關于冰盾 | 使用條款 | 網站地圖
 
全面解析DDOS攻擊
全面解析DDOS攻擊
作者:冰盾防火墻 網站:www.85236085.buzz 日期:2015-03-12
 
DDOS全名是Distribution Denial of service (分布式拒絕服務攻擊),很多DOS攻擊源一起攻擊某臺服務器就組成了DDOS攻擊,DDOS 最早可追述到1996年最初,在中國2002年開始頻繁出現,2003年已經初具規模.

 
DDoS攻擊概念

  DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使服務器無法處理合法用戶的指令。
  DDoS攻擊手段是在傳統的DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的,當被攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項性能指標不高,它的效果是明顯的。隨著計算機與網絡技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網絡,這使得DoS攻擊的困難程度加大了 - 目標對惡意攻擊包的"消化能力"加強了不少,例如你的攻擊軟件每秒鐘可以發送3,000個攻擊包,但我的主機與網絡帶寬每秒鐘可以處理10,000個攻擊包,這樣一來攻擊就不會產生什么效果。
  這時候分布式的拒絕服務攻擊手段(DDoS)就應運而生了。你理解了DoS攻擊的話,它的原理就很簡單。如果說計算機與網絡的處理能力加大了10倍,用一臺攻擊機來攻擊不再能起作用的話,攻擊者使用10臺攻擊機同時攻擊呢?用100臺呢?DDoS就是利用更多的傀儡機來發起進攻,以比從前更大的規模來進攻受害者。
  高速廣泛連接的網絡給大家帶來了方便,也為DDoS攻擊創造了
  極為有利的條件。在低速網絡時代時,黑客占領攻擊用的傀儡機時,總是會優先考慮離目標網絡距離近的機器,因為經過路由器的跳數少,效果好。而現在電信骨干節點之間的連接都是以G為級別的,大城市之間更可以達到2.5G的連接,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的傀儡機位置可以在分布在更大的范圍,選擇起來更靈活了。

 
DDOS的產生

  DDOS 最早可追述到1996年最初,在中國2002年開始頻繁出現,2003年已經初具規模。近幾年由于寬帶的普及,很多網站開始盈利,其中很多非法網站利潤巨大,造成同行之間互相攻擊,還有一部分人利用網絡攻擊來敲詐錢財。同時windows 平臺的漏洞大量的被公布, 流氓軟件,病毒,木馬大量充斥著網絡,有些技術的人可以很容易非法入侵控制大量的個人計算機來發起DDOS攻擊從中謀利,攻擊已經成為互聯網上的一種最直接,而且收入非常高利益的驅使攻擊已經演變成非常完善的產業鏈。通過在大流量網站的網頁里注入病毒木馬,木馬可以通過windows平臺的漏洞感染瀏覽網站的人,一旦中了木馬,這臺計算機就會被后臺操作的人控制,這臺計算機也就成了所謂的肉雞,每天都有人專門收集肉雞然后以幾毛到幾塊的一只的價格出售,因為利益需要攻擊的人就會購買,然后遙控這些肉雞攻擊服務器。

 
被DDoS攻擊時的現象

  被攻擊主機上有大量等待的TCP連接
  網絡中充斥著大量的無用的數據包,源地址為假
  制造高流量無用數據,造成網絡擁塞,使受害主機無法正常和外界通訊
  利用受害主機提供的服務或傳輸協議上的缺陷,反復高速的發出特定的服務請求,使受害主機無法及時處理所有正常請求
  嚴重時會造成系統死機
  
