一、简述
随着网络技术和网络应用的发展,网络安全问题显得越来越重要,已经被提到一个很高高的高度。DDOS攻击随着互联网的快速发展,也日益猖獗,从原来的的几兆、几十兆,到现在的几十G、几十T的流量攻击,形成了一个很大的利益链。DDOS攻击由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题之一,给网络社会带来了极大的危害。同时,拒绝服务攻击也将是未来信息战的重要手段之一。
1、什么是拒绝服务攻击(DOS)
DoS是DenialofService的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
2、什么是分布式拒绝服务攻击(DDOS)
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的消化能力加强了不少,例如你的攻击软件每秒钟可以发送3,个攻击包,但我的主机与网络带宽每秒钟可以处理10,个攻击包,这样一来攻击就不会产生什么效果。
这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。理解了DoS攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
分布式拒绝服务(DDoS
istributedDenialofService)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行
高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
3、被DDoS攻击时的现象
·被攻击主机上有大量等待的TCP连接
·网络中充斥着大量的无用的数据包,源地址为假
·制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯
·利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求
·严重时会造成系统死机
4、攻击运行原理
如图1.1DDOS攻击体系
如图1.1,一个比较完善的DDoS攻击体系分成四大部分,先来看一下最重要的第2和第3部分:它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别,对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。
一般情况下黑客不直接去控制攻击傀儡机,而要从控制傀儡机上中转一下,这就导致DDoS攻击难以追查。攻击者使用的傀儡机越多,他实际上提供给受害者的分析依据就越多。占领一台机器后,高水平的攻击者会首先做两件事:1.考虑如何留好后门(我以后还要回来的哦)!2.如何清理日志。这就是擦掉脚印,不让自己做的事被别人查觉到。有些攻击者会把日志全都删掉,但这样的话网管员发现日志都没了就会知道受到了攻击,虽然无法再从日志发现线索。狡猾的攻击者会挑有关自己的日志项目删掉,让人看不到异常的情况。这样可以长时间地利用傀儡机。在傀儡机上清理日志是一项庞大的工程,即使在有很好的日志清理工具的帮助下,黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净,通过它上面的线索找到了控制它的上一级计算机,这上级的计算机如果是黑客自己的机器,那么他就会被揪出来了。但如果这是控制用的傀儡机的话,黑客自身还是安全的。控制傀儡机的数目相对很少,一般一台就可以控制几十台攻击机,清理一台计算机的日志对黑客来讲就轻松多了,这样从控制机再找到黑客的可能性也小多了。
二、DDoS的类型及原理
DDOS攻击主要分为三类:流量型攻击;连接型攻击;特殊协议缺陷。
1、Iplood
攻击原理:此攻击以多个随机的源主机地址向目的主机发送超大量的随机或特定的IP包,造成目标主机不能处理其他正常的IP报文。
原理图:
2、IpFragFlood
攻击原理:攻击者构造的分片报文,但是不向接收方发送最后一个分片报文,导致接收方要为所有的分片报文分配内存空间,可由于最后一个分片报文永远不会达到,接收方的内存得不到及时的释放,当攻击者这种攻击的分片报文发送的足够多、足够快,很容易占满接收方内存,让接收方无内存资源处理正常的业务,从而达到攻击效果。
原理图:
3、IcmpFlood
攻击原理:icmpflood也就是pingflood,此攻击在短时间内向目的主机发送大量的ping的echo报文,主机不断响应,造成网络堵塞、主机资源耗尽。
原理图:
4、SynFlood
攻击原理:依据tcp建立连接的三次握手。此攻击以多个随机的源主机地址向目的主机发送syn包,而在收到目的主机的syn+ack包后并不回应,目的主机就为这些源主机建立大量的连接队列,由于没有收到ack一直维护这些连接队列,造成资源的大量消耗而不能向正常的请求提供服务。与之类似的攻击方式还有ackflood、s-ackflood、finflood、rstflood、tcpflood。
原理图:
5、UdpFlood
攻击原理:此攻击在短时间那模拟随机的源端口地址向随机的目的端口发送大量的udp包,造成目标主机不能处理其他udp的请求。
原理图:
6、Udp反射Flood
攻击原理:有时被保护服务器也有同外部服务器进行udp交互的需求,攻击者就会利用此交互对被保护服务器进行udp反射放大攻击。此攻击在短时间那冒充被攻击地址向外部公用的服务器发送大量的udp请求包,外部服务器收到虚假的udp请求就会回复大量的回应包给被攻击服务器地址,造成目标主机被保护服务器不能处理其他正常的交互流。
原理图
/p>
7、Ipscan
攻击原理:攻击者通过IP扫描可以迅速服务器网络情况及服务器主机信息,为后面的攻击做好准备。通过发送IP扫描探测包探测存在的服务器主机。
原理图:
8、Portscan
攻击原理:当一个源ip地址在规定的时间间隔内将tcpsyn包发送给一个目标地址的多个不同端口时,就是一次端口扫描,目的是扫描可用的服务,从而识别目标的服务。
原理图:
9、Smurf
攻击原理:攻击向一个子网的广播地址发送icmpecho包,并且将源地址设置为要攻击的子网中的地址,从而,子网中所有的主机都向被攻击的主机回应icmpreply包,使主机受到攻击。
原理图:
10、pingofdeath
攻击原理:根据tcp/ip的规范,一个包的长度最大为字节。攻击向一个目标地址发送icmpecho包的大于字节(这需要多个分片叠加才能做到),当主机重组这些分片发现包大于字节时,就会导致宕机。
原理图:
11、winNuke
攻击原理:攻击者先和目标主机建立连接(目标端口为),然后向目标主机发送目标端口为tcpurg位置1的包,这样就产生了netbios碎片重叠,导致运行windows的机器崩溃。
原理图:
12、tearofdrop
攻击原理:ip数据包在网络中传递时,数据包因为路径MTU会分为更小的分片,攻击者发送两片分片,第一个分片的偏移量为0,长度为N,第二个分片的偏移量小于N,目标主机在重组这些分片时,tcp/ip堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏,严重的机器重启。
原理图:
