隨著網(wǎng)絡(luò)時(shí)代的到來(lái),網(wǎng)絡(luò)安全變得越來(lái)越重要。在互聯(lián)網(wǎng)安全領(lǐng)域,DDoS(Distributed denial of Service,分布式拒絕服務(wù))攻擊技術(shù)以其隱蔽性和高效性成為網(wǎng)絡(luò)攻擊者最常用的攻擊方式,嚴(yán)重威脅著互聯(lián)網(wǎng)的安全。
一、DDoS攻擊的工作原理
1.1分布式拒絕服務(wù)的定義
DDos的前身DoS (DenialofService)攻擊,意為拒絕服務(wù)攻擊。這種攻擊使網(wǎng)站服務(wù)器充斥大量需要回復(fù)的信息,消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源,導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)過(guò)載,停止提供正常的網(wǎng)絡(luò)服務(wù)。而DDoS分布式拒絕服務(wù)則主要利用互聯(lián)網(wǎng)上現(xiàn)有機(jī)器和系統(tǒng)的漏洞,捕獲大量聯(lián)網(wǎng)主機(jī),使其成為攻擊者的代理。當(dāng)受控機(jī)器的數(shù)量達(dá)到一定程度時(shí),攻擊者發(fā)送命令操縱這些攻擊平面,對(duì)目標(biāo)主機(jī)或網(wǎng)絡(luò)發(fā)起DoS攻擊,消耗大量的網(wǎng)絡(luò)帶寬和系統(tǒng)資源,導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)癱瘓或停止提供正常的網(wǎng)絡(luò)服務(wù)。由于DDos的分布式特性,它具有遠(yuǎn)比Dos更強(qiáng)大的攻擊能力和破壞性。
1.2 DDOS攻擊原理
一個(gè)相對(duì)完整的DDos攻擊系統(tǒng)分為四個(gè)部分,分別是攻擊者(也稱主人)、控制傀儡(處理者)、攻擊傀儡(惡魔,也稱代理)和受害者(受害者)。第二和第三部分分別用于控制和實(shí)際發(fā)動(dòng)攻擊。第二部分,控制機(jī)只發(fā)布命令,不參與實(shí)際攻擊。第三部分,DDoS的實(shí)際攻擊包是從攻擊傀儡機(jī)發(fā)出的。攻擊者對(duì)第二部分和第三部分中的計(jì)算機(jī)擁有控制權(quán)或部分控制權(quán),并將相應(yīng)的DDoS程序上傳到這些平臺(tái)。這些程序像正常程序一樣運(yùn)行,并等待攻擊者的指令。通常,它會(huì)使用各種手段來(lái)隱藏自己。在平時(shí),這些傀儡機(jī)并沒(méi)有什么異常,但是一旦攻擊者連接到它們進(jìn)行控制并發(fā)出指令,攻擊的傀儡機(jī)就變成了攻擊者發(fā)動(dòng)攻擊。
DDoS攻擊原理及防護(hù)研究
采用這種結(jié)構(gòu)的一個(gè)重要目的是隔離網(wǎng)絡(luò)連接,保護(hù)攻擊者在攻擊過(guò)程中不被監(jiān)控系統(tǒng)跟蹤。同時(shí)可以更好的協(xié)調(diào)攻擊,因?yàn)楣魣?zhí)行者太多,同時(shí)一個(gè)系統(tǒng)發(fā)出命令會(huì)造成控制系統(tǒng)的網(wǎng)絡(luò)擁塞,影響攻擊的突然性和協(xié)調(diào)性。而且流量的突然增加很容易暴露攻擊者的位置和意圖。整個(gè)過(guò)程可以分為:
1)掃描大量主機(jī),尋找可以入侵主機(jī)的目標(biāo);
2)具有安全漏洞和增益控制的主機(jī);
