DDoS的原理及危害
发布网友
发布时间:2022-04-24 01:49
共4个回答
热心网友
时间:2022-04-24 04:30
分布式拒绝服务攻击采用了一种比较特别的体系结构,从许多分布的主机同时攻击一个目标。从而导致目标瘫痪。目前所使用的入侵监测和过滤方法对这种类型的入侵都不起作用。所以,对这种攻击还不能做到完全防止。
DDoS通常采用一种跳台式三层结构。如图10—7所示:图10—7最下层是攻击的执行者。这一层由许多网络主机构成,其中包括Unix,Linux,Mac等各种各样的操作系统。攻击者通过各种办法获得主机的登录权限,并在上面安装攻击器程序。这些攻击器程序中一般内置了上面一层的某一个或某几个攻击服务器的地址,其攻击行为受到攻击服务器的直接控制。
攻击服务器。攻击服务器的主要任务是将控制台的命令发布到攻击执行器上。
这些服务器与攻击执行器一样,安装在一些被侵入的无关主机上。
攻击主控台。攻击主控台可以是网络上的任何一台主机,甚至可以是一个活动的便携机。它的作用就是向第二层的攻击服务器发布攻击命令。
有许多无关主机可以支配是整个攻击的前提。当然,这些主机与目标主机之间的联系越紧密,网络带宽越宽,攻击效果越好。通常来说,至少要有数百台甚至上千台主机才能达到满意的效果。例如,据估计,攻击Yahoo!站点的主机数目达到了3000台以上,而网络攻击数据流量达到了1GB秒。通常来说,攻击者是通过常规方法,例如系统服务的漏洞或者管理员的配置错误等方法来进入这些主机的。一些安全措施较差的小型站点以及单位中的服务器往往是攻击者的首选目标。这些主机上的系统或服务程序往往得不到及时更新,从而将系统暴露在攻击者面前。在成功侵入后,攻击者照例要安装一些特殊的后门程序,以便自己以后可以轻易进入系统,随着越来越多的主机被侵入,攻击者也就有了更大的舞台。他们可以通过网络监听等方法进一步扩充被侵入的主机群。
黑客所作的第二步是在所侵入的主机上安装攻击软件。这里,攻击软件包括攻击服务器和攻击执行器。其中攻击服务器仅占总数的很小一部分,一般只有几台到几十台左右。设置攻击服务器的目的是隔离网络联系,保护攻击者,使其不会在攻击进行时受到监控系统的跟踪,同时也能够更好的协调进攻。因为攻击执行器的数目太多,同时由一个系统来发布命令会造成控制系统的网络阻塞,影响攻击的突然性和协同性。而且,流量的突然增大也容易暴露攻击者的位置和意图。剩下的主机都被用来充当攻击执行器。执行器都是一些相对简单的程序,它们可以连续向目标发出大量的链接请求而不作任何回答。现在已知的能够执行这种任务的程序主要包括trin00,TFN(TribeFloodNetwork)、randomizer以及它们的一些改进版本,如TFN2k等。
黑客所作的最后一步,就是从攻击控制台向各个攻击服务器发出对特定目标的攻击命令。由于攻击主控台的位置非常灵活,而且发布命令的时间很短,所以非常隐蔽,难以定位。一旦攻击的命令传送到服务器,主控台就可以关闭或脱离网络,以逃避追踪。接着,攻击服务器将命令发布到各个攻击器。在攻击器接到攻击命令后,就开始向目标主机发出大量的服务请求数据包,这些数据包经过伪装,无法识别它的来源。而且,这些数据包所请求的服务往往要消耗较大的系统资源,如CPU或网络带宽。如果数百台甚至上千台攻击器同时攻击一个目标,就会导致目标主机网络和系统资源的耗尽,从而停止服务。有时,甚至会导致系统崩溃。另外,这样还可以阻塞目标网络的防火墙和路由器等网络设备,进一步加重网络拥塞状况。这样,目标主机根本无法为用户提供任何服务。攻击者所用的协议都是一些非常常见的协议和服务。这样,系统管理员就难于区分恶意请求和正常链接请求,从而无法有效分离出攻击数据包。
