摘要：分布式拒絕服務(wù)(DDoS)攻擊是目前黑客經(jīng)常采用而難以防范的攻擊手段。文章從DDoS的概念、攻擊原理、攻擊過(guò)程、攻擊方法四個(gè)方面對(duì)DDoS加以說(shuō)明。最后，介紹了一個(gè)局域網(wǎng)內(nèi)的攻擊實(shí)例。

關(guān)鍵詞：DDoS；TCP／IP；TCP連接洪水；TCP SYN洪水；Smurf攻擊

0引言

DDoS(分布式拒絕服務(wù))，其全稱(chēng)為Distributed Denial ofService，它是一種基于DoS(Denial 0f Service拒絕服務(wù))的分布和協(xié)作的大規(guī)模攻擊方式，即集中Internet網(wǎng)上眾多“傀儡”機(jī)同時(shí)向一個(gè)目標(biāo)發(fā)送數(shù)據(jù)包，以阻止人們正常訪問(wèn)受害點(diǎn)。這種攻擊方式主要用來(lái)攻擊域名服務(wù)器、路由器以及其他網(wǎng)絡(luò)服務(wù)。以前，DoS是僅憑一個(gè)攻擊者的力量，所以根本無(wú)法消耗盡一個(gè)大型主機(jī)的資源，而DDoS攻擊因?yàn)榧狭吮姸嘁呀?jīng)被攻陷的系統(tǒng)去攻擊同一個(gè)目標(biāo)，所以受害站點(diǎn)的資源就會(huì)很快被消耗殆盡。

1 DDoS的攻擊原理

DDoS的攻擊原理如圖1所示：

從圖1中可以看出，DDoS攻擊分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。

攻擊者 攻擊者所用的攻擊主控臺(tái)可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)，也可以是一個(gè)活動(dòng)的便攜機(jī)。攻擊者通過(guò)向主控端發(fā)送攻擊命令，操縱整個(gè)攻擊過(guò)程。有經(jīng)驗(yàn)的攻擊者會(huì)一邊攻擊，一邊用各種手段來(lái)監(jiān)視攻擊的效果，以便在需要的時(shí)候進(jìn)行一些調(diào)整。簡(jiǎn)單的監(jiān)視方法就是不斷地ping目標(biāo)主機(jī)。

主控端 主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制著大量的代理主機(jī)。主控機(jī)被安裝了特定的程序，因此可以接受攻擊者發(fā)來(lái)的特殊指令，并且可以把這些命令發(fā)送到代理機(jī)上。主控機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。

代理端 代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們接受和運(yùn)行主控機(jī)發(fā)來(lái)的命令，從而運(yùn)行攻擊者程序來(lái)發(fā)動(dòng)攻擊。代理機(jī)直接向受害者發(fā)送攻擊命令。

由于攻擊者在幕后操縱，所以在攻擊時(shí)不會(huì)受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。

2 DDOS攻擊過(guò)程

DDoS攻擊的實(shí)質(zhì)是：入侵者利用了Intemet本身的弱點(diǎn)及Intemet總體上的不安全性，控制Intemet網(wǎng)上的主機(jī)作為主控端和代理端來(lái)發(fā)動(dòng)攻擊。具體過(guò)程如下：

(1)入侵者先攻破一些安全性較差的機(jī)器作為控制點(diǎn)主機(jī)。安全性較差指：所用操作系統(tǒng)有Bug，但還未及時(shí)運(yùn)行補(bǔ)丁程序或進(jìn)行系統(tǒng)升級(jí)。根據(jù)攻擊類(lèi)型的不同，入侵者可能需要通過(guò)盜用超級(jí)用戶口令，或使用raw socket等不同的途徑。但大多數(shù)的攻擊程序只需要有一般用戶的權(quán)限就足夠了。

(2)在被入侵主機(jī)上完成下面三項(xiàng)任務(wù)：

①在入侵主機(jī)上安裝后門(mén)程序，以便下次入侵；安裝攻擊程序，用于等待入侵者的命令。

②隱藏自己的身份和隱藏運(yùn)行在這些機(jī)器中的程序，除去作案的痕跡。例如，替換進(jìn)程查看工具(如ps)，使自己的程序不顯示出來(lái)；替換其他用戶管理工具，使其他的超級(jí)用戶不發(fā)現(xiàn)自己；刪除自己在系統(tǒng)日志中的部分記錄等等。

③記錄下被攻破主機(jī)的地址。

以上三步都是自動(dòng)、高速完成的，被攻擊的系統(tǒng)的用戶是不會(huì)察覺(jué)的。

重復(fù)執(zhí)行以上步驟，入侵者便會(huì)控制越來(lái)越多的機(jī)器，并且使自己遠(yuǎn)離被攻擊的主機(jī)，進(jìn)而達(dá)到隱藏自己的目的。