  大級別攻擊運行原

  一個比較完善的DDoS攻擊體系分成四大部分,先來看一下最重要的第2和第3部分:它們分別用做控制和實際發起攻擊。請注意控制機與攻擊機的區別,對第4部分的受害者來說,DDoS的實際攻擊包是從第3部分攻擊傀儡機上發出的,第2部分的控制機只發布命令而不參與實際的攻擊。對第2和第3部分計算機,黑客有控制權或者是部分的控制權,并把相應的DDoS程序上傳到這些平臺上,這些程序與正常的程序一樣運行并等待來自黑客的指令,通常它還會利用各種手段隱藏自己不被別人發現。在平時,這些傀儡機器并沒有什么異常,只是一旦黑客連接到它們進行控制,并發出指令的時候,攻擊傀儡機就成為害人者去發起攻擊了。
  有的朋友也許會問道:"為什么黑客不直接去控制攻擊傀儡機,而要從控制傀儡機上轉一下呢?"。這就是導致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說,肯定不愿意被捉到,而攻擊者使用的傀儡機越多,他實際上提供給受害者的分析依據就越多。在占領一臺機器后,高水平的攻擊者會首先做兩件事:1. 考慮如何留好后門!2. 如何清理日志。這就是擦掉腳印,不讓自己做的事被別人查覺到。比較不敬業的黑客會不管三七二十一把日志全都刪掉,但這樣的話網管員發現日志都沒了就會知道有人干了壞事了,頂多無法再從日志發現是誰干的而已。相反,真正的好手會挑有關自己的日志項目刪掉,讓人看不到異常的情況。這樣可以長時間地利用傀儡機。
  但是在第3部分攻擊傀儡機上清理日志實在是一項龐大的工程,即使在有很好的日志清理工具的幫助下,黑客也是對這個任務很頭痛的。這就導致了有些攻擊機弄得不是很干凈,通過它上面的線索找到了控制它的上一級計算機,這上級的計算機如果是黑客自己的機器,那么他就會被揪出來了。但如果這是控制用的傀儡機的話,黑客自身還是安全的??刂瓶軝C的數目相對很少,一般一臺就可以控制幾十臺攻擊機,清理一臺計算機的日志對黑客來講就輕松多了,這樣從控制機再找到黑客的可能性也大大降低。

 
黑客是如何組織一次DDoS攻擊的?