除了上述类型的攻击以外,其他种类的拒绝服务袭击有,从电脑中删除启动文件,使之无法启动,或删除某个网络服务器的网页等。为什么有人要发起这种类型的袭击呢?因为他们所闯入的服务器并没有什么秘密数据。其实,这种袭击也是出于各种原因,有*的,不正当商业竞争为原因的、也有的是作为一种大规模袭击的一个组成部分。比如,巴勒斯坦的黑客为了*以色列的犹太人政权而发起的对以色列*网站的攻击;某恶意电子商务网站为争夺客户而发起的针对竞争对手的拒绝服务攻击。拒绝服务袭击也可以用来关闭某位黑客想要欺诈的服务器。比如,黑客可能会为了获得客户PIN码或信用卡号码而对一家银行的服务器进行攻击等,这类袭击是“比其他类型的袭击要突出得多的、最普遍的安全隐患”。当然,这种袭击的主要损失是系统不能正常运行而耽误的时间,而且系统很容易就可以通过重新启动的方式而恢复运行。然而,任何注重品牌声誉的企业都明白,在互联网世界中,品牌声誉可能会因一次安全性攻击而毁于一旦,因此,黑客攻击行为(尤其是拒绝服务攻击)已成为当今企业所面临的最大威胁中的一部分。
一个企业的网上服务即使没有遭到拒绝服务的攻击,它还会面临另外一种风险,即成为攻击者的跳台的危险。在实际发生的大规模拒绝服务攻击的案例当中,往往是那些网络安全管理不严格的企业或组织的系统,被黑客侵入,在系统内被植入攻击时使用的黑客程序。而攻击犯罪发生以后,由于黑客的消踪灭迹的手段很高明,所以最后被侦破机关追索到的攻击源往往是那些成为攻击跳台的网络。虽然,企业本身没有遭到损失,但是由于成为攻击跳台,而带来的合作伙伴的疑虑和商业信用的损失却是无法估计的。
热心网友
时间:2022-04-24 05:48
1. DDoS攻击基础
DDoS(Distributed Denial of service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。
按照发起的方式,DDoS可以简单分为三类:第一类以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统、快速高效的应急流程而无用武之地,这种类型的攻击典型代表是ICMP Flood和UDP Flood,现在已不常见;第二类以巧取胜,灵动难以察觉,每隔几分钟发一个包甚至只需要一个包,就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起,如Slowloris攻击,Hash冲突攻击等,需要特定环境机缘巧合下才能出现;第三类是上述两种的混合,轻灵浑厚兼而有之,既利用了协议、系统的缺陷,又具备了海量的流量,如SYN Flood攻击,DNS Query Flood攻击,是当前的主流攻击方式。
下文将一一描述这些最常见、最具代表性攻击方式,并介绍他们的防御方案。
1.1 SYN Flood
SYN Flood是互联网上最经典的DDoS攻击方式之一,最早出现于1999年左右,雅虎是当时最著名的受害者。SYN Flood攻击利用了TCP三次握手的缺陷,能够以较小代价使目标服务器无法响应,且难以追查。
标准的TCP三次握手过程如下:
客户端发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号;
服务器在收到客户端的SYN报文后,将返回一个SYN ACK(即确认Acknowledgement)的报文,表示客户端的请求被接受,同时TCP初始序号自动加一。
客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一。
经过这三步,TCP连接就建立完成。TCP协议为了实现可靠传输,在三次握手的过程中设置了一些异常处理机制。第三步中如果服务器没收到客户端的最终ACK确认报文,会一直处于SYN_RECV状态,将客户端IP加入等待列表,并重发第二步的SYN ACK报文。重发一般进行3-5次,大约间隔30秒左右轮询一次等待列表重试所有客户端。另一方面,服务器在自己发出了SYN ACK报文后,会预分配资源为即将建立的TCP连接储存信息做准备,这个资源在等待重试期间一直保留。更为重要的是,服务器资源有限,可以维护的SYN_RECV状态超过极限后就不再接受新的SYN报文,也就是拒绝新的TCP连接建立。