(3)發(fā)動(dòng)攻擊。入侵者運(yùn)行—個(gè)簡(jiǎn)單命令，一層一層發(fā)送命令到所有主控機(jī)和代理機(jī)E，讓這些機(jī)器一齊向目標(biāo)機(jī)傳送大量無(wú)用的數(shù)據(jù)包，就在這樣的“炮火”下，攻擊目標(biāo)的網(wǎng)絡(luò)帶寬被占滿，路由器的處理能力被耗盡，從而無(wú)法響應(yīng)正常用戶的訪問(wèn)請(qǐng)求。當(dāng)入侵者想停止攻擊時(shí)，只需發(fā)送另外一條簡(jiǎn)單的命令即可。

3 DDOS攻擊的方法

通常，DDoS攻擊的目標(biāo)是網(wǎng)絡(luò)的TCP／IP協(xié)議的內(nèi)層結(jié)構(gòu)，其攻擊方式可分為以下三種：第一種是利用TCP／IP協(xié)議的漏洞的攻擊；第二種是利用給定的TCP／IP協(xié)議棧軟件的弱點(diǎn)的攻擊；第三種是不斷嘗試的野蠻攻擊。

3．1破壞TCP／IP協(xié)議來(lái)進(jìn)行攻擊

這種方式最典型的例子就是Ping of Death攻擊，攻擊者設(shè)計(jì)一個(gè)超過(guò)IP標(biāo)準(zhǔn)的最大長(zhǎng)度－65535個(gè)字節(jié)的IP數(shù)據(jù)包發(fā)向被攻擊主機(jī)，當(dāng)這個(gè)“浮腫的”數(shù)據(jù)包到達(dá)時(shí)，被攻擊主機(jī)就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP／IP堆棧崩潰，致使主機(jī)死機(jī)。

另外一個(gè)例子是Teardrop攻擊。一個(gè)數(shù)據(jù)包從互聯(lián)網(wǎng)的發(fā)送端到達(dá)目的端的過(guò)程中，也許會(huì)被拆分成更小的數(shù)據(jù)報(bào)。每一個(gè)數(shù)據(jù)報(bào)都擁有最初的IP數(shù)據(jù)報(bào)的報(bào)頭，同時(shí)還用一個(gè)偏移字節(jié)來(lái)標(biāo)示它擁有原始數(shù)據(jù)包中的哪些字節(jié)，通過(guò)這些信息，一個(gè)個(gè)被正常分割的數(shù)據(jù)包能夠在目的地被重新組裝起來(lái)，并且網(wǎng)絡(luò)也能夠正常運(yùn)轉(zhuǎn)而不被中斷。當(dāng)一次Teardrop攻擊開(kāi)始時(shí)，被攻擊的主機(jī)將受到擁有重疊的偏移字段的IP數(shù)據(jù)報(bào)的“轟炸”。如果被攻擊的主機(jī)或路由器不能丟棄這些數(shù)據(jù)報(bào)，并且企圖重組它們，那么很快就會(huì)陷入癱瘓。

3．2利用TCP／IP協(xié)議本身的漏洞閉來(lái)進(jìn)行攻擊

最流行的是SYN攻擊。SYN工作的原理就是利用TCP協(xié)議的“三次握手”過(guò)程進(jìn)行攻擊。如果主機(jī)A要和主機(jī)B建立TCPflP連接，正常的連接過(guò)程如圖2所示：

(1)主機(jī)A發(fā)送一個(gè)TCP—SYN同步數(shù)據(jù)包給主機(jī)B；

(2)主機(jī)B發(fā)送一個(gè)TCP--ACK應(yīng)答數(shù)據(jù)包給主機(jī)A；

(3)主機(jī)A用一個(gè)ACK應(yīng)答數(shù)據(jù)包確認(rèn)收到應(yīng)答，握手成功，開(kāi)始同步運(yùn)行。

SYN攻擊時(shí)，攻擊者用許多TCP—SYN數(shù)據(jù)包發(fā)向被攻擊主機(jī)，每個(gè)SYN數(shù)據(jù)包迫使目標(biāo)主機(jī)產(chǎn)生一個(gè)SYN--ACK應(yīng)答數(shù)據(jù)包，然后等待對(duì)應(yīng)的ACK應(yīng)答。這很快就會(huì)導(dǎo)致過(guò)量的SYN--ACK一個(gè)接一個(gè)地堆積在緩存隊(duì)列里。一旦緩存隊(duì)列沒(méi)有空閑，系統(tǒng)就會(huì)停止應(yīng)答其它的SYN請(qǐng)求。