  這里用"組織"這個詞,是因為DDoS并不象入侵一臺主機那樣簡單。一般來說,黑客進行DDoS攻擊時會經過這樣的步驟:
  1. 搜集了解目標的情況 
  下列情況是黑客非常關心的情報: 
  被攻擊目標主機數目、地址情況
  目標主機的配置、性能
  目標的帶寬
  對于DDoS攻擊者來說,攻擊互聯網上的某個站點,如http://www.mytarget.com,有一個重點就是確定到底有多少臺主機在支持這個站點,一個大的網站可能有很多臺主機利用負載均衡技術提供同一個網站的www服務。以yahoo為例,一般會有下列地址都是提供http://www.yahoo.com 服務的: 
  66.218.71.87 
  66.218.71.88 
  66.218.71.89 
  66.218.71.80 
  66.218.71.81 
  66.218.71.83 
  66.218.71.84 
  66.218.71.86 
  如果要進行DDoS攻擊的話,應該攻擊哪一個地址呢?使66.218.71.87這臺機器癱掉,但其他的主機還是能向外提供www服務,所以想讓別人訪問不到http://www.yahoo.com 的話,要所有這些IP地址的機器都癱掉才行。在實際的應用中,一個IP地址往往還代表著數臺機器:網站維護者使用了四層或七層交換機來做負載均衡,把對一個IP地址的訪問以特定的算法分配到下屬的每個主機上去。這時對于DDoS攻擊者來說情況就更復雜了,他面對的任務可能是讓幾十臺主機的服務都不正常。
  所以說事先搜集情報對DDoS攻擊者來說是非常重要的,這關系到使用多少臺傀儡機才能達到效果的問題。簡單地考慮一下,在相同的條件下,攻擊同一站點的2臺主機需要2臺傀儡機的話,攻擊5臺主機可能就需要5臺以上的傀儡機。有人說做攻擊的傀儡機越多越好,不管你有多少臺主機我都用盡量多的傀儡機來攻就是了,反正傀儡機超過了時候效果更好。
  但在實際過程中,有很多黑客并不進行情報的搜集而直接進行DDoS的攻擊,這時候攻擊的盲目性就很大了,效果如何也要靠運氣。其實做黑客也象網管員一樣,是不能偷懶的。一件事做得好與壞,態度最重要,水平還在其次。
  2. 占領傀儡機 
  黑客最感興趣的是有下列情況的主機: 
  鏈路狀態好的主機
  性能好的主機
  安全管理水平差的主機
  這一部分實際上是使用了另一大類的攻擊手段:利用形攻擊。這是和DDoS并列的攻擊方式。簡單地說,就是占領和控制被攻擊的主機。取得最高的管理權限,或者至少得到一個有權限完成DDoS攻擊任務的帳號。對于一個DDoS攻擊者來說,準備好一定數量的傀儡機是一個必要的條件,下面說一下他是如何攻擊并占領它們的。
  首先,黑客做的工作一般是掃描,隨機地或者是有針對性地利用掃描器去發現互聯網上那些有漏洞的機器,象程序的溢出漏洞、cgi、Unicode、ftp、數據庫漏洞…(簡直舉不勝舉啊),都是黑客希望看到的掃描結果。隨后就是嘗試入侵了,具體的手段就不在這里多說了,感興趣的話網上有很多關于這些內容的文章。
  總之黑客現在占領了一臺傀儡機了!然后他做什么呢?除了上面說過留后門擦腳印這些基本工作之外,他會把DDoS攻擊用的程序上載過去,一般是利用ftp。在攻擊機上,會有一個DDoS的發包程序,黑客就是利用它來向受害目標發送惡意攻擊包的。
  3. 實際攻擊 
  經過前2個階段的精心準備之后,黑客就開始瞄準目標準備發射了。前面的準備做得好的話,實際攻擊過程反而是比較簡單的。就象圖示里的那樣,黑客登錄到做為控制臺的傀儡機,向所有的攻擊機發出命令:"預備~ ,瞄準~,開火!"。這時候埋伏在攻擊機中的DDoS攻擊程序就會響應控制臺的命令,一起向受害主機以高速度發送大量的數據包,導致它死機或是無法響應正常的請求。黑客一般會以遠遠超出受害方處理能力的速度進行攻擊,他們不會"憐香惜玉"。 
  老到的攻擊者一邊攻擊,還會用各種手段來監視攻擊的效果,在需要的時候進行一些調整。簡單些就是開個窗口不斷地ping目標主機,在能接到回應的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊。
  防范DDOS攻擊的工具軟件:CC v2.0 
  防范DDOS比較出色的防火墻:硬件有Cisco的Guard、Radware的DefensePro,綠盟的黑洞,傲盾軟件的傲盾防火墻。軟件有冰盾DDOS防火墻、8Signs Firewall等。

