 1 3 3 5、U D P27444、TCP 27665等。当本地机中这些端口处于监听状态时, 则系统很可能已经受到了侵袭。若黑客从某些端口发动攻击, 用户可把这些端口屏蔽掉, 以阻止入侵。

判断出哪些是攻击数据。虽然攻击者在传达攻击命令或发送攻击数据时, 都进行了伪装甚至加密, 但是其数据包还是有一定特征可循的。例如:攻击者向傀儡主机发送的攻击命令中会有特定的命令字符串;攻击时使用的数据包一般都会有超长或畸形的ICMP或UDP包;数据存在某种加密特性等特征。判断出哪些是攻击数据后, 可对其进行拦截或过滤, 把攻击屏蔽掉。

除了以上这些基础的方法和工具之外, 还有一些更高级的技巧可以利用, 例如我们可以建立备份机制;建立路由器、防火墙等设备负载均衡策略;也可以部署一些陷阱部件。

4 结束语

DDo S攻击只能被减弱, 无法彻底消除。平时我们头脑中一定要有安全防范意识, 按照本文的方法和思路去防范DDo S, 这样可以收到非常显著的效果, 能将攻击带来的损失降低到最小。同时, 服务拒绝攻击已经不仅仅是技术问题, 也是一个社会问题, 如果发挥社会和法律方面的作用打击网络犯罪, 将会更加有效。

摘要：随着计算机网络技术与应用的发展, 计算机网络的安全问题越来越引起了人们的关注。分布式拒绝服务攻击是一种破坏力较强的黑客攻击手段, 所用工具泛滥。针对分布式拒绝服务攻击的各种防范策略的提出迫在眉睫。

关键词：DDoS,攻击工具,防范策略

参考文献

[1]李涛.网络安全概论[M].北京:电子工业出版社.2004;3-20

[2]秦志光, 张凤荔.计算机病毒原理与防范[M].北京:人民邮电出版社.2007;

[3]曲鼎, 王岗.PC-实用之道病毒与黑客防攻[M].北京:清华大学出版社.2006

[4]王淑江.超级网管员-网络安全[M].北京:机械工业出版社, 2007

分布拒绝服务攻击 第6篇

一、拒绝服务攻击

(一) 拒绝服务攻击 (DoS, Denial of Service)

拒绝服务攻击是指所有使受害者无法给合法用户提供正常服务甚至导致整个系统瘫痪的攻击行为。DoS攻击通常有两种方式:一种是流量攻击, 主要针对网络带宽进行攻击;另一种方式为主机资源攻击, 主要是通过发送大量攻击数据包导致主机的内存耗尽或者CPU停止响应等方法来使受害机无法提供正常的网络服务。

(二) 分布式拒绝服务攻击 (DDoS, DistributedDenial of Service)

分布式拒绝服务攻击是攻击者采用分布式技术, 通过控制多台计算机对一个或多个受害者同时发动的特殊DoS攻击。与DoS攻击一样, 其攻击目的已不再是传统意义上的破坏和窃密, 而是使受害者不能为其合法用户提供服务甚至导致系统瘫痪。

(三) DDoS攻击的3层结构

DDoS攻击的结构包括攻击端、控制端、傀儡端。攻击端是攻击者所处的位置, 可以有一个或多个攻击端, 攻击者通过蠕虫或漏洞扫描程序在互联网上寻找可以被攻破和操纵的控制机, 利用这些控制机扩展性地寻找其他有漏洞的机器并植入攻击程序, 在指定的时间内对目标计算机发动攻击。这种攻击结构具有很强的隐蔽性和传染性, 在后续攻击过程中, 初始攻击者甚至不需要作进一步控制、也不需要上线, 以至于网络安全系统仅能在最大程度上进行识别和防控, 无法在进一步的分析中还原网络攻击路径, 攻击者可以很好地隐蔽起来。

(四) 应用层DDoS

传统DDoS攻击是利用低层协议 (特别是网络层协议) 的漏洞, 发送大量的无用分组或伪造的TCP连接请求, 堵塞网络或使被攻击主机资源耗尽。针对网络层DDoS的攻击特性, 研究人员提出了多种防御方案, 如利用概率包标记来进行攻击源追踪和用统计方法来过滤和防御网络层DDoS攻击。然而从近几年来看, 随着网络协议栈低层防御技术的不断完善, DDoS攻击不再局限于低层, 而是出现了向高层协议发展的态势, 此类利用高层协议漏洞进行攻击的方式被称为应用层攻击。