3)在入侵主機(jī)中安裝攻擊程序;
4)用入侵的主機(jī)繼續(xù)掃描入侵。
當(dāng)受控攻擊代理的數(shù)量達(dá)到攻擊者滿意時(shí),攻擊者可以通過(guò)攻擊主控機(jī)器隨時(shí)發(fā)出攻擊指令。因?yàn)楣糁骺刂破鞯奈恢梅浅l`活,發(fā)出命令的時(shí)間很短,所以定位起來(lái)非常隱蔽。攻擊命令一旦傳到攻擊控制機(jī),主控機(jī)就可以關(guān)機(jī)或離開(kāi)網(wǎng)絡(luò)以避免跟蹤,攻擊控制機(jī)會(huì)將命令下發(fā)到各個(gè)攻擊代理機(jī)。收到攻擊命令后,攻擊代理開(kāi)始向目標(biāo)主機(jī)發(fā)送大量服務(wù)請(qǐng)求包。這些數(shù)據(jù)包經(jīng)過(guò)偽裝,使得攻擊者無(wú)法識(shí)別其來(lái)源,這些數(shù)據(jù)包請(qǐng)求的服務(wù)往往會(huì)消耗大量的系統(tǒng)資源,如CP或網(wǎng)絡(luò)帶寬。如果數(shù)百甚至數(shù)千個(gè)攻擊代理同時(shí)攻擊一個(gè)目標(biāo),目標(biāo)主機(jī)的網(wǎng)絡(luò)和系統(tǒng)資源就會(huì)被耗盡,服務(wù)也會(huì)停止。有時(shí),它甚至?xí)?dǎo)致系統(tǒng)崩潰。
此外,這會(huì)阻塞目標(biāo)網(wǎng)絡(luò)的防火墻和路由器等網(wǎng)絡(luò)設(shè)備,進(jìn)一步加劇網(wǎng)絡(luò)擁塞。因此,目標(biāo)主機(jī)根本無(wú)法為用戶提供任何服務(wù)。攻擊者使用的協(xié)議是一些非常常見(jiàn)的協(xié)議和服務(wù)。這樣,系統(tǒng)管理員很難區(qū)分惡意請(qǐng)求和主動(dòng)連接請(qǐng)求,從而無(wú)法有效地分離攻擊包。
二、DDoS攻擊識(shí)別
DDoS(分布式拒絕服務(wù))攻擊(Distributed Denial of Service,分布式拒絕服務(wù))攻擊,其主要目的是使指定目標(biāo)在沒(méi)有通知的情況下提供正常服務(wù),甚至從互聯(lián)網(wǎng)上消失,是目前最強(qiáng)大、最難的攻擊手段之一。
2.1 DDoS表現(xiàn)
DDoS主要有兩種形式,一種是流量攻擊,主要針對(duì)網(wǎng)絡(luò)帶寬,即大量的攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞,合法的網(wǎng)絡(luò)包因?yàn)楸惶摷俚墓舭涑舛鵁o(wú)法到達(dá)主機(jī);另一種是資源耗盡攻擊,主要是針對(duì)服務(wù)器主機(jī)的政治攻擊,即大量攻擊包導(dǎo)致主機(jī)內(nèi)存耗盡或CPU核心和應(yīng)用程序被占用,導(dǎo)致無(wú)法提供網(wǎng)絡(luò)服務(wù)。
2.2攻擊識(shí)別
流量攻擊識(shí)別主要包括以下兩種方法:
1) Ping測(cè)試:如果發(fā)現(xiàn)Ping超時(shí)或丟包嚴(yán)重,可能會(huì)被攻擊;如果發(fā)現(xiàn)同一臺(tái)交換機(jī)上的服務(wù)器無(wú)法訪問(wèn),基本可以確定為流量攻擊。測(cè)試的前提是受害主機(jī)與服務(wù)器之間的ICMP協(xié)議沒(méi)有被路由器、防火墻等設(shè)備屏蔽;
