本文首先介绍了网络攻击对目前网络安全的影响及分布式拒绝服务攻击的工作原理和现状,接着分析了分布式拒绝服务的攻击类型,并探析新型攻击类型的核心技术和防范对策。将新型的DDOS的3 类攻击方式:基于堵流量的攻击方式、基于网站脚本的攻击方式、另类攻击方式进行了探析,最后给出攻击方式相应的安全策略和防御对策。
一、背景
随着网络技术的发展,人们的生活和工作已经 同它密不可分,人们在享受信息技术所带来便捷的 同时,也遭受着各类网络信息被黑客恶意攻击、信息 被窃取等不同形式的网络攻击,并且这种攻击变得 越来越严重。网络上的恶意攻击实际上就是寻找一 切可能存在的网络安全缺陷来达到对系统及资源的 损害,从而达到恶意的目的。分布式拒绝服务攻击 (以下称 DDOS) 就是从1996 年出现,在中国 2002 年开始频繁出现的一种攻击方式。
分布式拒绝服务攻击(DDOS 全名是 Distribut- ed Denial of service),DDOS 攻击手段是在传统的DoS 攻击基础之上产生的一类攻击方式。单一的DOS攻击一般是采用一对一方式的,当攻击目标 CPU 速度低、内存小或者网络带宽小等等各项性 能指标不高它的效果是明显的。
随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存 大大增加,同时也出现了千兆级别的网络,这使得 DOS 攻击的困难程度加大了,目标对恶意攻击包的 " 消化能力 " 加强了不少,例如:你的攻击软件 每秒钟可以发送4000 个攻击包,但我的主机与网 络带宽每秒钟可以处理 20000 个攻击包,这样一来 攻击就不会产生什么效果。 分布式拒绝服务攻击使用了分布式客户服务器 功能,加密技术及其它类的功能,它能被用于控制任 意数量的远程机器,以产生随机匿名的拒绝服务攻 击和远程访问。为了有效防范网络入侵和攻击,就必 须熟悉网络入侵和攻击的手段和原理,在此基础上 才能制定行之有效的防范对策和防御措施,从而确 保网络信息的安全。#p#
二、DDOS攻击的现象及攻击方式
目前防火墙技术、性能的提升、计算机安全检测方式的多样化、网络拓扑结构的不断优化,计算机网络系统的安全性能得到了一定程度的提升。传统的DOS攻击已经很难起到多大的效果。
2011 年5月30日,美国政府表示,已经向全球最大军火商洛克希德 - 马丁公司(以下简称“洛马”)提供帮助,克服网络攻击带来的负面影响。洛马5 月21日宣布,该公司的计算机网络持续遭遇“猛烈攻击”。美国国土安全部的一名发言人称,该部及国防部已经了解洛马遭遇网络攻击,并向该公司提供帮助。网络安全使 们每时每刻都关心的问题,因为我们的生活已经与它有越来越多的交集。被DDOS攻击时的现象是能瞬间造成对方电脑死机或者假死,我曾经测试过,攻击不到1秒钟,电脑就已经死机和假死,鼠标图标不动了,系统发出滴滴滴滴的声音,主要攻击方式包括:TCP 全连接攻击、SYN 变种攻击、TCP混乱数据包攻击、针对用UDP协议的攻击、针对WEB Server的多连接攻击及变种攻击、针对游戏服务器的攻击。新型的DDOS攻击方式大致分为3类:基于堵流量的攻击方式、基于网站脚本的攻击方式、另类攻击方式。为便于说明, 以下特别以寄信者(攻击者)—邮局(硬件防火墙) —收信者(服务器)作为事例辅助说明。
(一)基于堵流量的攻击方式
这类攻击方式伤人先伤己,牺牲自己的带宽流 量去堵别人的带宽流量,造成他人无法访问。就好象 某个寄信者通过邮局给你寄了数量极其庞大的垃圾 信件,而收件者的信箱容量是有限的,从而导致收信 者的信箱被塞满,其他的正常信件无法投递过来。
1.SYN 变种攻击模式
这种攻击方式发送伪造源 IP 的 SYN 数据包,与传统的 SYN 攻击不同的是,它的数据包不是过去 的六十四字节,而是多达上千字节,这样的攻击方式 会造成一些防火墙处理错误进而导致锁死,在消耗 掉服务器 CPU 和内存的同时还会阻塞网络带宽。除 此之外,还可以通过发送伪造源 IP 的 TCP 数据包, 并且在 TCP 头的 TCP 标志位进行随机设置,造成其 标志位的混乱。而再强大的防火墙的数据吞吐量也 是有限的,因此在这样的攻击方式面前,防火墙常常无计可施。
2.TCP 并发攻击模式