二、应用层DDoS防范原理

近年来, 网络安全工作者针对应用层DDoS攻击提出了一些解决方案, 从国内外的研究成果来看, DDoS攻击防范的理论依据主要集中在信息理论和统计理论等领域。防范思路主要是通过统计分析攻击机器和正常机器的行为特性, 判断识别攻击机器, 并由系统将产生自动行为规则和告警信息处理攻击者。系统可依据特定的算法, 设置条件产生告警, 实时断开现有连接, 把攻击机器的地址、服务或者应用自动列入黑名单, 由此阻断攻击的损害。这类防范方式的效果主要取决于识别算法和过滤规则的效率和适用性。当前DDoS攻击行为识别的主流算法有以下几类。

(一) IP地址分析

将访问同一网站的IP地址根据相同地址段前缀划分为不同的IP地址类, 分别研究异常流量和DDoS攻击中访问者IP地址的分布规律, 统计攻击行为的时间变化和IP地址变化规律, 建立DDoS攻击过程的IP地址匹配模型, 从而为识别攻击行为提供基本的判别依据。

(二) 会话异常分析

通过对会话参数进行分析, 发现正常网络访问与攻击行为在会话请求数量等关键参数上的差异, 从会话异常度方面建立计算模型从而区分正常网络访问与DDoS攻击。

(三) HTTP负载分析

采用现有的数学模型对HTTP负载进行分析, 建立正常流量模型, 并通过计算实时流量与正常流量的偏离度来检测异常。这种方法中, 参数的选择会极大地影响检测的准确率, 因此实际应用中参数的确定比较困难。

(四) 用户行为分析

应用层DDoS攻击与合法访问行为相比, 在请求顺序、URL长度、主页请求数目和请求序列循环数等方面一般存在明显区别。正常情况下, 用户的访问一般从某个页面点击链接请求下一个资源, 在一定时期内, 其浏览行为具有一定的相似性, 如点击速度、请求的内容、浏览时间和浏览过程等, 不会反复访问一个或数个页面, 而恶意攻击则往往表现出反复循环提交一系列的请求。

三、应用层DDoS防范策略

防范应用层DDoS是一个系统工程, 想仅仅依靠某种单一的策略或产品全面实现杜绝是不现实的, 但通过适当的防范策略, 可以抵御大部分DDoS攻击, 或者有效识别和控制DDoS攻击。

(一) 采用高效网络安全产品

当前众多网络安全产品均具备一定的DDoS防护功能, 此类安全策略一般部署在互联网出口路由器上, 对来自互联网的访问流量进行抽样分析, 获得正常的访问流量模型。一旦访问流量过大偏离正常模型, 网络安全设备的抗DDoS功能会被激活并启动防御, 通过发布动态路由将有DDoS攻击嫌疑的流量牵引到专用设备上进行检测过滤, 对确定为DDoS的攻击流量进行丢弃, 而正常的访问请求则重新回注到路由器上进行转发。企业根据自身技术力量及成本方面因素, 可考虑以下措施:一是通过购买运营商流量清洗服务, 在保护上游互联网带宽资源的同时保障互联网业务的可用性;二是自行购买和部署防御DDoS设备, 自定义规则对DDoS网络行为进行监控。

(二) 提升网络基础设施性能

从攻击效果方面来看, DDoS的最终目标并非“破坏”, 而是“过载”。因此, 网络带宽、服务器性能等核心指标, 是整个信息化环境抵抗攻击能力的重要决定因素。如果企业业务量很大, 但带宽很小、服务器CPU和内存不足, 那么无论多么有效的措施都很难对抗一般的攻击;反之, 如果能够针对自身流量规模来配备相应级别的网络和设备, 并能前瞻性地预留冗余资源, 那么目标对恶意攻击包的“消化能力”大大增强, 任何类型DDoS攻击的困难程度就会大大增加, 也就意味着加大了攻击者的攻击成本, 绝大多数攻击者将因无法继续下去而放弃, 也就相当于成功的抵御了DDoS攻击。

