分布式拒绝服务攻击与防范手段

一、从DoS到DDoS

拒绝服务(Denial of Service,DoS)由来已久。自从有了Internet,就有了拒绝服务式攻击方法。由于过去没有大型网站或机构受到过这种攻击,其劣性并不突出。直到2000年初,Yahoo!、eBay及Amazon等遭其暗算,它才露出庐山真面目。

在典型的Internet连接中,用户访问一个网站时,客户端会先向网站服务器发送一条信息要求建立连接,只有当服务器确认该请求合法,并将访问许可返回给用户时,用户才可对该服务器进行访问。DoS攻击的方法是,恶意用户会向服务器发送多个连接请求,使其呈满负载状态,并且将所有请求的返回地址进行伪造。这样,在服务器企图将认证结构返回给用户时,它将无法找到这些用户。此时,服务器只好等待,有时可能会等上1分钟才关闭此连接。可怕的是,在服务器关闭连接后,攻击者又会发送新的一批虚假请求,重复上一次过程,直到服务器因过载而拒绝提供服务。这些攻击事件并没有入侵网站,也没有篡改或是破坏资料,只是利用程序在瞬间产生大量的网络封包,让对方的网络及主机瘫痪,使正常使用者无法获得主机及时的服务。

然而,年初攻击Yahoo!的元凶还不是简单的DoS,虽然与DoS攻击一样,也是向被攻击目标连续发送大量伪造的IP包,以导致服务器不能为合法用户提供正常服务(比如此次给Yahoo!站点路由器发出的无效请求高达1GB/s),但是它区别于DoS的“绝妙”之处在于: 动员了大量“无辜”的计算机向目标共同发起进攻,采用了分布式拒绝服务(Distributed Denial of Service,DDoS)攻击手段。

DDoS把DoS又向前发展了一步,DDoS的行为更为自动化,它可以方便地协调从多台计算机上启动的进程,让一股DoS洪流冲击网络,并使网络因过载而崩溃。确切地讲,DDoS攻击是指在不同的高带宽主机上安装大量的DoS服务程序,它们等待来自中央客户端的命令,中央客户端随后通知全体受控服务程序,并批示它们对一个特定目标发送尽可能多的网络访问请求。作为攻击者,必须通过telnet连接到他想利用的每一台远程主机上,并以用户身份登录,然后手工输入命令,启动每一台主机向攻击目标发送海量信息流。

DDoS与DoS的最大区别是人多力量大。原来的DoS是一台机器攻击目标,现在的DDoS是很多台机器利用他们的高带宽攻击目标,更容易将目标网站攻掉。除此之外,DDoS攻击方式较为自动化,攻击者可以把他的程序安装到网络中的多台机器上,所采用的攻击工具致使被攻击对象难以察觉,只要攻击者发下攻击命令,这些机器便发起进攻。

二、DoS的攻击方法

对DoS而言,其攻击方式很多,主要使用的攻击有3种,分别是TCP-SYN flood、UDP flood和ICMP flood。

当用户进行一次标准的TCP连接时,会有一个3次握手过程。首先是请求服务方发送一个SYN消息,服务方收到SYN后,会向请求方回送一个SYN-ACK表示确认,当请求方收到SYN-ACK后,再次向服务方发送一个ACK消息,这样,一次TCP连接建立成功。但是TCP-SYN flood在实现过程中只进行前2个步骤:当服务方收到请求方的SYN-ACK确认消息后,请求方由于采用源地址欺骗等手段使得服务方收不到ACK回应,于是,服务方会在一定时间处于等待接收请求方ACK消息的状态。对于某台服务器来说,可用的TCP连接是有限的,如果恶意攻击方快速连续地发送此类连接请求,该服务器可用的TCP连接队列将很快被阻塞,系统可用资源急剧减少,网络可用带宽迅速缩小,长此下去,网络将无法向用户提供正常的服务。