 
DDOS的主要幾個攻擊

  1.SYN變種攻擊
  發送偽造源IP的SYN數據包但是數據包不是64字節而是上千字節這種攻擊會造成一些防火墻處理錯誤鎖死,消耗服務器CPU內存的同時還會堵塞帶寬。
  2.TCP混亂數據包攻擊
  發送偽造源IP的 TCP數據包,TCP頭的TCP Flags 部分是混亂的可能是syn ,ack ,syn+ack ,syn+rst等等,會造成一些防火墻處理錯誤鎖死,消耗服務器CPU內存的同時還會堵塞帶寬。
  3.針對用UDP協議的攻擊
  很多聊天室,視頻音頻軟件,都是通過UDP數據包傳輸的,攻擊者針對分析要攻擊的網絡軟件協議,發送和正常數據一樣的數據包,這種攻擊非常難防護,一般防護墻通過攔截攻擊數據包的特征碼防護,但是這樣會造成正常的數據包也會被攔截,
  4.針對WEB Server的多連接攻擊
  通過控制大量肉雞同時連接訪問網站,造成網站無法處理癱瘓,這種攻擊和正常訪問網站是一樣的,只是瞬間訪問量增加幾十倍甚至上百倍,有些防火墻可以通過限制每個連接過來的IP連接數來防護,但是這樣會造成正常用戶稍微多打開幾次網站也會被封,
  5.針對WEB Server的變種攻擊
  通過控制大量肉雞同時連接訪問網站,一點連接建立就不斷開,一直發送發送一些特殊的GET訪問請求造成網站數據庫或者某些頁面耗費大量的CPU,這樣通過限制每個連接過來的IP連接數就失效了,因為每個肉雞可能只建立一個或者只建立少量的連接。這種攻擊非常難防護,后面給大家介紹防火墻的解決方案
  6. 針對WEB Server的變種攻擊
  通過控制大量肉雞同時連接網站端口,但是不發送GET請求而是亂七八糟的字符,大部分防火墻分析攻擊數據包前三個字節是GET字符然后來進行http協議的分析,這種攻擊,不發送GET請求就可以繞過防火墻到達服務器,一般服務器都是共享帶寬的,帶寬不會超過10M 所以大量的肉雞攻擊數據包就會把這臺服務器的共享帶寬堵塞造成服務器癱瘓,這種攻擊也非常難防護,因為如果只簡單的攔截客戶端發送過來沒有GET字符的數據包,會錯誤的封鎖很多正常的數據包造成正常用戶無法訪問,后面給大家介紹防火墻的解決方案
  7.針對游戲服務器的攻擊
  因為游戲服務器非常多,這里介紹最早也是影響最大的傳奇游戲,傳奇游戲分為登陸注冊端口7000,人物選擇端口7100,以及游戲運行端口7200,7300,7400等,因為游戲自己的協議設計的非常復雜,所以攻擊的種類也花樣倍出,大概有幾十種之多,而且還在不斷的發現新的攻擊種類,這里介紹目前最普遍的假人攻擊,假人攻擊是通過肉雞模擬游戲客戶端進行自動注冊、登陸、建立人物、進入游戲活動從數據協議層面模擬正常的游戲玩家,很難從游戲數據包來分析出哪些是攻擊哪些是正常玩家。