SYN Flood正是利用了上文中TCP协议的设定,达到攻击的目的。攻击者伪装大量的IP地址给服务器发送SYN报文,由于伪造的IP地址几乎不可能存在,也就几乎没有设备会给服务器返回任何应答了。因此,服务器将会维持一个庞大的等待列表,不停的重试发送SYN ACK报文,同时占用着大量的资源无法释放。更关键的是,被攻击服务器的SYN_RECV队列被恶意的数据包占满,不再接受新的SYN请求,合法用户无法完成三次握手建立起TCP连接。也就是说,这个服务器被SYN Flood拒绝服务了。
对SYN Flood有兴趣的可以看看这里,这是笔者2006年写的代码,后来做过几次修改,修改bug,并降低了攻击性,纯做测试使用。
1.2 DNS Query Flood
作为互联网最基础最核心的服务,DNS自然也是DDoS攻击的重要目标之一。打垮DNS服务能够间接的打垮了一个公司的全部业务,或者打垮一个地区的网络服务。前些时候风头正盛的黑客组织anonymous也曾经宣布要攻击全球互联网的13台根DNS服务器,不过最终没有得手。
UDP攻击是最容易发起海量流量的攻击手段,而且源IP随机伪造难以追查。但是过滤比较容易,因为大多数IP并不提供UDP服务,直接丢弃UDP流量即可。所以现在纯粹的UDP流量攻击比较少见了,取而代之的是UDP协议承载的DNS Query Flood攻击。简单地说,越上层协议上发动的DDoS攻击越难以防御,因为协议越上层,与业务关联越大,防御系统面临的情况越复杂。
DNS Query Flood就是攻击者操纵大量傀儡机器,对目标发起海量的域名查询请求。为了防止基于ACL的过滤,必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址,随机伪造源端口等参数。在DNS协议层,随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外,还可以降低命中DNS缓存的可能性,尽可能多的消耗DNS服务器的CPU资源。
关于DNS Query
Flood的代码,笔者2011年7月份为了测试服务器性能曾经写过一份代码,见这里。同样的,这份代码人为降低了攻击性,只做测试用途。
1.3 HTTP Flood
上文描述的SYN
Flood、DNS Query Flood在现阶段已经能做到有效防御了,真正另各大厂商以及互联网企业头疼的是HTTP Flood攻击。HTTP Flood是针对WEB服务在第七层协议发起的攻击,它巨大危害性主要表现在三个方面,发起方便;过滤困难;影响深远。
SYN Flood和DNS Query Flood都需要攻击者以root权限控制大批量的傀儡机,收集大量root权限的傀儡机是很花费时间精力的一件事情,而且在攻击过程中傀儡机会由于流量异常被管理员发现,攻击者的资源快速损耗而补充缓慢,导致攻击强度明显降低而且不可长期持续。HTTP Flood攻击则不同,攻击者并不需要控制大批的傀儡机,取而代之的是通过端口扫描程序在互联网上寻找匿名的HTTP代理或者SOCKS代理,攻击者通过匿名代理对攻击目标发起HTTP请求。匿名代理是一种比较丰富的资源,花几天时间获取上午的代理并不是难事,因此攻击容易发起而且可以长期高强度的持续。
另一方面,HTTP
Flood攻击在HTTP层发起,极力模仿正常用户的网页请求行为,与网站业务紧密相关,安全厂商很难提供一套通用的且不影响用户体验的方案。在一个地方工作的很好的规则,换一个场景可能带来大量的误杀。
最后,HTTP Flood攻击会引起严重的连锁反应,不仅仅是直接导致被攻击的WEB前端响应缓慢,还间接攻击到后端的JAVA等业务层逻辑以及更后端的数据库服务,增大他们的压力,甚至对日至存储服务器都带来影响。