由于UDP(用户数据包协议)在网络中的应用比较广泛,基于UDP攻击种类也较多。如今在Internet上提供WWW和Mail等服务设备通常是使用Unix的服务器,它们默认一些被恶意利用的UDP服务,如echo和chargen服务,它会显示接收到的每一个数据包,而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符,如果恶意攻击者将这2个UDP服务互指,则网络可用带宽将很快耗尽。

三、DDoS的攻击方法

目前,我们知道的对网络进行DDoS攻击所使用的工具有:Trinoo、Tribe Flood Network(TFN)、TFN2k和Stacheldraht等。它们的攻击思路基本相近。

1.Trinoo:它是基于UDP flood的攻击软件,它向被攻击目标主机的随机端口发出全零的4字节UDP包,在处理这些超出其处理能力垃圾数据包的过程中,被攻击主机的网络性能不断下降,直到不能提供正常服务,乃至崩溃。它对IP地址不做假,此攻击方法用得不多。

2.TFN:它是利用ICMP给代理服务器下命令,其来源可以做假。它可以发动SYN flood、UDP flood、ICMP flood及Smurf(利用多台服务器发出海量数据包,实施DoS攻击)等攻击。TFN的升级版TFN2k的特点是:对命令数据包加密、更难查询命令内容、命令来源可以做假,还有一个后门控制代理服务器。

3.Stacheldraht:对命令来源做假,而且可以防范一些路由器用RFC2267过滤。若检查出有过滤现象,它将只做假IP地址最后8位,从而让用户无法了解到底是哪几个网段的哪台机器被攻击。此外,它还具有自动更新功能,可随软件的更新而自动更新。

值得一提的是,像Trinoo和TFN等攻击软件都是可以从网上随意找到的公开软件,所以任何一个上网者都可能构成网络安全的潜在威胁。面对凶多吉少的DDoS险滩,我们该如何对付随时出现的黑客攻击呢?杨宁先生说,那要看用户处于何种状态,是正身处被攻击的困围中,还是准备事先预防。

时间: 2024-11-28 17:45:23

分布式拒绝服务攻击与防范手段的相关文章

[安全]DDOS攻击[分布式拒绝服务攻击]

分布式拒绝服务(Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力.通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上.代理程序收到指令时就发动攻击.利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行. 工作原理 拒绝服务攻击即攻击者想办

巧妙的化解分布式拒绝服务攻击(DDoS)

对于在线企业特别是电信运营商数据中心网络来说,分布式拒绝服务攻击(DDoS)的出现无疑是一场灾难,对于它的有效防护一直是网络应用中的一个难题. 一直以来DDoS是人们非常头疼的一个问题 ,它是一种很难用传统办法去防护的攻击手段,除了服务器外,带宽也是它的攻击目标.和交通堵塞一样,DDoS已经成为一种网络公害. 传统防护:有心无力 防止DDoS攻击,比较常用的有黑洞法.设置路由访问控制列表过滤和串联防火墙安全设备等几种 黑洞法:具体做法是当服务器遭受攻击之后,在网络当中设置访问控制,将所有的流量放

10种对于分布式拒绝服务攻击的应急解决方法 《转》

10种对于分布式拒绝服务攻击的应急解决方法来源:NCOD全球华人信息安全及黑客技术交流同盟 http://www.ncod.net翻译:广州寒路 8/28/2000     网络中的安全弱点层出不穷,它们往往被黑客们通过开发成工具(拒绝服务攻击)用来危急我们的主机系统,不停的应付这些安全问题是一件非常复杂并耗力的工作.在很长的一段时间里,几乎没有什么简单易行的方法来较好的防止这些攻击,人们只好靠加强事先的防范以及更严密的安全措施来加固系统.这篇文章很适用于那些经常为自己的网站担忧却又没有什么更好

该如何抵御一场无情的分布式拒绝服务攻击(DDoS)