(三) 提高应用系统设计安全性

应用层DDoS攻击的一种典型方式, 就是通过对应用系统资源消耗量大的功能发出大量请求, 造成服务器资源枯竭。不少门户网站, 为了向客户提供实时最新的资讯, 往往直接查询后台数据库并将信息展示在页面上, 或者在网页上集中展示其他大量动态信息。实践证明, 这种设计在遭受应用层DDoS攻击时, 损害程度普遍很大, 而且在对系统进行重置后, 短时间内再次遭受攻击的可能性也非常大。因此在设计网站时, 访问量大的页面尽可能做成静态形式, 必要的动态调用可借助另外的服务器进行, 这样不仅能大大提高抗攻击能力, 而且给黑客入侵形成不少障碍。

(四) 充分利用各类安全资源

一些中小银行或企业在起步阶段信息化投入往往滞后于业务发展, 信息安全方面的考虑往往不足以应付互联网复杂的环境要求。在这种情况下, 可以把一些现成的DDoS抗击功能充分利用起来。例如Windows服务器操作系统, 本身就具备基本的抵抗DDoS攻击的功能, 只是默认状态下没有开启;某些网络设备, 往往也具有一些简单的应用层DDoS防御功能。把这些安全资源充分利用起来, 可在成本控制的条件下获得安全效果最大化。

(五) 兼顾服务质量和安全系数

在资源有限的情况下, 网络系统的服务质量和安全水平是一对矛盾。包括DDoS防御在内的大部分网络安全策略, 其风险识别和过滤的准确率难以达到100%, 而且防御程序本身就会占用系统资源、延长响应时间, DDoS防御规则越严格, 安全性水平越高, 但客户体验水平越低。银行或企业可根据自身业务发展情况和信息技术水平, 从以下方面兼顾两者需求。一是根据历年业务经验积累, 灵活设置过滤规则, 在兼顾服务和安全的条件下取得效益最大化。例如通过对企业经营历史信息进行挖掘, 可以建立用户访问地址、访问时间和访问频率的分布模型, 引入攻击概率量化指标建立用户黑白名单;根据用户级别设置服务质量级别, 同时根据用户反馈意见对规则进行调整。二是增强自身科技队伍技术能力, 结合实际需要, 直接按照DDoS防范原理, 在信息化环境最薄弱的环节开发相应的DDoS攻击防范程序, 充分兼顾服务质量和安全系数。FTT

参考文献

[1]尚波涛, 祝跃飞, 陈嘉勇.一种应用层分布式拒绝服务攻击快速检测方法[J].信息工程大学学报, 2012 (5) :601-609.

[2]蒋静, 叶晰.电子商务网站抵御分布式拒绝服务攻击的措施研究[J].商场现代化, 2012 (31) :71.

分布拒绝服务攻击 第7篇

关键词：分布式,拒绝服务,攻击过程,防范措施

0 引言

拒绝服务(Denial Of Service,DoS)攻击是指以消耗远程服务器资源为目标,通过伪造超过服务器处理能力的请求数据造成服务器无法响应,使合法用户请求无法响应,以实现攻击目的,广义而言,凡是利用网络安全防护措施不足导致用户不能或不敢继续使用正常服务的攻击手段,都可以称之为拒绝服务攻击,它是目前黑客经常采用而又难以防范的攻击手段。

分布式拒绝服务(Distributed Denial of Service,DDoS)攻击指黑客借助于C/S技术,将多个主机联合起来作为一个攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,黑客利用在已经获得控制权的主机上潜伏大量的DoS服务程序,在设定的时间启动全体受控主机的DoS服务进程,对一个锁定目标同时发送大量的网络访问请求,造成其不能处理正常的访问甚至瘫痪的恶果。利用C/S技术,主控程序能在几秒钟内激活成百上千次DoS服务程序的运行。

1 DDoS攻击原理

针对通过网络连接以及利用合理的服务请求来占用过多资源,从而使合法用户无法得到服务的DDoS攻击通常借助于C/S技术,在进行攻击前,攻击者必须用其他手段获取大量傀儡主机(也称为肉鸡)的系统控制权,用于安装进行攻击的软件。