有意思的是,HTTP
Flood还有个剖有历史渊源的昵称叫做CC攻击。CC是Challenge Collapsar的缩写,而Collapsar是国内一家著名安全公司的DDoS防御设备。从目前的情况来看,不仅仅是Collapsar,所有的硬件防御设备都还在被挑战着,风险并未解除。
1.4 慢速连接攻击
一提起攻击,第一反应就是海量的流量,海量的报文。但是有一种攻击却反其道而行之,以慢著称,以至于有些攻击目标*了都不知道是怎么死的,这就是慢速连接攻击,最具代表性的是rsnake发明的SlowLoris。
HTTP协议规定,HTTP Request以rnrn结尾表示客户端发送结束,服务端开始处理。那么,如果永远不发送rnrn会如何?SlowLoris就是利用这一点来做DDoS攻击。攻击者在HTTP请求头中将Connection设置为Keep-Alive,要求Web Server保持TCP连接不要断开,随后缓慢的每隔几分钟发送一个key value格式的数据到服务端,如a:brn,导致服务端认为HTTP头部没有接收完成而一直等待。如果攻击者使用多线程或者傀儡机来做同样的操作,服务器的WEB容器很快就被攻击者占满了TCP连接而不再接受新的请求。
很快的,SlowLoris开始出现各种变种。比如POST方法向WEB Server提交数据,填充一大大Content-Length但是缓慢的一个字节一个字节的POST真正数据内容的等等。关于SlowLoris攻击,rsnake也给出了一个测试代码,这里。
2. DDoS攻击进阶
2.1 混合攻击
前一章介绍了几种基础的攻击手段,其中任意一种都可以用来攻击网络,甚至击垮阿里、百度、腾讯这种巨型网站。但是这些并不是全部,不同层次的攻击者能够发起完全不同的DDoS攻击,运用之妙,存乎一心。
高级的攻击者从来不会使用单一的手段进行攻击,而是根据目标的环境灵活组合。普通的SYN Flood容易被流量清洗设备通过反向探测、SYN Cookie等技术手段过滤掉,但是如果在SYN Flood中混入SYN ACK数据包,使每一个伪造的SYN数据包都有一个与之对应的伪造的客户端确认报文,这里的对应是指源IP地址、源端口、目的IP、目的端口、TCP窗口大小、TTL等都符合同一个主机同一个TCP Flow的特征,流量清洗设备的反向探测和SYN Cookie性能压力将会显著增大。其实SYN数据报文配合其它各种标致位,都有特殊的攻击效果,这里不一一介绍。
对DNS Query
Flood而言,也有独特的技巧。DNS可以分为普通DNS和授权域DNS,攻击普通DNS,IP地址需要随机伪造,并且指明服务器要求做递归解析。但是攻击授权域DNS,伪造的源IP地址则不应该是纯随机的,而应该是事先收集的全球各地ISP的DNS地址,这样才能够达到最大攻击效果,流量清洗设备将处于添加IP黑名单和不添加IP黑名单的尴尬处境。添加会导致大量误杀,不添加黑名单则每个报文都需要反向探测加大性能压力。
另 一方面,前文提到为了加大清洗设备的压力不命中缓存而需要随机化请求的域名,但是需要注意的是,待解析域名必须在伪造中带有一定的规律性,比如说只伪造域 名的某一部分而固化一部分,用来突破清洗设备设置的白名单。道理很简单,腾讯的服务器可以只解析腾讯的域名,完全随机的域名可能会直接被丢弃,需要固化。 但是如果完全固定,也很容易直接被丢弃,因此又需要伪造一部分。
其次,对DNS的攻击不应该只着重于UDP端口,根据DNS协议,TCP端口也是标准服务。攻击的时候,可以UDP和TCP攻击同时进行。