2) Te.NET測(cè)試:其明顯特點(diǎn)是遠(yuǎn)程終端連接服務(wù)器失敗,容易判斷相對(duì)流量攻擊和資源耗盡攻擊。如果網(wǎng)站訪問(wèn)突然非常慢或者無(wú)法訪問(wèn),但是可以pinged通,很可能是被攻擊了。如果用Netstat-na命令在服務(wù)器上觀察到大量的SYN_RECEIVED、TIME_WAIT、FIN_ WAIT_1等狀態(tài),但是很少有EASTBLISHED的情況,可以判斷為資源耗盡攻擊,表現(xiàn)為受害主機(jī)無(wú)法Ping通或者丟包嚴(yán)重,但是Ping通同一臺(tái)交換機(jī)上的服務(wù)器是正常的。原因是系統(tǒng)內(nèi)核或應(yīng)用CPU利用率達(dá)到100%無(wú)法響應(yīng)ping命令,但是因?yàn)檫€有帶寬,可以Ping通同一臺(tái)交換機(jī)上的主機(jī)。
第三,DDoS攻擊模式
DDoS攻擊有很多,種類也很多。就他們的攻擊手段而言,最流行的DDoS攻擊有三種。
3.1 SYN/ACK泛洪攻擊
這種攻擊方式是一種經(jīng)典有效的DDoS攻擊方式,可以殺死各種系統(tǒng)網(wǎng)絡(luò)服務(wù)。它主要是向受害主機(jī)發(fā)送大量偽造源P和源端口的SYN或ACK包,導(dǎo)致主機(jī)緩存資源耗盡或忙于發(fā)送響應(yīng)包,造成拒絕服務(wù)。很難追蹤,因?yàn)樵搭^都被破壞了。缺點(diǎn)是實(shí)現(xiàn)起來(lái)比較困難,需要高帶寬僵尸主機(jī)的支持。少量此類攻擊會(huì)導(dǎo)致主機(jī)服務(wù)器無(wú)法訪問(wèn),但可以Pinged通。在服務(wù)器上使用Netstat-na命令時(shí),會(huì)觀察到大量的SYN接收狀態(tài),大量這樣的攻擊會(huì)導(dǎo)致ping失敗,TCP/IP棧失敗,系統(tǒng)會(huì)死機(jī),也就是對(duì)鍵盤鼠標(biāo)沒(méi)有反應(yīng)。大多數(shù)普通防火墻都無(wú)法抵御這種攻擊。
攻擊過(guò)程如圖2所示。正常的TCP連接是三次握手。系統(tǒng)B向系統(tǒng)A發(fā)送SYN/ACK包后,停止在SYN RECV狀態(tài),等待系統(tǒng)A返回ACK包。此時(shí),系統(tǒng)B已經(jīng)分配了用于準(zhǔn)備建立連接的資源。如果攻擊者系統(tǒng)A使用假的源IP,系統(tǒng)B將一直處于“半連接”等待狀態(tài),直到超時(shí),連接將從連接隊(duì)列中被清除;由于定時(shí)器的設(shè)置和滿連接隊(duì)列,系統(tǒng)A只要持續(xù)高速向系統(tǒng)B發(fā)送偽造源IP的連接請(qǐng)求,就可以在短時(shí)間內(nèi)成功攻擊系統(tǒng)B,而系統(tǒng)B則無(wú)法再響應(yīng)其他正常的連接請(qǐng)求。
DDoS攻擊原理及防護(hù)研究
圖2 SYN泛洪攻擊過(guò)程
3.2 TCP全連接攻擊
這種攻擊旨在繞過(guò)傳統(tǒng)防火墻的檢查。一般來(lái)說(shuō),大多數(shù)常規(guī)防火墻都具有過(guò)濾諸如TearDrop和Land之類的DOS攻擊的能力,但是它們會(huì)放過(guò)正常的TCP連接。鮮為人知的是,很多網(wǎng)絡(luò)服務(wù)程序(如IIS、Apache等Web服務(wù)器)可以接受的TCP連接數(shù)是有限的。一旦出現(xiàn)大量TCP連接,即使正常,也會(huì)導(dǎo)致網(wǎng)站訪問(wèn)非常緩慢甚至無(wú)法訪問(wèn)。TCP全連接攻擊是指許多僵尸主機(jī)不斷地與受害服務(wù)器建立大量的TCP連接,直到服務(wù)器的內(nèi)存等資源耗盡而被拖跨,從而導(dǎo)致拒絕服務(wù)。這種攻擊的特點(diǎn)是繞過(guò)一般防火墻的保護(hù),達(dá)到攻擊目的。缺點(diǎn)是需要找到很多僵尸主機(jī),而且由于僵尸主機(jī)的IP是暴露的,這樣的DDOs攻擊者很容易追蹤到。
