什么是DoS攻擊
那么,DoS到底是什么?接觸PC機較早的同志會直接想到微軟磁盤操作系統 的DOS--Disk Operation System?哦,不不不,我看蓋茨可不像是黑客的老大喲!此DoS非彼DOS也,DoS即Denial Of Service,拒絕服務的縮寫。DoS是指故意的攻擊網絡協議實現的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源,目的是讓目標計算機或網絡無法提供正常的服務或資源訪問,使目標系統服務系統停止響應甚至崩潰,而在此攻擊中并不包括侵入目標服務器或目標網絡設備。這些服務資源包括網絡帶寬,文件系統空間容量,開放的進程或者允許的連接。這種攻擊會導致資源的匱乏,無論計算機的處理速度多快、內存容量多大、網絡帶寬的速度多快都無法避免這種攻擊帶來的后果。要知道任何事物都有一個極限,所以總能找到一個方法使請求的值大于該極限值,因此就會故意導致所提供的服務資源匱乏,表面上好象是服務資源無法滿足需求。所以千萬不要自認為擁有了足夠寬的帶寬和足夠快的服務器就有了一個不怕DoS攻擊的高性能網站,拒絕服務攻擊會使所有的資源變得非常渺小。
其實,我們作個形象的比喻來理解DoS。街頭的餐館是為大眾提供餐飲服務,如果一群地痞流氓要DoS餐館的話,手段會很多,比如霸占著餐桌不結賬,堵住餐館的大門不讓路,騷擾餐館的服務員或廚子不能干活,甚至更惡劣……相應的計算機和網絡系統則是為Internet 用戶提供互聯網資源的,如果有黑客要進行DoS攻擊的話,可以想象同樣有好多手段!今天最常見的DoS攻擊有對計算機網絡的帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡,使得所有可用網絡資源都被消耗殆盡,最后導致合法的用戶請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機,使得所有可用的操作系統資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。 什么是DDoS
傳統上,攻擊者所面臨的主要問題是網絡帶寬,由于較小的網絡規模和較慢的網絡速度的限制,攻擊者無法發出過多的請求。雖然類似"the ping of death"的攻擊類型只需要較少量的包就可以摧毀一個沒有打過補丁的UNIX系統,但大多數的DoS攻擊還是需要相當大的帶寬的,而以個人為單位的黑客們很難使用高帶寬的資源。為了克服這個缺點,DoS攻擊者開發了分布式的攻擊。攻擊者簡單利用工具集合許多的網絡帶寬來同時對同一個目標發動大量的攻擊請求,這就是DDoS攻擊。
DDoS(Distributed Denial Of Service)又把DoS又向前發展了一大步,這種分布式拒絕服務攻擊是黑客利用在已經侵入并已控制的不同的高帶寬主機(可能是數百,甚至成千上萬臺)上安裝大量的DoS服務程序,它們等待來自中央攻擊控制中心的命令,中央攻擊控制中心在適時啟動全體受控主機的DoS服務進程,讓它們對一個特定目標發送盡可能多的網絡訪問請求,形成一股DoS洪流沖擊目標系統,猛烈的DoS攻擊同一個網站。在寡不敵眾的力量抗衡下,被攻擊的目標網站會很快失去反應而不能及時處理正常的訪問甚至系統癱瘓崩潰。可見DDoS與DoS的最大區別是人多力量大。DoS是一臺機器攻擊目標,DDoS是被中央攻擊中心控制的很多臺機器利用他們的高帶寬攻擊目標,可更容易地將目標網站攻下。另外,DDoS攻擊方式較為自動化,攻擊者可以把他的程序安裝到網絡中的多臺機器上,所采用的這種攻擊方式很難被攻擊對象察覺,直到攻擊者發下統一的攻擊命令,這些機器才同時發起進攻。可以說DDoS攻擊是由黑客集中控制發動的一組DoS攻擊的集合,現在這種方式被認為是最有效的攻擊形式,并且非常難以抵擋。
無論是DoS攻擊還是DDoS攻擊,簡單的看,都只是一種破壞網絡服務的黑客方式,雖然具體的實現方式千變萬化,但都有一個共同點,就是其根本目的是使受害主機或網絡無法及時接收并處理外界請求,或無法及時回應外界請求。其具體表現方式有以下幾種:
1.制造大流量無用數據,造成通往被攻擊主機的網絡擁塞,使被攻擊主機無法正常和外界通信。
2.利用被攻擊主機提供服務或傳輸協議上處理重復連接的缺陷,反復高頻的發出攻擊性的重復服務請求,使被攻擊主機無法及時處理其它正常的請求。
