壹、DDoS的概念
要想理解DDoS的概念,我們就必須先介紹壹下DoS(拒絕服務),DoS的英文全稱是Denial of Service,也就是“拒絕服務”的意思。從網絡攻擊的各種方法和所產生的破壞情況來看,DoS算是壹種很簡單但又很有效的進攻方式。它的目的就是拒絕妳的服務訪問,破壞組織的正常運行,最終它會使妳的部分Internet連接和網絡系統失效。DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務。DoS攻擊的原理如圖1所示。
我們可以看出DoS攻擊的基本過程:首先攻擊者向服務器發送眾多的帶有虛假地址的請求,服務器發送回復信息後等待回傳信息,由於地址是偽造的,所以服務器壹直等不到回傳的消息,分配給這次請求的資源就始終沒有被釋放。當服務器等待壹定的時間後,連接會因超時而被切斷,攻擊者會再度傳送新的壹批請求,在這種反復發送偽地址請求的情況下,服務器資源最終會被耗盡。
DDoS(分布式拒絕服務),它的英文全稱為Distributed Denial of Service,它是壹種基於DoS的特殊形式的拒絕服務攻擊,是壹種分布、協作的大規模攻擊方式,主要瞄準比較大的站點,象商業公司,搜索引擎和政府部門的站點。從圖1我們可以看出DoS攻擊只要壹臺單機和壹個modem就可實現,與之不同的是DDoS攻擊是利用壹批受控制的機器向壹臺機器發起攻擊,這樣來勢迅猛的攻擊令人難以防備,因此具有較大的破壞性。
DDoS攻擊分為3層:攻擊者、主控端、代理端,三者在攻擊中扮演著不同的角色。
1、攻擊者:攻擊者所用的計算機是攻擊主控臺,可以是網絡上的任何壹臺主機,甚至可以是壹個活動的便攜機。攻擊者操縱整個攻擊過程,它向主控端發送攻擊命令。
2、主控端:主控端是攻擊者非法侵入並控制的壹些主機,這些主機還分別控制大量的代理主機。主控端主機的上面安裝了特定的程序,因此它們可以接受攻擊者發來的特殊指令,並且可以把這些命令發送到代理主機上。
3、代理端:代理端同樣也是攻擊者侵入並控制的壹批主機,它們上面運行攻擊器程序,接受和運行主控端發來的命令。代理端主機是攻擊的執行者,真正向受害者主機發送攻擊。 攻擊者發起DDoS攻擊的第壹步,就是尋找在Internet上有漏洞的主機,進入系統後在其上面安裝後門程序,攻擊者入侵的主機越多,他的攻擊隊伍就越壯大。第二步在入侵主機上安裝攻擊程序,其中壹部分主機充當攻擊的主控端,壹部分主機充當攻擊的代理端。最後各部分主機各司其職,在攻擊者的調遣下對攻擊對象發起攻擊。由於攻擊者在幕後操縱,所以在攻擊時不會受到監控系統的跟蹤,身份不容易被發現。
二、DDoS攻擊使用的常用工具
DDoS攻擊實施起來有壹定的難度,它要求攻擊者必須具備入侵他人計算機的能力。但是很不幸的是壹些傻瓜式的黑客程序的出現,這些程序可以在幾秒鐘內完成入侵和攻擊程序的安裝,使發動DDoS攻擊變成壹件輕而易舉的事情。下面我們來分析壹下這些常用的黑客程序。
1、Trinoo
Trinoo的攻擊方法是向被攻擊目標主機的隨機端口發出全零的4字節UDP包,在處理這些超出其處理能力的垃圾數據包的過程中,被攻擊主機的網絡性能不斷下降,直到不能提供正常服務,乃至崩潰。它對IP地址不做假,采用的通訊端口是:
攻擊者主機到主控端主機:27665/TCP
主控端主機到代理端主機:27444/UDP
代理端主機到主服務器主機:31335/UDP
2、TFN
TFN由主控端程序和代理端程序兩部分組成,它主要采取的攻擊方法為:SYN風暴、Ping風暴、UDP炸彈和SMURF,具有偽造數據包的能力。
3、TFN2K
TFN2K是由TFN發展而來的,在TFN所具有的特性上,TFN2K又新增壹些特性,它的主控端和代理端的網絡通訊是經過加密的,中間還可能混雜了許多虛假數據包,而TFN對ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。並且TFN2K可配置的代理端進程端口。
4、Stacheldraht
Stacheldraht也是從TFN派生出來的,因此它具有TFN的特性。此外它增加了主控端與代理端的加密通訊能力,它對命令源作假,可以防範壹些路由器的RFC2267過濾。Stacheldrah中有壹個內嵌的代理升級模塊,可以自動下載並安裝最新的代理程序。
三、DDoS的監測
現在網上采用DDoS方式進行攻擊的攻擊者日益增多,我們只有及早發現自己受到攻擊才能避免遭受慘重的損失。
檢測DDoS攻擊的主要方法有以下幾種:
1、根據異常情況分析
當網絡的通訊量突然急劇增長,超過平常的極限值時,妳可壹定要提高警惕,檢測此時的通訊;當網站的某壹特定服務總是失敗時,妳也要多加註意;當發現有特大型的ICP和UDP數據包通過或數據包內容可疑時都要留神。總之,當妳的機器出現異常情況時,妳最好分析這些情況,防患於未然。
2、使用DDoS檢測工具
當攻擊者想使其攻擊陰謀得逞時,他首先要掃描系統漏洞,目前市面上的壹些網絡入侵檢測系統,可以杜絕攻擊者的掃描行為。另外,壹些掃描器工具可以發現攻擊者植入系統的代理程序,並可以把它從系統中刪除。
四、DDoS攻擊的防禦策略
由於DDoS攻擊具有隱蔽性,因此到目前為止我們還沒有發現對DDoS攻擊行之有效的解決方法。所以我們要加強安全防範意識,提高網絡系統的安全性。可采取的安全防禦措施有以下幾種: 1、及早發現系統存在的攻擊漏洞,及時安裝系統補丁程序。對壹些重要的信息(例如系統配置信息)建立和完善備份機制。對壹些特權帳號(例如管理員帳號)的密碼設置要謹慎。通過這樣壹系列的舉措可以把攻擊者的可乘之機降低到最小。
2、在網絡管理方面,要經常檢查系統的物理環境,禁止那些不必要的網絡服務。建立邊界安全界限,確保輸出的包受到正確限制。經常檢測系統配置信息,並註意查看每天的安全日誌。
3、利用網絡安全設備(例如:防火墻)來加固網絡的安全性,配置好它們的安全規則,過濾掉所有的可能的偽造數據包。
4、比較好的防禦措施就是和妳的網絡服務提供商協調工作,讓他們幫助妳實現路由的訪問控制和對帶寬總量的限制。
5、當妳發現自己正在遭受DDoS攻擊時,妳應當啟動您的應付策略,盡可能快的追蹤攻擊包,並且要及時聯系ISP和有關應急組織,分析受影響的系統,確定涉及的其他節點,從而阻擋從已知攻擊節點的流量。
6、當妳是潛在的DDoS攻擊受害者,妳發現妳的計算機被攻擊者用做主控端和代理端時,妳不能因為妳的系統暫時沒有受到損害而掉以輕心,攻擊者已發現妳系統的漏洞,這對妳的系統是壹個很大的威脅。所以壹旦發現系統中存在DDoS攻擊的工具軟件要及時把它清除,以免留下後患。