3.3 TCP刷腳本攻擊
這種攻擊主要針對(duì)存在ASP、JSP、php、CGI等腳本并調(diào)用MSSQL Server、My SQL Server、Oracle等數(shù)據(jù)庫(kù)的網(wǎng)站系統(tǒng)。它的特點(diǎn)是與服務(wù)器建立正常的TCP連接,不斷向腳本提交查詢、列表等消耗數(shù)據(jù)庫(kù)資源的調(diào)用。典型的攻擊方式是小而廣。一般來(lái)說(shuō),向客戶端提交GET或POST指令的成本和帶寬幾乎可以忽略不計(jì),但服務(wù)器可能要從數(shù)萬(wàn)條記錄中找出一條記錄才能處理這個(gè)請(qǐng)求。這個(gè)過(guò)程消耗大量資源,普通數(shù)據(jù)庫(kù)服務(wù)器很少支持上百條查詢指令同時(shí)執(zhí)行,這對(duì)客戶端來(lái)說(shuō)很容易。因此,攻擊者只需要通過(guò)代理向主機(jī)服務(wù)器提交大量查詢指令,只需要幾分鐘就可以消耗服務(wù)器資源,造成拒絕服務(wù)。常見(jiàn)的現(xiàn)象有網(wǎng)站慢如蝸牛,ASP程序失敗,PHP連接數(shù)據(jù)庫(kù)失敗,數(shù)據(jù)庫(kù)主程序占用CPU高。這種攻擊的特點(diǎn)是可以完全繞過(guò)常見(jiàn)的防火墻保護(hù),很容易找到一些Poxy代理來(lái)實(shí)施攻擊。缺點(diǎn)是對(duì)付靜態(tài)頁(yè)面的網(wǎng)站效果會(huì)大打折扣,有些代理會(huì)暴露DDOS攻擊者的IP地址。
第四,DDoS防護(hù)策略
DDoS防護(hù)是一個(gè)系統(tǒng)工程。依靠某個(gè)系統(tǒng)或產(chǎn)品來(lái)預(yù)防DDoS是不現(xiàn)實(shí)的。可以肯定的是,目前完全消除DDoS是不可能的,但是通過(guò)采取適當(dāng)?shù)拇胧﹣?lái)抵御大部分DDoS攻擊是可能的。由于攻擊和防御都是有成本的,如果通過(guò)采取適當(dāng)?shù)拇胧﹣?lái)增強(qiáng)抵御DDoS的能力,就意味著增加了攻擊者的攻擊成本,那么大多數(shù)攻擊者就不會(huì)繼續(xù),放棄,這就相當(dāng)于成功抵御了DDoS攻擊。
4.1采用高性能網(wǎng)絡(luò)設(shè)備。
要抵御DDoS攻擊,首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸。所以在選擇路由器、交換機(jī)、硬件防火墻等設(shè)備時(shí),盡量選擇知名度高、口碑好的產(chǎn)品。如果與網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議,那就更好了。當(dāng)大量攻擊發(fā)生時(shí),要求他們限制網(wǎng)絡(luò)連接處的流量來(lái)對(duì)抗某種DDoS攻擊是非常有效的。
4.2盡量避免使用NAT