每台电脑的套接字数量都是有限的,Windows 规定每个应用程序最大使用的套接字数量是 1024 个。这种攻击方式就是利用了Windows的这一特 性,在短时间内不断对目标主机的特定端口创建TCP 连接,消耗其套接字资源,直到其用尽为止。这样也就导致此端口无法正常提供服务了。这种攻击是为了绕过常规防火墙的检查而设计的,因为常规的防火墙大多具备如SYN、UDP、ICMP 等传统的DDOS 攻击的防御过滤功能,但对于正常的TCP连接是放过的。
3.分布式反射拒绝服务攻击(DRDOS)
DRDOS是英文“Distributed Reflection Denial of Servie Attack”的缩写。根据TCP三次握手的规则,一台主机向另外一台目标主机发送了 SYN 请求后,目标主机会根据 SYN 请求包的源地址发出SYN+ACK. 82. 包来响应这个请求。DRDOS就是利用了这个规则的 缺陷,将请求包的源地址伪造为被害机器的地址,那么目标服务器就会将 SYN+ACK 应答包发往被害机器。当然,以现在的硬件条件,这么点的数据包对于被害主机的影响微乎其微。可是,当被害者被多个网 络核心基础设施路由器攻击,而这些连接又都是完 全合法的SYN+ACK 连接应答包。路由器使用BGP (BGP 是中介路由器支持的“边界网关协议”Border Gateway Protocol) 与它们的邻居进行即时的信息交 流来交换它们的路由表,这是为了通知它们彼此路 由器可以在哪个 IP 范围内进行转交。BGP 自身规则 本没有问题,每个良好连接的中介器都会接受它们 179 端口上的连接。也就是说,任何一个SYN数据包到达一个网络路由器上后,都会引出一个该路由 的 SYN+ACK 应答包来,从而利用 BGP 的特性实现 了反射放大,形成洪水攻击,造成该主机忙于处理这 些回应而最终形成拒绝式服务攻击。这好比给某人 写信时,故意将寄信人的地址伪造为目标 A 的地 址,而收信人收到信后按照 A 的地址回信,从而造 成目标 A 的信箱被大量的“回信”所阻塞。
4.针对游戏服务器的攻击
网络游戏开发商通常为了吸引游戏玩家而设计 多种多样的游戏元素,其协议设计非常复杂,这便给攻击者提供了可乘之机,在提供丰富游戏元素的同 时也给攻击者提供了多种攻击手段。当前最流行的 一种攻击方式叫做“假人攻击”,这种攻击方式是通 过技术手段,完全模拟游戏客户端的注册、登陆、建立人物、进入游戏活动的整个过程协议数据,从数据协议层面模拟正常的游戏玩家。此攻击方式即使是在一台奔腾 3 的机器上也能轻易地模拟出数百个游 戏玩家,从而可以利用傀儡主机在极短时间内制造 出大量的虚假玩家来消耗游戏服务器资源,但这种 攻击方式是很难从游戏数据包来分析出哪些是攻击 者哪些是正常玩家,因为在服务端看来,二者的数据包是完全一样的。#p#
(二)基于网站脚本的攻击方式
基于网站脚本的攻击方式主要是针对 ASP、 PHP、JSP 等脚本语言制作,并调用ACCESS、 MSSQL、MYSQL、ORACLE 等数据库的网页系统设计的。相比较于基于堵流量的攻击方式,此类方式主要是通过发送网页请求来消耗服务器系统资源(CPU、内存),形成拒绝式服务,它是通过自己极少 资源的消耗造成对方较大的资源消耗。
1.CC 攻击
CC 攻击全称是 ChallengeCollaPsar(cc 拒绝服务 攻击), CC 攻击的原理是,首先和服务器建立正常的TCP 连接,并通过多台主机(主要是 HTTP、SOCKS5 代理服务器)不断地向数据库提交注册、查询、刷新等消耗资源的命令,且保持连接,使得服务器无法释放资源,最终将服务器的资源消耗掉从而导致拒绝 服务。就象你找写手不断地给一个人写信,整个邮局 为你一个人的信件而奔波,无暇顾及其他人的信件, 导致对方无法收到其他人的信件了。这种攻击和正 常访问网站是一样的,只是瞬间访问量增加几十倍 甚至上百倍,有些防火墙可以通过限制每个连接过来的IP连接数来防护,但是这样会造成正常用户稍微多打开几次网站就会被防火墙封锁,而且 CC 攻 击往往是借助代理服务器的网页代理服务来发动攻 击的,这种封锁方式意义不大。
2.变异CC攻击
传统的CC攻击并非无懈可击,它的特征是很 明显的,攻击是建立在代理资源上,因此有很有针对 性的防御措施。所谓变异 CC,核心是在构造提交数 据的时候把一切可能被服务器支持的操作都加进 去,想办法让服务器多耗资源。当然,这其中针对防 御设备的安全策略,可以继续进行变异。比如不发送 GET 请求,而是发送乱七八糟的字符。这么做是因 为大部分防火墙分析攻击数据包前三个字节是 GET 字符,然后来进行 httP 协议的分析。这种攻击 不用发送 GET 请求就可以绕过防火墙到达服务器, 且同样可以消耗大量服务器资源。#p#