用于DDoS攻击的软件一般分为客户端、服务端与守护程序,其中客户端也称攻击控制台,它是发起攻击的主机,服务端也称攻击服务器,它接受客户端发来的控制命令,守护程序也称攻击器、攻击代理,它直接(如SYN Flooding)或者间接(如反射式DDoS)与攻击目标进行通信,这些程序可以使协调分散在互联网各处的机器共同完成对一台主机攻击的操作,从而使主机遭到来自不同地方的许多主机的攻击。由于互联网上充斥着安全措施较差的主机,这些主机存在系统漏洞或配置上的错误,可能是一些没有足够安全技术力量的小站点或者一些企业的服务器,入侵者轻易就能进入这些系统。

当需要进行攻击时,攻击者连接到安装了服务端软件的主控,发出攻击指令,主控在收到攻击指令后,控制多个代理同时向目标主机发动猛烈攻击。通常情况下,服务端与守护进程间并不是一一对应的关系,而是多对多的关系。也就是说,一个安装了守护进程的主机可以被多个服务端所控制,一个服务端软件也同时控制多个守护进程。

对黑客来说,采用三层结构的做法是为确保攻击者的安全,一旦客户端发出指令后,客户端就能断开连接,由服务端指挥守护进程攻击,由于客户端连接和发送指令的时间很短,隐蔽性极强,从而避免攻击者被跟踪和发现。三层结构的DDos攻击体系结构如图1所示。

黑客为了掩盖入侵的事实,需要将计算机系统中的日志清除,擦出入侵痕迹。可以通过手动或编写代码清除本地系统日志、远程系统日志、应用程序日志、安全日志等,同时还要利用如小榕的elsave、ClranllSLog等专门的第三方工具进行日志的清理,保障入侵痕迹不被发现。

2 DDoS攻击的过程

攻击过程主要有两个步骤:攻占代理主机和向目标发起攻击。具体说来可分为以下几个步骤。

(1)探测扫描大量主机以寻找可入侵主机。

(2)入侵有安全漏洞的主机并获取控制权。

(3)在每台被入侵主机中安装攻击所用的客户进程或守护进程。

(4)向安装有客户进程的主控端主机发出命令,由它们来控制代理主机上的守护进程进行协同入侵。

2.1 寻找可入侵主机

黑客在进行DDoS攻击前首先要搜集攻击对象的相关信息,这对黑客来说是非常重要的,这关系到使用多少台攻击机才能达到效果的问题,因此搜集待攻击目标的相关信息相当重要。

搜集的信息一般应包括以下内容:

(1)目标主机的数目、地址情况。

(2)目标主机的基本配置和性能参数。

(3)目标主机的网络带宽。

2.2 占领攻击傀儡机

搜集并分析完要攻击的目标信息后,黑客一般使用“利用形攻击”来占领和控制被攻击的主机,取得目标主机的最高管理权限,或者至少得到一个有权限完成 DDoS 攻击任务的帐号。对于 DDoS 攻击者来说,准备好一定数量的攻击机是进行攻击的一个必要条件。

首先,利用扫描工具在Internet上寻找有漏洞的主机(如程序的溢出漏洞、cgi、ftp、数据库漏洞等),尝试入侵并占领该主机,把该机器作为攻击傀儡机;其次留好后门,把进行DDoS攻击的程序上传过去,以便等待机会进行攻击。

黑客一般选择以下主机作为攻击傀儡机:

(1)主机的链路状态优良。

(2)主机的各种性能良好。

(3)主机的安全管理水平较差,或者没有。

2.3 发起攻击

经过搜集情报和占领攻击傀儡机的准备后,黑客就可以对目标主机进行攻击了。黑客首先登录到控制傀儡机,通过控制傀儡机向所有的攻击机发出命令,潜伏在攻击机中的DDoS程序立即响应命令,向同一目标主机高速发送大量的数据包,导致目标主机死机或是无法响应正常的请求。同时,老练的黑客还会一边攻击,一边利用各种手段来监视攻击的效果,一边根据需要进行调整(如简单开个窗口不断地ping目标主机,在能接到回应的时候就再加大一些流量或者再命令更多的攻击机来加入攻击),达到目标主机无法反应的目的。