無(wú)論是路由器還是硬件防護(hù)墻設(shè)備都要盡量避免使用NAT,除非必須使用NAT,因?yàn)椴捎眠@種技術(shù)會(huì)大大降低網(wǎng)絡(luò)通信能力。原因很簡(jiǎn)單,因?yàn)镹AT需要來(lái)回轉(zhuǎn)換地址,轉(zhuǎn)換過(guò)程中需要計(jì)算網(wǎng)絡(luò)包的校驗(yàn)和,浪費(fèi)了大量的CPU時(shí)間。
4.3足夠的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了抵御攻擊的能力。如果只有10M帶寬,無(wú)論采取什么措施,都難以對(duì)抗目前的SYNFlood攻擊。目前至少要選擇100M的共享帶寬,1000M的帶寬會(huì)更好。但是需要注意的是,主機(jī)上的網(wǎng)卡是1000M并不代表它的網(wǎng)絡(luò)帶寬是千兆的。如果連接的是100M的交換機(jī),它的實(shí)際帶寬不會(huì)超過(guò)100M,而且即使連接了100M的帶寬,也不代表它有100兆的帶寬,因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能在交換機(jī)上把實(shí)際帶寬限制在10M。
4.4升級(jí)主機(jī)服務(wù)器硬件
在保證網(wǎng)絡(luò)帶寬的前提下,盡量提高硬件配置。要有效對(duì)抗每秒100,000個(gè)SYN攻擊包,服務(wù)器的配置至少應(yīng)該是P4 2.4G/DDR512M/SCSI-HD。CPU和內(nèi)存起著關(guān)鍵作用。內(nèi)存一定要選擇DDR高速內(nèi)存,盡量選擇SCSI硬盤。否則將保證硬件的高性能和穩(wěn)定性,或者付出高性能的代價(jià)。
4.5把網(wǎng)站做成靜態(tài)頁(yè)面。
大量事實(shí)證明,把網(wǎng)站做得盡可能的靜態(tài)頁(yè)面,不僅可以大大提高抵御攻擊的能力,也會(huì)給黑客帶來(lái)很多麻煩。到目前為止,還沒(méi)有出現(xiàn)html的溢出。新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要是靜態(tài)頁(yè)面。
另外,在需要調(diào)用數(shù)據(jù)庫(kù)的腳本中最好拒絕代理訪問(wèn),因?yàn)榻?jīng)驗(yàn)表明,80%的代理訪問(wèn)我們的網(wǎng)站都是惡意的。
動(dòng)詞 (verb的縮寫)摘要
DDoS攻擊在不斷發(fā)展,變得越來(lái)越強(qiáng)大、越來(lái)越隱秘、越來(lái)越有針對(duì)性、越來(lái)越復(fù)雜,已經(jīng)成為互聯(lián)網(wǎng)安全的主要威脅。同時(shí),隨著系統(tǒng)的升級(jí),新的系統(tǒng)漏洞不斷出現(xiàn),DDoS攻擊技能的提升也加大了保護(hù)DDoS的難度。有效應(yīng)對(duì)這種攻擊是一個(gè)系統(tǒng)工程,不僅需要技術(shù)人員探索防護(hù)手段,還需要網(wǎng)絡(luò)用戶具備防范網(wǎng)絡(luò)攻擊的基本意識(shí)和手段。只能用技術(shù)手段。
無(wú)憂云推出DDOS高防護(hù)IP解決方案
無(wú)憂云推出DDOS高保護(hù)IP,100T超大保護(hù)帶寬,1800G超大流量保護(hù),價(jià)格低至1000元/月。為您提供超級(jí)DDOS攻擊防御保障。DDoS防IP服務(wù)是面向游戲、金融、電商、網(wǎng)站等用戶的付費(fèi)增值服務(wù)。,遭受高流量DDoS攻擊,服務(wù)不可用。用戶可以配置高防IP(無(wú)需備案),將攻擊流量引流到高防IP,保證源站的穩(wěn)定可靠。