3.利用被攻擊主機所提供服務程序或傳輸協議的本身實現缺陷,反復發送畸形的攻擊數據引發系統錯誤的分配大量系統資源,使主機處于掛起狀態甚至死機。
常見的DoS攻擊
拒絕服務攻擊是一種對網絡危害巨大的惡意攻擊。今天,DoS具有代表性的攻擊手段包括Ping of Death、TearDrop、UDP flood 、SYN flood、Land Attack、IP Spoofing DoS等。我們看看它們又是怎么實現的。
死亡之 ping ( ping of death ) :ICMP (Internet Control Message Protocol,Internet控制信息協議)在Internet上用于錯誤處理和傳遞控制信息。它的功能之一是與主機聯系,通過發送一個"回音請求"(echo request)信息包看看主機是否"活著"。最普通的ping程序就是這個功能。而在TCP/IP的RFC文檔中對包的最大尺寸都有嚴格限制規定,許多操作系統的TCP/IP協議棧都規定ICMP 包大小為64KB,且在對包的標題頭進行讀取之后,要根據該標題頭里包含的信息來為有效載荷生成緩沖區。"Ping of Death" 就是故意產生畸形的測試Ping(Packet Internet Groper)包,聲稱自己的尺寸超過 ICMP 上限,也就是加載的尺寸超過 64KB上限,使未采取保護措施的網絡系統出現內存分配錯誤,導致 TCP/IP 協議棧崩潰,最終接收方蕩機。
淚滴( teardrop ) :淚滴攻擊利用在 TCP/IP 協議棧實現中信任IP 碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP 分段含有指示該分段所包含的是原包的哪一段的信息,某些 TCP/IP協議棧(例如NT 在service pack 4 以前)在收到含有重疊偏移的偽造分段時將崩潰。 UDP 洪水 (UDP flood) :如今在Internet上UDP(用戶數據包協議)的應用比較廣泛,很多提供WWW和Mail等服務設備通常是使用Unix的服務器,它們默認打開一些被黑客惡意利用的UDP服務。如echo服務會顯示接收到的每一個數據包,而原本作為測試功能的chargen服務會在收到每一個數據包時隨機反饋一些字符。UDP flood假冒攻擊就是利用這兩個簡單的 TCP/IP 服務的漏洞進行惡意攻擊,通過偽造與某一主機的 Chargen 服務之間的一次的 UDP 連接,回復地址指向開著Echo 服務的一臺主機,通過將Chargen 和 Echo服務互指,來回傳送毫無用處且占滿帶寬的垃圾數據,在兩臺主機之間生成足夠多的無用數據流,這一拒絕服務攻擊飛快地導致網絡可用帶寬耗盡。 SYN 洪水 ( SYN flood ) :我們知道當用戶進行一次標準的TCP(Transmission Control Protocol)連接時,會有一個3次握手過程。首先是請求服務方發送一個SYN(Synchronize Sequence Number)消息,服務方收到SYN后,會向請求方回送一個SYN-ACK表示確認,當請求方收到SYN-ACK后,再次向服務方發送一個ACK消息,這樣一次TCP連接建立成功。"SYN Flooding"則專門針對TCP協議棧在兩臺主機間初始化連接握手的過程進行DoS攻擊,其在實現過程中只進行前2個步驟:當服務方收到請求方的SYN-ACK確認消息后,請求方由于采用源地址欺騙等手段使得服務方收不到ACK回應,于是服務方會在一定時間處于等待接收請求方ACK消息的狀態。而對于某臺服務器來說,可用的TCP連接是有限的,因為他們只有有限的內存緩沖區用于創建連接,如果這一緩沖區充滿了虛假連接的初始信息,該服務器就會對接下來的連接停止響應,直至緩沖區里的連接企圖超時。如果惡意攻擊方快速連續地發送此類連接請求,該服務器可用的TCP連接隊列將很快被阻塞,系統可用資源急劇減少,網絡可用帶寬迅速縮小,長此下去,除了少數幸運用戶的請求可以插在大量虛假請求間得到應答外,服務器將無法向用戶提供正常的合法服務。