3 DDos攻击的检测

多年来尽管无数的网络安全专家都在努力找到DDos攻击的检测方法,但到目前为止收效甚微,不过人们可以通过不断加强技术和协调努力来进行防范,减少被攻击的机会。

使用网络入侵监测系统(NIDS)对DDos攻击进行检测时,除了注意监测DDoS工具的缺省特征字符串、默认端口、缺省口令等信息外,还必须着重观察分析DDoS网络通讯的普遍特征,不管是明显的,还是模糊的。实际上,DDoS的唯一检测方式是异常的网络交通流量,因此,根据异常现象在网络入侵监测系统上建立相应规则,能够较准确地监测出DDoS攻击。

本文介绍5种异常模式及相应的解决办法。

3.1 大量的DNS PTR查询请求

这显然不是真正的DDoS通信,但通过它却能够用来确定DDoS攻击的来源。根据分析,攻击者在进行DDoS攻击前总要解析目标的主机名,每台攻击服务器在进行一个攻击前会发出DNS PTR反向查询请求,也就是说在DDoS攻击前域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求,BIND域名服务器能够记录这些请求,由此可以检测出是否受到攻击。

3.2 超出网络正常工作时的极限通讯流量

当DDoS攻击一个站点时,会出现明显超出该网络正常工作时的极限通讯流量的现象。现在的技术能够分别对不同的源地址计算出对应的极限值,当明显超出此极限值时就表明存在DDoS攻击的通讯。因此可以在主干路由器端建立ACL访问控制规则以监测和过滤这些通讯。

3.3 特大型的ICMP和UDP数据包

正常的UDP会话一般都使用小的UDP包,通常有效数据内容不超过10字节,而正常的ICMP消息也不会超过64到128字节。因此,那些明显大得多的数据包很有可能就是控制信息通讯用的,主要含有加密后的目标地址和一些命令选项。一旦捕获到(没有经过伪造的)控制信息通讯,DDoS服务器的位置就无所遁形了,因为控制信息通讯数据包的目标地址是没有伪造的。

3.4 非正常连接通讯的TCP和UDP数据包

隐蔽的DDoS工具随机使用多种通讯协议通过无连接通道发送数据,通过合理配置优秀的防火墙和路由规则能够发现这些数据包,对那些连接到高于1024但不属于常用网络服务的目标端口的数据包也是非常值得怀疑的。

3.5 数据段内容只包含文字和数字字符的数据包

如果检测到数据包的数据段内容只包含文字和数字符号,没有空格、标点和控制字符等要引起注意,这往往是数据经过BASE64编码后而只会含有base64字符集字符的特征。TFN2K发送的控制信息数据包就是这种类型的数据包(TFN2K及其变种的特征模式是在数据段中有一串A字符(AAA…),这是经过调整数据段大小和加密算法后的结果)。

4 防范措施

由于DDoS是通过TCP/IP协议的漏洞来进行攻击的,没有很好的措施来彻底解决分布式拒绝服务攻击问题,但本文提出一些措施能降低系统受到拒绝服务攻击的危害,可以最大限度降低遭到DDoS攻击的可能性。

4.1 保护主机系统安全

本质上,如果攻击者无法获得网络的访问权,无法攻克一台主机,就无法在系统上安装DDoS服务器。要使一个系统成为服务器,首先要以某种手段攻克它。如果周边环境不被突破,系统就能够保持安全,就不会被用于攻击其他系统。

对所有可能成为目标的主机都进行优化,禁止不必要的服务,可以减少被攻击的机会。要注意保护主机系统的安全,避免其被攻击者用作傀儡主机,充当DDoS的间接受害者。

4.2 优化网络和路由结构

如果某部门提供了一个非常关键的服务,理想情况下,该服务不仅要有多条与Internet的连接,而且最好有不同地理区域的连接。这样服务器IP地址越分散,攻击者定位目标的难度就越大,当问题发生时,所有的通信都可以被重新路由,可以大大降低其影响。

4.3 与ISP合作

这一点非常重要。DDoS攻击非常重要的一个特点是洪水般的网络流量,耗用了大量带宽,单凭自己管理网络,是无法对付这些攻击的。当受到攻击时,与ISP协商,确定发起攻击的IP地址,请求ISP实施正确的路由访问控制策略,封锁来自敌意IP地址的数据包,减轻网络负担,防止网络拥塞,保护带宽和内部网络。

4.4 网络运营商的防范

骨干网络运营商提供了Internet存在的物理基础,如果骨干网络运营商之间能够很好地合作,更能有效地预防DDoS攻击。其实,只要每家运营商在自己的出口路由器上加上源IP地址的验证,如果在自己的路由表中没有检测到这个数据包源IP的路由,可能就是攻击数据包,把这个数据包丢弃掉,就可以阻止黑客利用伪造的源IP来进行DDoS攻击。当然,这样做会降低路由器的效率,真正采用起来还很困难。

4.5 使用扫描工具

由于许多公司网络安全措施都进行得很慢,它们的网络可能已经被攻克并用作了DDoS服务器,因此要扫描这些网络查找DDoS服务器并尽可能地把它们从系统中关闭删除。利用DdoS扫描工具可以做到这些,而且大多数商业的漏洞扫描程序都能检测到系统是否被用作DDoS服务器。

4.6 安装入侵检测系统

从DDoS攻击的特点来看,越快检测到系统被攻击这一现象,就能越早采取针对性的防范和处理措施,从而使造成的影响和损失越小,借助于入侵检测系统(IDS)可以完成这一工作,可以根据需要选择基于网络的和基于主机的入侵检测系统。

以上几种方法对付不同类型的DDoS攻击的能力是不同的,对路由器CPU和内存资源的占用也有很大差别,在实际环境中,需要根据自身情况和路由器的性能来选择使用适当的方式。

5 结束语

目前,DDoS攻击变得隐秘性更强、破坏性更大,已成为Internet上的重大威胁之一,如何有效地防御这种攻击是一个系统工程,需要从保护主机系统安全、优化网络和路由结构、与ISP合作、使用扫描工具等方面全方位地协同防范,只有这样才有可能避免受到攻击。

参考文献

[1]孙钦东,张德运,高鹏.基于时间序列分析的分布式拒绝服务攻击检测[J].计算机学报,2005(5):28-32.

[2]林梅琴,李志蜀,等.分布式拒绝服务攻击及防范研究[J].计算机应用研究,2006(8):36-38.

[3]陈明奇.分布式拒绝服务攻击处理实例分析[J].信息网络安全,2007(6):41-44.

[4]王耀武,杨亚红.分布式拒绝服务攻击的软防御系统[J].计算机工程与设计,2008(3):26-28.

[5]荆杰,任新华,马基骁.分布式拒绝服务攻击检测分析与优化[J].计算机安全,2008(8):43-45.

分布拒绝服务攻击 第8篇

一、分布式拒绝服务攻击的实施原理

拒绝服务攻击 (Deny of Service-Do S) 的攻击方式有很多种, 最基本的Do S攻击就是利用合理的服务请求来占用过多的服务资源, 从而使合法用户无法得到服务的响应。DDo S (Distributed Deny of Service-分布式拒绝服务攻击) 攻击是在传统的Do S攻击基础之上发展而来的。DDo S原理很简单, 就是利用网络掌控并集结尽量多的傀儡机来攻击目标机, 以期达到比单机大得多的杀伤力, 其危害极大且难以防御。

二、分布式拒绝服务攻击的危害性

DDo S攻击是一种很难被彻底解决的电子商务网站安全问题, 其危害较大, 往往可造成网站访问延时甚至瘫痪。自1999年下半年以来, 拒绝服务攻击事件不断发生, 攻击发生的频率也越来越密集。据美国加州大学圣地亚哥超级计算机中心报道, 在2001年2月的3周内, 共检测到12805次拒绝服务攻击。2002年10月21日, 一波分布式拒绝服务攻击袭击了Internet DNS根服务器, 直接导致了13台根服务器中的9台瘫痪, 这些服务器是由多个机构根据合同为美国商务部运行维护的。而对电子商务网站进行直接攻击最著名例子包括2002年黑客对Yahoo和EBay等网站发起的分布式拒绝服务攻击, 攻击使这些网站的服务一度关闭。在国内最近一次大规模的攻击发生在2009年5月19日晚, 当时受暴风影音软件存在的设计缺陷以及免费智能DNS软件DNSPod的不健壮性影响, 黑客通过僵尸网络控制下的DDo S攻击, 致使我国江苏、安徽、广西、海南、甘肃、浙江等省在内的23个省出现罕见的断网故障, 即“5-19断网事件”。