  以上介紹的幾種最常見的攻擊也是比較難防護的攻擊。一般基于包過濾的防火墻只能分析每個數據包,或者有限的分析數據連接建立的狀態,防護SYN,或者變種的SYN,ACK攻擊效果不錯,但是不能從根本上來分析tcp,udp協議,和針對應用層的協議,比如http,游戲協議,軟件視頻音頻協議,現在的新的攻擊越來越多的都是針對應用層協議漏洞,或者分析協議然后發送和正常數據包一樣的數據,或者干脆模擬正常的數據流,單從數據包層面,分析每個數據包里面有什么數據,根本沒辦法很好的防護新型的攻擊。
  SYN攻擊解析
  SYN攻擊屬于DOS攻擊的一種,它利用TCP協議缺陷,通過發送大量的半連接請求,耗費CPU和內存資源。TCP協議建立連接的時候需要雙方相互確認信息,來防止連接被偽造和精確控制整個數據傳輸過程數據完整有效。所以TCP協議采用三次握手建立一個連接。
  第一次握手:建立連接時,客戶端發送syn包到服務器,并進入SYN_SEND狀態,等待服務器確認; 
  第二次握手:服務器收到syn包,必須確認客戶的SYN 同時自己也發送一個SYN包 即SYN+ACK包,此時服務器進入SYN_RECV狀態; 
  第三次握手:客戶端收到服務器的SYN+ACK包,向服務器發送確認包ACK此包發送完畢,客戶端和服務器進入ESTABLISHED狀態,完成三次握手。
  SYN攻擊利用TCP協議三次握手的原理,大量發送偽造源IP的SYN包也就是偽造第一次握手數據包,服務器每接收到一個SYN包就會為這個連接信息分配核心內存并放入半連接隊列,如果短時間內接收到的SYN太多,半連接隊列就會溢出,操作系統會把這個連接信息丟棄造成不能連接,當攻擊的SYN包超過半連接隊列的最大值時,正常的客戶發送SYN數據包請求連接就會被服務器丟棄, 每種操作系統半連接隊列大小不一樣所以低于SYN攻擊的能力也不一樣。那么能不能把半連接隊列增加到足夠大來保證不會溢出呢,答案是不能,每種操作系統都有方法來調整TCP模塊的半連接隊列最大數,例如Win2000操作系統在注冊表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters里 TcpMaxHalfOpen,TcpMaxHalfOpenRetried ,Linux操作系統用變量tcp_max_syn_backlog來定義半連接隊列的最大數。但是每建立一個半連接資源就會耗費系統的核心內存,操作系統的核心內存是專門提供給系統內核使用的內存不能進行虛擬內存轉換是非常緊缺的資源windows2000 系統當物理內存是4g的時候 核心內存只有不到300M,系統所有核心模塊都要使用核心內存所以能給半連接隊列用的核心內存非常少。Windows 2003 默認安裝情況下,WEB SERVER的80端口每秒鐘接收5000個SYN數據包一分鐘后網站就打不開了。標準SYN數據包64字節 5000個等于 5000*64 *8(換算成bit)/1024=2500K也就是 2.5M帶寬 ,如此小的帶寬就可以讓服務器的端口癱瘓,由于攻擊包的源IP是偽造的很難追查到攻擊源,,所以這種攻擊非常多。
  