2015年5月17日星期天,网络犯罪分子向我所在的企业--HotSchedules公司,负责为来自餐厅.医院以及零售行业的超过200万员工提供云服务--发动了一场恶毒的分布式拒绝服务攻击.从星期天夜间到星期二下午,这些恶意人士在长达45个小时内阻挠着用户正常检查并管理自己的工作规划--而且从未透露其攻击动机. 虽然这对于每一位CEO来讲都是一场令人难忘的噩梦,但对我个人而言这却成了一次宝贵的经验并值得为公司的整场顽强对抗感到自豪.HotSchedules在过去16年当中曾成功化解过多次网络攻击,

巧妙的化解DDoS分布式拒绝服务攻击_网络冲浪

对于在线企业特别是电信运营商数据中心网络来说,分布式拒绝服务攻击(DDoS)的出现无疑是一场灾难,对于它的有效防护一直是网络应用中的一个难题. 一直以来DDoS是人们非常头疼的一个问题 ,它是一种很难用传统办法去防护的攻击手段,除了服务器外,带宽也是它的攻击目标.和交通堵塞一样,DDoS已经成为一种网络公害. 传统防护:有心无力 防止DDoS攻击,比较常用的有黑洞法.设置路由访问控制列表过滤和串联防火墙安全设备等几种 黑洞法:具体做法是当服务器遭受攻击之后,在网络当中设置访问控制,将所有的流量放

用防火墙防止DDOS分布式拒绝服务攻击

DoS(Denial of Service拒绝服务)和DDoS(Distributed Denial of Service分布式拒绝服务)攻击是大型网站和网络服务器的安全威胁之一.2000年2月,Yahoo.亚马逊.CNN被攻击等事例,曾被刻在重大安全事件的历史中.SYN Flood由于其攻击效果好,已经成为目前最流行的DoS和DDoS攻击手段. SYN Flood利用TCP协议缺陷,发送了大量伪造的TCP连接请求,使得被攻击方资源耗尽,无法及时回应或处理正常的服务请求.一个正常的TCP连接需要

分布式拒绝服务攻击(DDoS)原理及防范(2)

下面是我在实验室中模拟的一次Syn Flood攻击的实际过程 这一个局域网环境,只有一台攻击机(PIII667/128/mandrake),被攻击的是一台Solaris 8.0 (spark)的主机,网络设备是Cisco的百兆交换机.这是在攻击并未进行之前,在Solaris上进行snoop的记录,snoop与tcpdump等网络监听工具一样,也是一个很好的网络抓包与分析的工具.可以看到攻击之前,目标主机上接到的基本上都是一些普通的网络包. --? -> (broadcast) ETHER Typ

分布式拒绝服务攻击(DDoS)原理

DoS的进犯方法有许多种,最根本的DoS进犯就是运用合理的效劳恳求来占用过多的效劳资源,从而使合法用户无法得到效劳的呼应. DDoS进犯手法是在传统的DoS进犯根底之上发生的一类进犯方法.单一的DoS进犯通常是选用一对一方法的,当进犯方针CPU速度低.内存小或许网络带宽小等等各项功能指标不高它的作用是显著的.跟着计算机与网络技能的开展,计算机的处置才干迅速增长,内存大大添加,一同也呈现了千兆级另外网络,这使得DoS进犯的艰难程度加大了 - 方对准歹意进犯包的"消化才干"加强了不少,例如

“拒绝服务攻击”卷土重来

前有"5·19" 后有车牌拍卖会 文/商报记者 张璟 本月18日举行的上海7月份车牌拍卖由于主办方提出存在网络原因而被中途取消.这一"偶发事件"引起了上海市民和社会各界的关注. 几天后,上海警方确认,车牌拍卖期间有针对私车额度拍卖系统的"拒绝服务攻击"行为存在,并对此事件介入调查. 现在,该事件已经过去了1个多星期,8000个私车投放额度也已经于上周日重拍,但这一意外所引发了诸多的猜测和争论却还在继续. 事件回放 竞拍者一场欢喜一场空 7月18日