Land (Land Attack)攻擊:在 Land 攻擊中,黑客利用一個特別打造的SYN 包--它的原地址和目標地址都被設置成某一個服務器地址進行攻擊。此舉將導致接受服務器向它自己的地址發送 SYN-ACK 消息,結果這個地址又發回 ACK 消息并創建一個空連接,每一個這樣的連接都將保留直到超時,在 Land 攻擊下,許多 UNIX將崩潰,NT 變得極其緩慢(大約持續五分鐘)。
IP欺騙DOS攻擊:這種攻擊利用TCP協議棧的RST位來實現,使用IP欺騙,迫使服務器把合法用戶的連接復位,影響合法用戶的連接。假設現在有一個合法用戶(100.100.100.100)已經同服務器建立了正常的連接,攻擊者構造攻擊的TCP數據,偽裝自己的IP為100.100.100.100,并向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據后,認為從100.100.100.100發送的連接有錯誤,就會清空緩沖區中已建立好的連接。這時,合法用戶100.100.100.100再發送合法數據,服務器就已經沒有這樣的連接了,該用戶就被拒絕服務而只能重新開始建立新的連接。
常見的DDoS攻擊
smurf、Fraggle 攻擊、Trinoo、Tribe Flood Network(TFN)、TFN2k以及Stacheldraht是比較常見的DDoS攻擊程序,我們再看看它們的原理,其攻擊思路基本相近。 Smurf 攻擊:Smurf是一種簡單但有效的 DDoS 攻擊技術,Smurf還是利用ping程序進行源IP假冒的直接廣播進行攻擊。在Internet上廣播信息可以通過一定的手段(通過廣播地址或其他機制)發送到整個網絡中的機器。當某臺機器使用廣播地址發送一個ICMP echo請求包時(例如Ping),一些系統會回應一個ICMP echo回應包,這樣發送一個包會收到許多的響應包。Smurf攻擊就是使用這個原理來進行的,同時它還需要一個假冒的源地址。也就是說Smurf在網絡中發送的源地址為要攻擊的主機地址,目的地址為廣播地址的ICMP echo請求包,使許多的系統同時響應并發送大量的信息給被攻擊主機(因為他的地址被攻擊者假冒了)。Smurf是用一個偽造的源地址連續ping一個或多個計算機網絡,這就導致所有計算機響應的那個主機地址并不是實際發送這個信息包的攻擊計算機。這個偽造的源地址,實際上就是攻擊的目標,它將被極大數量的響應信息量所淹沒。對這個偽造信息包做出響應的計算機網絡就成為攻擊的不知情的同謀。一個簡單的 smurf 攻擊最終導致網絡阻塞和第三方崩潰,這種攻擊方式要比 ping of death 洪水的流量高出一兩個數量級。這種使用網絡發送一個包而引出大量回應的方式也被叫做Smurf"放大"。
Fraggle 攻擊:Fraggle 攻擊對 Smurf 攻擊作了簡單的修改,使用的是 UDP 應答消息而非 ICMP。
"trinoo"攻擊:trinoo 是復雜的 DDoS 攻擊程序,是基于UDP flood的攻擊軟件。它使用"master"程序對實際實施攻擊的任何數量的"代理"程序實現自動控制。當然在攻擊之前,侵入者為了安裝軟件,已經控制了裝有master程序的計算機和所有裝有代理程序的計算機。攻擊者連接到安裝了master程序的計算機,啟動master程序,然后根據一個IP地址的列表,由master程序負責啟動所有的代理程序。接著,代理程序用UDP 信息包沖擊網絡,向被攻擊目標主機的隨機端口發出全零的4字節UDP包,在處理這些超出其處理能力垃圾數據包的過程中,被攻擊主機的網絡性能不斷下降,直到不能提供正常服務,乃至崩潰。它對IP地址不做假,因此此攻擊方法用得不多。
"Tribal Flood Network"和 "TFN2K" 攻擊:Tribe Flood Network與trinoo一樣,使用一個master程序與位于多個網絡上的攻擊代理進行通訊,利用ICMP給代理服務器下命令,其來源可以做假。TFN可以并行發動數不勝數的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。 可以由TFN發動的攻擊包括:SYN flood、UDP flood、ICMP回音請求flood及Smurf(利用多臺服務器發出海量數據包,實施DoS攻擊)等攻擊。TFN的升級版TFN2k進一步對命令數據包加密,更難查詢命令內容,命令來源可以做假,還有一個后門控制代理服務器。