如何防止和減少DDOS攻擊的危害


  

  一、拒絕服務攻擊的發展
  從拒絕服務攻擊誕生到現在已經有了很多的發展,從最初的簡單Dos到現在的DdoS。那么什么是Dos和DdoS呢?DoS是一種利用單臺計算機的攻擊方式。而DdoS(Distributed Denial of Service,分布式拒絕服務)是一種基于DoS的特殊形式的拒絕服務攻擊,是一種分布、協作的大規模攻擊方式,主要瞄準比較大的站點,比如一些商業公司、搜索引擎和政府部門的站點。DdoS攻擊是利用一批受控制的機器向一臺機器發起攻擊,這樣來勢迅猛的攻擊令人難以防備,因此具有較大的破壞性。如果說以前網絡管理員對抗Dos可以采取過濾IP地址方法的話,那么面對當前DdoS眾多偽造出來的地址則顯得沒有辦法。所以說防范DdoS攻擊變得更加困難,如何采取措施有效的應對呢?下面我們從兩個方面進行介紹。
  二、預防為主保證安全
  DdoS攻擊是黑客最常用的攻擊手段,下面列出了對付它的一些常規方法。
 ?。?)定期掃描
  要定期掃描現有的網絡主節點,清查可能存在的安全漏洞,對新出現的漏洞及時進行清理。骨干節點的計算機因為具有較高的帶寬,是黑客利用的最佳位置,因此對這些主機本身加強主機安全是非常重要的。而且連接到網絡主節點的都是服務器級別的計算機,所以定期掃描漏洞就變得更加重要了。
 ?。?)在骨干節點配置防火墻
  防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發現受到攻擊的時候,可以將攻擊導向一些犧牲主機,這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的,或者是linux以及unix等漏洞少和天生防范攻擊優秀的系統。
 ?。?)用足夠的機器承受黑客攻擊
  這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失,或許未等用戶被攻死,黑客已無力支招兒了。不過此方法需要投入的資金比較多,平時大多數設備處于空閑狀態,和目前中小企業網絡實際運行情況不相符。
 ?。?)充分利用網絡設備保護網絡資源
  所謂網絡設備是指路由器、防火墻等負載均衡設備,它們可將網絡有效地保護起來。當網絡被攻擊時最先死掉的是路由器,但其他機器沒有死。死掉的路由器經重啟后會恢復正常,而且啟動起來還很快,沒有什么損失。若其他服務器死掉,其中的數據會丟失,而且重啟服務器又是一個漫長的過程。特別是一個公司使用了負載均衡設備,這樣當一臺路由器被攻擊死機時,另一臺將馬上工作。從而最大程度的削減了DdoS的攻擊。
 ?。?)過濾不必要的服務和端口
  過濾不必要的服務和端口,即在路由器上過濾假IP……只開放服務端口成為目前很多服務器的流行做法,例如WWW服務器那么只開放80而將其他所有端口關閉或在防火墻上做阻止策略。
 ?。?)檢查訪問者的來源
  使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真,如果是假的,它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶,很難查出它來自何處。因此,利用Unicast Reverse Path Forwarding可減少假IP地址的出現,有助于提高網絡安全性。
 ?。?)過濾所有RFC1918 IP地址
  RFC1918 IP地址是內部網的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它們不是某個網段的固定的IP地址,而是Internet內部保留的區域性IP地址,應該把它們過濾掉。此方法并不是過濾內部員工的訪問,而是將攻擊時偽造的大量虛假內部IP過濾,這樣也可以減輕DdoS的攻擊。
 ?。?)限制SYN/ICMP流量
  用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬,這樣,當出現大量的超過所限定的SYN/ICMP流量時,說明不是正常的網絡訪問,而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法,雖然目前該方法對于DdoS效果不太明顯了,不過仍然能夠起到一定的作用。
  三、尋找機會應對攻擊
  如果用戶正在遭受攻擊,他所能做的抵御工作將是非常有限的。因為在原本沒有準備好的情況下有大流量的災難性攻擊沖向用戶,很可能在用戶還沒回過神之際,網絡已經癱瘓。但是,用戶還是可以抓住機會尋求一線希望的。
 ?。?)檢查攻擊來源,通常黑客會通過很多假IP地址發起攻擊,此時,用戶若能夠分辨出哪些是真IP哪些是假IP地址,然后了解這些IP來自哪些網段,再找網網管理員將這些機器關閉,從而在第一時間消除攻擊。如果發現這些IP地址是來自外面的而不是公司內部的IP的話,可以采取臨時過濾的方法,將這些IP地址在服務器或路由器上過濾掉。
 ?。?)找出攻擊者所經過的路由,把攻擊屏蔽掉。若黑客從某些端口發動攻擊,用戶可把這些端口屏蔽掉,以阻止入侵。不過此方法對于公司網絡出口只有一個,而又遭受到來自外部的DdoS攻擊時不太奏效,畢竟將出口端口封閉后所有計算機都無法訪問internet了。
 ?。?)最后還有一種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時他無法完全消除入侵,但是過濾掉ICMP后可以有效的防止攻擊規模的升級,也可以在一定程度上降低攻擊的級別
 

 
最新內容:
通過修改注冊表減少DDoS攻擊[2015-03-12]
對付DDoS攻擊的絕招[2015-03-12]
DDOS攻擊及怎么抵抗DDOS攻擊?[2015-03-12]
如何利用多手段分析清理DDOS?[2015-03-12]
讓您的服務器遠離DDOS干擾[2015-03-12]
DDOS攻擊的解決方法[2015-03-12]
相關內容:
崇州断勾卡麻将技巧 70316761899742081313556480674649254756658571919972155319121750953591332885769699529563794328655640218 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();

合作伙伴: 黑基網 補天科技 威盾科技 站長下載 新飛金信 北京電信 ZOL應用下載
中華人民共和國增值電信業務經營許可證京ICP備14024464 公安備案號 京1081234 
版權所有©2003-2016 冰盾防火墻  www.85236085.buzz 法律聲明
服務熱線:(010)51661195
70316761899742081313556480674649254756658571919972155319121750953591332885769699529563794328655640218