案例
2007年,国内著名游戏厂商联众世界遭受了一次有组织的大型分布式拒绝服务(DDoS)攻击,经济损失惨重;2009年5月19日,“暴风影音”服务器遭受DDoS攻击引发了多省大规模网络故障事件;7月,美、韩两国政府诸多商务网站和军事网站频频遭受DDoS攻击,造成近30个网站访问延迟甚至崩溃……
这些案例表明,近年来,大规模的DDoS攻击呈上升趋势,其影响也越来越恶劣。有数据表明,2008年,中国DDoS攻击的峰值流量甚至达到了40Gps,这是一个省级运营商40%的带宽,客户访问失败、服务质量受损,网络服务商从信誉到金钱都遭受到了巨大损失。那么,有没有技术方案可以彻底解决这一难题呢?
原理
Dos可分为三类:
l 带宽攻击
l 协议攻击
l 逻辑攻击
带宽攻击:这是最古老、最常见的DoS攻击。在这种攻击中,黑客使用数据流量填满网络。脆弱的系统或网络由于不能处理发送个他的大量流量而导致系统崩溃或响应速度减慢,从而阻止了合法用户的访问。
协议攻击:这是一种需要更多技巧的攻击,它正变得越来越流行。这里,恶意黑客以目标系统从来没有想到的方式发送数据流,如攻击者发送大量的SYN数据包。
逻辑攻击:这种攻击包含了对组网技术的深刻理解,因此也是一种最高级的攻击类型。逻辑攻击的一个典型的实例是LAND攻击,这里,攻击者发送具有相同源IP地址和目标IP地址的伪造数据包。很多系统不能够处理这种引起混乱的行为,从而导致崩溃。
常见的DoS攻击
先介绍两个协议:TCP和ICMP
TCP:在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。
第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;
第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。
ICMP: ICMP是“Internet Control Message Protocol”(Internet控制消息协议)的缩写。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
1.Ping of Death
这个攻击使用ICMP ping消息。Ping消息用于查看网络上的追究是否处于活动状态,它也是网络诊断和故障排除的有力工具。
在Ping of Death攻击中,发送的echo数据包大于数据包的最大允许长度65536个字节。这个数据包被划分为一些较小的分段进行发送,但在分段重组时,系统发现重组后数据包的长度太长,接受缓冲区放不下。这样,不能够处理这类畸形数据包的系统就会崩溃或者重新启动。
2.Smurf和Fraggle攻击
Smurf攻击时另一种使用ICMP的DoS攻击。这里,将一个echo request消息发送给网络广播地址,使用伪造的源地址作为目标地址。当网络中的主机收到echo request消息后,这些主机就向目标发送echo reply消息。尽管单个echo request消息或许不足以造成目标系统的崩溃,以分布式方式发起多个指向单一目标的Smurf攻击就有可能造成目标系统的瘫痪。我们甚至可以通过指定几个广播地址作为目标攻击整个网络。
3.LAND攻击
在LAND攻击中,使用相同的源地址、目标地址和相同的端口号发送TCP SYN数据包。当主机接受到这种异常的数据包时,经常会或者降低运行速度,或者完全停机,原因在于主机试图与自己发起无限循环的通信。
4.SYN Flood攻击
SYN Flood攻击时最古老的攻击之一。现在也依然是最有效的DoS攻击方式。它的目标就是使服务器不能够味正常访问的用户提供服务。SYN Flood攻击利用TCP三次握手协议,向目标主机发送大量的伪造源地址的SYN连接请求,消耗目标主机的资源,从而使其不能够为正常用户提供服务。
用于发起DoS攻击的工具
l Datapool
l Hgod
l Jolt2
防御方法
1.防火墙
防火墙是抵御DoS攻击的基本工具。CISCO PIX FIREWALL提供了一种称之为Flood Defender的功能,能够抵御TCP SYN洪流的攻击。Flood Defender的工作方式为:限制连接到指定服务器上的未回答的SYN连接的数量。当达到限制数量时,所有其他连接都被丢弃,以保护内部服务器避免TCP SYN攻击。PIX防火墙提供了一个配置参数用于指定限制连接的数量,我们可以使用NAT和static命令修改。
2.基于主机的IDS
基于主机的入侵检测系统和基于主机的防火墙通过检测和阻塞未请求的数据包来检查DoS企图。但是,尽管安装数以百计的基于主机的IDS设备有这种可能,但通常不实际。安装,配置及持续监控这些设备所花费的时间远远超出了人员不多的IT部门的能力。从最低程度上讲,建议对放置在非军事区中的服务器配置某种形式的软件防火墙,协助组织针对该服务器的DoS攻击或其他攻击。
3.基于特征的IDS
通过使用基于特征的网络IDS设备,能够分析和评估网络流量,及时发现可能的DoS攻击。这类设备是监视已知DoS攻击的基本工具。他们在攻击发生时及时发出警报方面特别有效。CISCO IDS 4200系列传感器本身含有几种类型DoS特征。
4.网络异常检测器
尽管基于特征的网络入侵检测系统能够被用于抵御普通的DoS攻击,但对抵御0day类型的攻击来说一般都无效。这也正是出现网络异常检测器的原因。网络异常检测器用于观察不寻常的网络流量,观察方法是与参考基点相对照。如果发现流量超出了一定的限度,那么就报警,并采取相应的对应措施。