HTTP Flood的着重点,在于突破前端的cache,通过HTTP头中的字段设置直接到达WEB Server本身。另外,HTTP Flood对目标的选取也非常关键,一般的攻击者会选择搜索之类需要做大量数据查询的页面作为攻击目标,这是非常正确的,可以消耗服务器尽可能多的资源。但是这种攻击容易被清洗设备通过人机识别的方式识别出来,那么如何解决这个问题?很简单,尽量选择正常用户也通过APP访问的页面,一般来说就是各种WEB API。正常用户和恶意流量都是来源于APP,人机差别很小,基本融为一体难以区分。
SlowLoris之类的慢速攻击,是通过巧妙的手段占住连接不释放达到攻击的目的,但是这也是双刃剑,每一个TCP连接既存在于服务端也存在于自身,自身也需要消耗资源维持TCP状态因此连接不能保持太多。如果可以解决这一点,攻击性会得到极大增强,也就是说SlowLoris可以通过stateless的方式发动攻击,在客户端通过嗅探捕获TCP的序列号和确认维护TCP连接,系统内核无需关注TCP的各种状态变迁,一台笔记本即可产生多大65535个TCP连接。
上文描述的,都是技术层面的攻击增强。在人的方面,还可以有一些别的手段。如果SYN Flood发出大量数据包正面强攻,再辅之以SlowLoris慢速连接,多少人能够发现其中的秘密?即使服务器宕机了也许还只发现了SYN攻击想去加强TCP层清洗而忽视了应用层的行为。种种攻击,都可以互相配合,达到最大的效果。攻击时间的选择,也是一大关键,比如说选择维护人员吃午饭的时候,维护人员下班堵在路上或者在地铁里无线上网卡都没有信号的时候,或者目标企业在举行大规模活动流量飙升的时候,等等。
这里是纯粹的攻击性行为,因此不提供代码,也不做深入介绍。
2.2 来自P2P网络的攻击
前面的攻击方式,多多少少都需要一些傀儡机,即使是HTTP Flood也需要搜索大量的匿名代理。如果有一种攻击,只需要发出一些指令,就有机器自动上来执行,才是完美的方案。这种攻击已经出现了,那就是来自P2P网络的攻击。
大家都知道,互联网上的P2P用户和流量都是一个极为庞大的数字。如果他们都去一个指定的地方下载数据,成千上万的真实IP地址连接过来,没有哪个设备能够支撑住。拿BT下载来说,伪造一些热门视频的种子,发布到搜索引擎,就足以骗到许多用户和流量了,但是这只是基础攻击。
高级的P2P攻击,是直接欺骗资源管理服务器。如迅雷客户端会把自己发现的资源上传到资源管理服务器,然后推送给其它需要下载相同资源的用户,这样,一个链接就发布出去。通过协议逆向,攻击者伪造出大批量的热门资源信息通过资源管理中心分发出去,瞬间就可以传遍整个P2P网络。更为恐怖的是,这种攻击是无法停止的,即使是攻击者自身也无法停止,攻击一直持续到P2P官方发现问题更新服务器且下载用户重启下载软件为止。
参考文章:《防Ddos文献之应对篇-DDoS防御方案》《网站DDOS攻击防护实战》
原文文章:《云盾防Ddos文献之敌情篇 ——DDoS攻击原理》作者:魏兴国–阿里巴巴集团安全高级专家
link:http://dev.aliyun.com/read.php?tid=24追问谢谢
追答不谢
热心网友
时间:2022-04-24 07:22
DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。 这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。你理解了DoS攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
危害:
被DDoS攻击时的现象 ;被攻击主机上有大量等待的TCP连接 ;网络中充斥着大量的无用的数据包,源地址为假 ;制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯 ;
利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求 ;严重时会造成系统死机;
热心网友
时间:2022-04-24 09:14