如果SYN攻擊中包括了擁有錯(cuò)誤IP源地址的SYN數(shù)據(jù)包，情況就會(huì)變得更糟。

我們不妨假設(shè)主機(jī)A在向主機(jī)B發(fā)送了TCP—SYN報(bào)文后突然死機(jī)或掉線，那么B在發(fā)出SYN—ACK應(yīng)答報(bào)文后就無(wú)法收到A的ACK報(bào)文，則第三次握手無(wú)法完成。在這種情況下，主機(jī)B一般會(huì)再次發(fā)送SYN—ACK給A，并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長(zhǎng)度我們稱(chēng)為SYNTimeout，一般來(lái)說(shuō)這個(gè)時(shí)間大約為30秒～2分鐘。如果有一個(gè)惡意的攻擊者發(fā)送大量擁有錯(cuò)誤IP源地址的TCP—SYN數(shù)據(jù)包，接收端將為了維護(hù)一個(gè)非常大的半連接列表將要消耗非常多的資源。這數(shù)以萬(wàn)計(jì)的半連接，即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN—ACK的重試。實(shí)際上，如果接收端的TCP／IP棧不夠強(qiáng)大，最后的結(jié)果往往是因?yàn)槎褩Ｒ绯龆瓜到y(tǒng)崩潰；即使接收端的系統(tǒng)足夠強(qiáng)大，也將因忙于處理攻擊者偽造的TCP連接請(qǐng)求而無(wú)暇處理客戶的正常請(qǐng)求(畢竟客戶端的正常請(qǐng)求比率非常小)。

更具有攻擊力的是與SYN攻擊相似的Land攻擊，其TCP—SYN數(shù)據(jù)包帶有—個(gè)偽裝的IP地址，使數(shù)據(jù)包被識(shí)別為來(lái)自被攻擊主機(jī)自己所在的網(wǎng)絡(luò)內(nèi)部，這使得問(wèn)題更加嚴(yán)重。

3．3 Smurf攻擊和用戶數(shù)據(jù)報(bào)文協(xié)議攻擊

Smurf是一種簡(jiǎn)單有效的DDoS攻擊技術(shù)，它利用了ICMP(Intemet Control Message Protocol Intemet控制信息協(xié)議)。ICMP在Intemet上用于錯(cuò)誤處理和傳遞控制信息。它的功能之一是與主機(jī)聯(lián)系，通過(guò)發(fā)送一個(gè)“回音請(qǐng)求”(echo request)信息包檢測(cè)主機(jī)是否“活著”。最普通的ping程序就使用了這個(gè)功能。Smuff攻擊的原理是，攻擊者通過(guò)使用竊取來(lái)的被攻擊者的一個(gè)賬號(hào)，進(jìn)而遠(yuǎn)程登錄被攻擊主機(jī)，然后連續(xù)ping一個(gè)或多個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，從而導(dǎo)致許多計(jì)算機(jī)響應(yīng)被攻擊者，這樣，被攻擊者將很快被極大數(shù)量的響應(yīng)信息淹沒(méi)。對(duì)這個(gè)偽造信息包做出響應(yīng)的計(jì)算機(jī)網(wǎng)絡(luò)就成為攻擊者不知情的同謀。

3．4采用UDP的攻擊

攻擊者偽造出一個(gè)請(qǐng)求，將一個(gè)系統(tǒng)的UDP開(kāi)啟測(cè)試服務(wù)程序與另一個(gè)系統(tǒng)的UDP應(yīng)答程序連在一起。結(jié)果是，由UDP開(kāi)啟測(cè)試服務(wù)程序偽隨機(jī)產(chǎn)生的字符在兩個(gè)系統(tǒng)間不停地被反射，使得合法應(yīng)用程序的帶寬要求得不到滿足。

3．5反彈型DDoS

其原理是利用反彈(Reflector)服務(wù)器，例如：日常見(jiàn)到的www服務(wù)器、DNS服務(wù)器和路由服務(wù)器等都是反彈服務(wù)器。攻擊者就是利用反彈服務(wù)器產(chǎn)生的數(shù)據(jù)報(bào)來(lái)攻擊目標(biāo)主機(jī)。

3．6新型DDoS

這種攻擊是把帶有指向攻擊目標(biāo)返回地址的請(qǐng)求發(fā)給DNS(域名服務(wù)器)。這樣，DNS服務(wù)器就會(huì)成為傀儡機(jī)對(duì)目標(biāo)機(jī)器進(jìn)行直接攻擊。其攻擊比以前更加強(qiáng)大并且更難制止。據(jù)VeriSign公司透露，從2005年12月底開(kāi)始的不到兩個(gè)月的時(shí)間里，就有1500個(gè)獨(dú)立的II'地址受到這種方法的攻擊。