(三)另类攻击方式
之所以称此类攻击方式为“另类”,是因为它不 需要象前两种攻击方式一样编写大量复杂的网络 协议代码,更多是注重攻击的技巧。它们或许有的 算不上 DDOS 攻击,但是在以上两种方式都行不通 时,这些“另类”的攻击方式或许可以起到意想不 到的效果。
1. 下载文件:
不管是通过FTP方式还是通过HTTP方式下载服务器文件,特别是大型文件,都会 在一段时间内连续地产生大量的网络流量,且会消 耗大量系统资源。攻击者可以利用大量傀儡主机多 线程地下载服务器的某个大型文件,从流量带宽和 系统资源两个方面拖垮服务器。
2.发邮件堵邮箱:
随着电子邮件服务系统的产 生和发展,支持大附件的邮件服务越来越多的在各 类电子邮件服务商的系统中推广开来。这也给攻击 者带来了可乘之机 。 在堵流量和消耗系统资源 (CPU、内存)这两种攻击方式都行不通时,消耗硬盘 资源也成了攻击者新的选择。攻击者锁定目标后,只 需要利用网上现成的邮件群发工具,通过简单操作 就能对某一个邮件服务器可采集到的帐户进行海量 邮件发送,消耗其硬盘资源。虽然现在绝大多数的邮 件服务器都配置的是大容量硬盘,但是对于某些小 型的服务器效果还是不错的。
3. 攻击DNS服务器:
在目标服务器的防御措 施非常严格时,攻击其域名的DNS服务器也是个 不错的选择。只要用前面提到的堵流量或者耗资 源的方法能令其 DNS 服务器拒绝服务,同样可以 导致访问其主服务器的用户因无法解析其域名而 无法访问网站。
4.盗链:
网络上很多小网站由于其空间资源紧张,为节约其系统资源,往往采用盗链的技术,盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源,而真正的服务提供商却得不到任何的收益。网站盗链会大量消耗被盗链 网站的带宽,而真正的点击率也许会很小,严重损害了被盗链网站的利益。常见的盗链有:图片盗链、音频盗链、视频盗链、文件盗链。#p#
三、安全策略与防御措施
防御DDOS攻击是一个系统工程,单单依靠某 种系统软件来防御 DDOS 攻击是不现实的,在目前 的技术水平下完全杜绝 DDOS 攻击是不可能的,通 过采取适当的防御措施抵御90%的DDOS攻击是可以做到的。
(一)把网站做成静态页面
事实证明,把网站尽可能做成静态页面,不仅能大大提高网站的抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现。目前我国的几家门户网站如新浪、搜狐、网易等主要都是静态页面。
(二) 增加服务器数量并采用
DNS 轮巡或负载均衡技术需购买七层交换机设备,从而使得抗DDOS攻击能力成倍提高,只要投资足够深入,便可高效防御DDOS攻击。
(三)在攻击源头采取安全策略。
DDOS攻击的防御必须通过网络上各个团体和使用者的共同合作,制定更严格的网络标准来解决。 每台网络设备或主机都需要随时更新其系统漏洞、关闭不需要的服务、安装必要的防毒和防火墙软件、随时注意系统安全,避免被黑客和自动化的DDOS程序植入攻击程序,以免成为黑客攻击的帮凶。
(四)采取加密技术
对于游戏服务商而言,在游戏通讯协议上,应采用高强度的加密算法,提高认证机制,加大攻击者的模拟难度。
(五)优化路由和网络结构。
如果你管理的不仅仅是一台主机,而是网络,就需要调整路由表以将拒绝服务攻击的影响减到最 小。为了防止SYN flood 攻击,应设置TCP侦听功能。详细资料请参阅相关路由器技术文档。另外禁止 网络不需要使用的 UDP 和 ICMP 包通过,尤其是不应该允许出站 ICMP“不可到达”消息。
(六)用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
四、结束语
计算机网络信息安全是一项复杂的系统工程,防御DDOS网络攻击只是保障网络信息安全的一部分。随着计算机网络的快速应用和普及,网络信息安全的不确定因素也越来越多,我们必须综合考虑各种安全因素,认真分析各种可能的入侵和攻击形式,采取有效的技术措施,制定合理的网络安全策略和配套的管理办法,防止各种可能的入侵和攻击行为, 避免因入侵和攻击造成的各种损失。