详解DDoS攻击技术的方法 续

安全 黑客攻防
在以前的文章中,我们已经向大家介绍了DDoS攻击技术方法的部分内容,本文将会继续和大家分享,希望大家有所收获。

TCP/IP协议中的漏洞

DDoS攻击模式中比较古老而有效的是同步攻击。同步的工作是用来在两个互联网应用之通过协议建立握手。它的实现方法是通过一个应用程序发送一个TCP SYN(同步)数据包到另一个程序来启动会话过程。对应的应用程序将返回一个TCP SYN-ACK(同步确认)包;原始程序接下来就利用个ACK(确认)响应。一旦程序间建立了会话过程,就可以实现协同工作了。

同步攻击的方式是发送大量TCP SYN数据包。每个SYN数据包都会迫使目标服务器产生一个SYN-ACK响应,并等待合适的应答。这样很快就导致在SYN-ACK的背后都积压一堆其他注册的队列。当积压队列爆满,系统就将停止确认收到SYN请求。

如果同步攻击发送的同步数据包中包含了错误的网络源IP地址的话,攻击的效果就会更好。在这种情况下,由于SYN-ACK发送出去后,ACK不再返回。通常情况下,迅速满溢的积压队列就会将合法程序发送的SYN请求结束。

内地攻击就是采用欺骗同步数据包模式攻击的新变种,它可以将网络地址伪装成为来自网络内部的情况。现在,同步攻击针对的似乎主要是防火墙,给管理者制造麻烦。

同样,大部分最新的操作系统和防火墙都可以防御同步攻击。这里有一种简单的方法,可以对防火墙进行设置,以防止所有包含已知错误源网络IP地址的传入数据包。该列表中包含了下列仅在内部使用的保留网络IP地址:10.0.0.0到10.255.255.255,127.0.0.0到127.255.255.255,172.16.0.0到172.31.255.255以及192.168.0.0到192.168.255.255。

但是,如果可以方便地直接摧毁系统,还为什么要担心偷偷摸摸躲在窗后的敌人呢?地址欺骗攻击以及利用用户数据报协议(UDP)过度使用的洪水攻击就属于这样的情况。

在地址欺骗攻击中,攻击者会向路由器发送过量的网际消息控制协议(ICMP) 回送请求数据包,这是一种特殊的ping包。每个数据包的目的网络IP地址也是网络中的广播地址,这会导致路由器将ICMP数据包广播给网络中的所有主机。不用说,在一张大型网络中,这将迅速导致出现大量数据传输堵塞的情况。此外,类似内地攻击,如果黑客将两种模式结合到一起的话,事情就会变得更糟。

防范地址欺骗攻击的最简单方法就是关闭路由器或者交换机的地址广播功能,或者在防火墙中进行设置拒绝ICMP回送请求数据包。管理员还可以对服务器进行设置,这样的话,在遇到发送给广播网络IP地址的ICMP数据包时,就不会进行响应。由于很少有应用需要网络IP地址广播功能,所以这些调整不会对网络的正常运行带来影响。

对于采用UDP洪水模式的DDoS攻击来说,就不是那么容易处理了。原因很简单,类似域名系统(DNS)和简单网络管理协议(SNMP),很多应用都需要UDP协议的支持。在UDP洪水攻击中,攻击者通过欺骗手段连接到系统的UDP 字符发生器服务上,在接受到数据包后,字符发生器将会针对另一台系统发送回送服务包。结果就是,系统之间来自字符发生器的半随机字符泛滥,导致带宽迅速被充满,常规应用的使用受到了影响。

防范UDP攻击的一种方法是禁用或者过滤所有针对主机的UDP服务请求。只要容许被服务型的UDP请求,需要使用UDP或作为备份数据传输协议的普通应用,将可以继续正常工作。

暴力攻击

看起来,有这些多种方法都可以用来阻止DDoS攻击,因此,有人可能会认为这不会比垃圾邮件更难处理。但可惜的是,这种想法是完全错误的。在任何心存不满的人都可以纠集从数百到数万台计算机对网站进行DDoS攻击的时间,防范工作将会是非常困难的。他们所要做的工作仅仅是从网络上对可能存在的信息进行了解,就可以迅速进行所需要的攻击。

类似Conficker的恶意软件将数以十万计的Windows系统变成了潜在攻击者可以使用的武器。由此导致的直接攻击浪潮不会被寥寥无几的防御措施所阻挡。防御者所能依靠的只有服务器,这也是为什么维基解密试图选择亚马逊网络服务或者大量增加网络托管主机的资源才能防止洪水攻击的原因。

我担心,实际上,并且确信,在未来会看到更多这种类型的DDoS攻击。随着互联网范围的进一步扩大,越来越多的使用者通过宽带接入,为攻击者提供了更多未受保护的Windows系统来进行控制。更糟的是,在类似低轨道离子加农炮之类工具的帮助下,只要获得一些志同道合朋友的帮助,任何中型网站都可以被摧毁。

请不要忘记,使用这些工具的话,可能会被跟踪,并可能会面临刑事指控。最近,一名大学生就因为利用DDoS攻击工具攻击保守派的网站被判入狱30个月。

DDoS攻击,一定会变得越来越普遍。非常严重的威胁已经笼罩在了攻击者的头上,但我们似乎并没有看到丝毫停止的迹象。朋友们,我们生活在一个并不那么美好的网络时代。希望大家多多掌握有关DDoS攻击的知识。

【编辑推荐】

  1. DDoS攻击来势汹汹
  2. DDoS攻击难以防御
  3. 四类新型的DDoS攻击
  4. 浅析如何预防DDOS攻击
  5. 详解DDoS攻击技术的方法
  6. DDOS攻击的三种常见方式
  7. DDOS攻击之互联网安全主要威胁的表现

 

责任编辑:佚名 来源: ZDNET
相关推荐

2011-03-31 11:20:18

2010-09-30 09:17:27

2009-09-15 16:53:50

2018-07-12 07:21:34

2009-09-15 16:32:00

2011-03-11 15:38:19

2009-09-15 16:08:00

2012-10-23 10:19:28

2015-08-26 11:23:58

2019-05-13 10:42:53

2012-11-20 12:38:29

2010-09-25 14:57:08

2009-09-15 13:37:46

2010-09-16 20:45:14

2012-07-26 14:06:43

2018-11-02 12:37:53

DDos攻击信息安全攻击

2009-11-18 16:44:58

2022-07-11 08:20:49

DDoS攻击网络攻击

2014-12-02 09:05:20

2009-09-15 15:07:25

点赞
收藏

51CTO技术栈公众号