"stacheldraht"攻擊:Stacheldraht也是基于TFN和trinoo一樣的客戶機/服務器模式,其中Master程序與潛在的成千個代理程序進行通訊。在發動攻擊時,侵入者與master程序進行連接。Stacheldraht增加了新的功能:攻擊者與master程序之間的通訊是加密的,對命令來源做假,而且可以防范一些路由器用RFC2267過濾,若檢查出有過濾現象,它將只做假IP地址最后8位,從而讓用戶無法了解到底是哪幾個網段的哪臺機器被攻擊;同時使用rcp (remote copy,遠程復制)技術對代理程序進行自動更新。Stacheldraht 同TFN一樣,可以并行發動數不勝數的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。Stacheldraht所發動的攻擊包括UDP 沖擊、TCP SYN 沖擊、ICMP 回音應答沖擊。
如何防止DoS/DdoS攻擊
DoS攻擊幾乎是從互聯網絡的誕生以來,就伴隨著互聯網絡的發展而一直存在也不斷發展和升級。值得一提的是,要找DoS的工具一點不難,黑客群居的網絡社區都有共享黑客軟件的傳統,并會在一起交流攻擊的心得經驗,你可以很輕松的從Internet上獲得這些工具,像以上提到的這些DoS攻擊軟件都是可以從網上隨意找到的公開軟件。所以任何一個上網者都可能構成網絡安全的潛在威脅。DoS攻擊給飛速發展的互聯網絡安全帶來重大的威脅。然而從某種程度上可以說,DoS攻擊永遠不會消失而且從技術上目前沒有根本的解決辦法。
面對兇多吉少的DoS險灘,我們該如何對付隨時出現的黑客攻擊呢?讓我們首先對造成DoS攻擊威脅的技術問題做一下總結。DoS攻擊可以說是如下原因造成的:
1.軟件弱點是包含在操作系統或應用程序中與安全相關的系統缺陷,這些缺陷大多是由于錯誤的程序編制,粗心的源代碼審核,無心的副效應或一些不適當的綁定所造成的。由于使用的軟件幾乎完全依賴于開發商,所以對于由軟件引起的漏洞只能依*打補丁,安裝hot fixes和Service packs來彌補。當某個應用程序被發現有漏洞存在,開發商會立即發布一個更新的版本來修正這個漏洞。由于開發協議固有的缺陷導致的DoS攻擊,可以通過簡單的補丁來彌補系統缺陷。
2.錯誤配置也會成為系統的安全隱患。這些錯誤配置通常發生在硬件裝置,系統或者應用程序中,大多是由于一些沒經驗的,無責任員工或者錯誤的理論所導致的。如果對網絡中的路由器,防火墻,交換機以及其他網絡連接設備都進行正確的配置會減小這些錯誤發生的可能性。如果發現了這種漏洞應當請教專業的技術人員來修理這些問題。
3.重復請求導致過載的拒絕服務攻擊。當對資源的重復請求大大超過資源的支付能力時就會造成拒絕服務攻擊(例如,對已經滿載的Web服務器進行過多的請求使其過載)。
要避免系統免受DoS攻擊,從前兩點來看,網絡管理員要積極謹慎地維護系統,確保無安全隱患和漏洞;而針對第三點的惡意攻擊方式則需要安裝防火墻等安全設備過濾DoS攻擊,同時強烈建議網絡管理員應當定期查看安全設備的日志,及時發現對系統的安全威脅行為。
3Com公司是一個全面的企業網絡解決方案提供商,旨在為企業用戶提供"豐富、簡單、靈活、可*而高性能價格比"的網絡解決方案。Internet支持工具就是其中的主要解決方案之一,包括SuperStack 3 Firewall、Web Cache以及Server Load Balancer。不但作為安全網關設備的3Com SuperStack 3 防火墻在缺省預配置下可探測和防止"拒絕服務"(DoS)以及"分布式拒絕服務"(DDoS)等黑客侵襲,強有力的保護您的網絡,使您免遭未經授權訪問和其他來自Internet的外部威脅和侵襲;而且3Com SuperStack 3 Server Load Balancer在為多服務器提供硬件線速的4-7層負載均衡的同時,還能保護所有服務器免受"拒絕服務"(DoS)攻擊;同樣3Com SuperStack 3 Web Cache在為企業提供高效的本地緩存的同時,也能保證自身免受"拒絕服務"(DoS)攻擊
-----------------------------------------------------
Silence, the way to avoid many problems;
Smile, the way to solve many problems;