4一次DDOS攻擊的實(shí)際過(guò)程

這是一個(gè)局域網(wǎng)環(huán)境，只有一臺(tái)攻擊機(jī)(AMDBarton2500+／512／English Windows xp Professional)，被攻擊的是一臺(tái)(P41．6／256／Windows Server 2003，Enterprise)主機(jī)，兩臺(tái)機(jī)器用百兆網(wǎng)卡直接連接。所使用的攻擊軟件為：攻擊方Portfuck 1．Ob2 Private Build、阿拉丁UDP攻擊器2．1；被攻擊方采用Sniffer Portable 4．70網(wǎng)絡(luò)監(jiān)聽(tīng)工具監(jiān)聽(tīng)。

Portfuck是“TCP連接洪水”工具?！癟CP連接洪水”比我們上面介紹的“TCP SYN洪水”DDoS攻擊高一個(gè)檔次，而且它沒(méi)有什么簽名特征能讓人們?cè)诰W(wǎng)絡(luò)邊境上濾掉它們。

當(dāng)單獨(dú)使用Portfuck進(jìn)行攻擊時(shí)，CPU占用率立即升至100％，但當(dāng)在攻擊方使用Ping命令時(shí)，并沒(méi)有發(fā)現(xiàn)丟包現(xiàn)象。接著開(kāi)啟阿拉丁UDP攻擊器，并在攻擊方使用Ping命令持續(xù)觀察。

4．1攻擊方使用Ping命令截獲部分?jǐn)?shù)據(jù)

Pinging 1 92．1 68．0．2 with 32 bytes 0f data：

Reply from 1 92．1 68．0．2：bytes=32 time

Reply from 1 92．1 68．0．2：bytes=32 time=5ms TTL=1 28

Reply from 192．168．0．2：bytes=32 time=15ms TTL=128

Request timed out．

Request timed out．

Reply from 192．168．0．2：bytes=32 time：=7ms TTL．\"=128

Reply from 192．168．0．2：bytes=32 time：=8ms 1_rL=128

……

Reply from 192．168．0．2：bytes=32 time=1ms TTL．\"=128

Request timed out．

Reply from 192．160．2：bytes=32 time=4ms TTL-\"=128

Reply from 192．168．0．2：bytes=32 time=4ms TTL，\"=128

Reply from 192．160．2：bytes=32 time：=1ms TTL-\"=128

……

Ping statistics for 1 92．1 60．2：

Packets：Sent=1 20，Received=1 1 7，Lost=3(2％loss)，

Approximate round trip times in milti-seconds：

Minimum=0ms，Maximum=1 5ms，Average=3ms

ControI-C

4．2被攻擊方采用Sniffer Portable 4．70監(jiān)聽(tīng)到的部分?jǐn)?shù)據(jù)

圖3所示為被攻擊方采用網(wǎng)絡(luò)監(jiān)聽(tīng)工具Sniffer portable

4．7所得到的部分結(jié)果。

此時(shí)被攻擊方的工作已出現(xiàn)明顯的延遲，作者試著打開(kāi)一個(gè)Word文檔，延時(shí)就有1分半鐘。

分析上述現(xiàn)象：

首先，通過(guò)Ping命令，發(fā)現(xiàn)了較為嚴(yán)重(2％)的丟包現(xiàn)象。

其次，Ping命令出現(xiàn)了較長(zhǎng)時(shí)間的延遲(Maximum=15ms，Avcrage=3ms)，而且目標(biāo)主機(jī)的資源受到了很大的消耗。

這次攻擊僅僅是由一臺(tái)主機(jī)發(fā)起的，從中可以看出DDoS攻擊的威力之大。

5結(jié)束語(yǔ)

目前，對(duì)DDoS攻擊，還沒(méi)有非常有效的解決辦法，最佳的手段就是防患于未然。

第一，以預(yù)防為主，通過(guò)及時(shí)了解有關(guān)操作系統(tǒng)的安全漏洞以及相應(yīng)的安全措施，及時(shí)安裝補(bǔ)丁程序并注意定期升級(jí)系統(tǒng)軟件，定期使用漏洞掃描軟件檢查內(nèi)部網(wǎng)絡(luò)，過(guò)濾不必要的服務(wù)和端口，過(guò)濾所有RFCl918 IP地址等方法保證一般的外圍主機(jī)和服務(wù)器的安全。

第二，提高硬件設(shè)備的性能，包括升級(jí)主機(jī)服務(wù)器、采用高性能網(wǎng)絡(luò)設(shè)備和保證充足的網(wǎng)絡(luò)帶寬。

第三，設(shè)置好內(nèi)部的網(wǎng)絡(luò)設(shè)備Ⅲ，主要是路由器和防火墻，要保證這些設(shè)備本身的安全，并對(duì)這些設(shè)備進(jìn)行正確配置，使得進(jìn)出防火墻的數(shù)據(jù)都經(jīng)過(guò)嚴(yán)格過(guò)濾。

即便如此，DDoS攻擊也只能被減弱，無(wú)法被徹底消除。

(注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。)