三、分布式拒绝服务攻击 (DDo S) 防御措施的研究

常见的DDo S攻击包括数据包洪流 (Flood) 攻击和反弹 (reflector) DDo S攻击。到目前为止, 完全杜绝或抵御DDo S攻击还是比较困难的, 主要由于这种攻击的特点是它利用了TCP/IP协议的漏洞, 除非你不用TCP/IP协议, 才有可能完全抵御住DDo S攻击。不过这不等于我们就没有办法阻挡或减轻DDo S攻击。

首先, 我们要加强每个网络用户的安全意识, 安装杀毒软件, 安装软件或者硬件防火墙, 不从匿名网站下载软件, 不访问不明网站, 不打开不明邮件, 尽量避免木马的种植。

其次就是从源头遏制DDo S的攻击。比如对于SYN Flood攻击虽然目前没有非常有效的检测和防御方法, 但通过对系统架构的设定, 能降低被攻击系统的负荷, 减轻负面的影响。通常防御方法有:1.缩短SYN Timeout时间;2.设置SYN Cookie;3.负反馈策略;4.分布式DNS负载均衡退让策略;5防火墙Qo S。SYN Flood攻击的效果取决于在服务器上保持的SYN半连接数, 所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃的时间, 可以成倍地降低服务器的负荷。我们还可以设置SYN Cookie, 给每一个请求连接的IP地址分配一个Cookie, 如果短时间内收到某个IP的重复SYN报文, 就认定是受到了攻击, 以后从这个IP地址来的包会被丢弃。当然这样的方法不能根本的杜绝这样的DDo S的攻击, 对于多个主机不同IP的不断攻击也就束手无策, 所以还需要寻求更优质的策略去解决这种攻击。

对于很多有关涉及到ICMP报文的攻击, 我们可以从根本出发, 可以关闭服务器ping服务功能, 或者在防火墙里设置过滤ICMP报文。有需要的时候再手动开启ping服务。

我们还可以对于一些特定的、容易被攻击利用的协议如ICMP实施流量控制, 这样, 即使某协议被攻击者利用, 它只能占用有限的带宽, 从而不会对其他的网络应用带来太大的威胁。对于一些需要高网络带宽的服务, 要有足够的冗余, 使得系统运行需求远低于可用的极限资源。如果系统在接近极限状态下运行, 则很小的拒绝服务攻击就可能耗尽剩余资源, 使得系统不能正常提供服务。对于与Internet连接的系统, 要及时关闭不需要的服务和端口, 服务越多, 漏洞越多, 需要提供的保护越多, 受到外界的安全威胁也越大。坚持打好最新的补丁, 密切关注安全漏洞和安全补丁的发布。经常对自己的系统进行端口扫描, 找出可能的系统漏洞。定期用新型的拒绝服务攻击方法或工具对自己的网络进行抗拒绝服务攻击测试, 针对相应的攻击手段做出相应的调整。

四、结束语

作为一种新颖的商务活动过程, 电子商务将带来一场史无前例的革命, 而电子商务的安全性问题也越来越受到人们的重视。分布式拒绝服务攻击 (DDo S) 严重威胁了电子商务网站的正常运作。虽然目前为止网络业界并没有可以彻底消除DDo S攻击的措施, 并且硬件设施也只是做到了降低攻击程度的级别, 但如果按照本文的方法和思路去防范DDo S, 可以把攻击带来的损失降低到最小, 从而提高了电子商务活动的安全性。

摘要：本文首先介绍了分布式拒绝服务攻击 (DDoS) 的实施原理, 进而分析了DDoS攻击对电子商务网站的巨大危害, 最后提出了防范分布式拒绝服务攻击的措施。

关键词：电子商务,DDoS,网络安全,分布式拒绝服务攻击

参考文献

[1]谢逸等.新网络环境下应用层DDoS攻击的剖析与防御.电信科学, 2007年01期, 89-93页[1]谢逸等.新网络环境下应用层DDoS攻击的剖析与防御.电信科学, 2007年01期, 89-93页