定义
分散式拒绝服务攻击(英文意思是Distributed Denial of Service,简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分散式拒绝服务攻击,其中的攻击者可以有多个。攻击原理
分散式拒绝服务攻击原理分散式拒绝服务攻击DDoS是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是採用一对一方式的,它利用网路协定和作业系统的一些缺陷,採用欺骗和伪装的策略来进行网路攻击,使网站伺服器充斥大量要求回复的信息,消耗网路频宽或系统资源,导致网路或系统不胜负荷以至于瘫痪而停止提供正常的网路服务。与DoS攻击由单台主机发起攻击相比较,分散式拒绝服务攻击DDoS是藉助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。
一个完整的DDoS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。主控端和代理端分别用于控制和实际发起攻击,其中主控端只发布命令而不参与实际的攻击,代理端发出DDoS的实际攻击包。对于主控端和代理端的计算机,攻击者有控制权或者部分控制权.它在攻击过程中会利用各种手段隐藏自己不被别人发现。真正的攻击者一旦将攻击的命令传送到主控端,攻击者就可以关闭或离开网路.而由主控端将命令发布到各个代理主机上。这样攻击者可以逃避追蹤。每一个攻击代理主机都会向目标主机传送大量的服务请求数据包,这些数据包经过伪装,无法识别它的来源,而且这些数据包所请求的服务往往要消耗大量的系统资源,造成目标主机无法为用户提供正常服务。甚至导致系统崩溃。
分类
一、基于自动化程度分类
1、手工的DDoS攻击。
早期的DDoS攻击全是採用手动配置的,即发动DDoS攻击时,扫描远端有漏洞的计算机,侵入它们并且安装代码全是手动完成的。
2、半自动化的DDoS攻击。
在半自动化的攻击中,DDoS攻击属于主控端一代理端的攻击模型,攻击者用自动化的Scripts来扫描,主控端的机器对主控端和代理端之间进行协商攻击的类型、受害者的地址、何时发起攻击等信息由进行详细记录。
3、自动化的DDoS攻击。
在这类攻击中。攻击者和代理端机器之间的通信是绝对不允许的。这类攻击的攻击阶段绝大部分被限制用一个单一的命令来实现,攻击的所有特徵,例如攻击的类型,持续的时间和受害者的地址在攻击代码中都预先用程式实现。
二、基于系统及协定的弱点分类
1、洪水攻击。
在洪水攻击中。傀儡机向受害者系统传送大量的数据流为了充塞受害者系统的频宽,影响小的则降低受害者提供的服务,影响大的则使整个网路频宽持续饱和,以至于网路服务瘫痪。典型的洪水攻击有UDP洪水攻击和ICMP洪水攻击。
2、扩大攻击。
扩大攻击分为两种,一种是利用广播lP地址的特性,一种是利用反射体来发动攻击。前一种攻击者是利用了广播IP位址的特性来扩大和映射攻击,导致路由器将数据包传送到整个网路的广播地址列表中的所有的广播IP位址。这些恶意的流量将减少受害者系统可提供的频宽。典型的扩大攻击有Smurf和Fraggle攻击。
3、利用协定的攻击。
该类攻击则是利用某些协定的特性或者利用了安装在受害者机器上的协定中存在的漏洞来耗尽它的大量资源。典型的利用协定攻击的例子是TCP SYN攻击。
4、畸形数据包攻击。
攻击者通过向受害者传送不正确的IP位址的数据包,导致受害系统崩溃。畸形数据包攻击可分为两种类型:IP位址攻击和IP数据包属性攻击。
三、基于攻击速率分类
DDoS攻击从基于速率上进行分类,可以分为持续速率和可变速率的攻击。持续速率的攻击是指只要开始发起攻击,就用全力不停顿也不消减力量。像这种攻击的影响是非常快的。可变速率的攻击,从名字就可以看出,用不同的攻击速率,基于这种速率改变的机制,可以把这种攻击分为增加速率和波动的速率。
四、基于影响力进行分类
DDoS攻击从基于影响力方面可以分为网路服务彻底崩溃和降低网路服务的攻击。服务彻底崩溃的攻击将导致受害者的伺服器完全拒绝对客户端提供服务。降低网路服务的攻击,消耗受害者系统的一部分资源,这将延迟攻击被发现的时间,同时对受害者造成一定的破坏。
五、基于入侵目标分类
DDoS攻击从基于入侵目标,可以将DDoS攻击分为频宽攻击和连通性攻击,频宽攻击通过使用大量的数据包来淹没整个网路,使得有效的网路资源被浪费,合法朋户的请求得不到回响,大大降低了效率。而连通性攻击是通过传送大量的请求来使的计算机瘫痪,所有有效的作业系统资源被耗尽,导致计算机不能够再处理合法的用户请求。
六、基于攻击路线分类
1、直接攻击:攻击者和主控端通信,主控端接到攻击者的命令后,再控制代理端向受害者发动攻击数据流。代理端向受害者系统传送大量的伪IP位址的网路数据流,这样攻击者很难被追查到。
2、反覆式攻击通过利用反射体,发动更强大的攻击流。反射体是任何一台主机只要传送一个数据包就能收到一个数据包,反覆式攻击就是攻击者利用中间的网路节点发动攻击。
七、基于攻击特徵分类
从攻击特徵的角度,可以将DDoS攻击分为攻击行为特徵可提取和攻击行为特徵不可提取两类。攻击行为特徵可提取的DDoS攻击又可以细分为可过滤型和不可过滤型。可过滤型的DDoS攻击主要指那些使用畸形的非法数据包。不可过滤型DDoS攻击通过使用精心设计的数据包,模仿合法用户的正常请求所用的数据包,一旦这类数据包被过滤将会影响合法用户的正常使用。
攻击现象
DDoS的表现形式主要有两种,一种为流量攻击,主要是针对网路频宽的攻击,即大量攻击包导致网路频宽被阻塞,合法网路包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对伺服器主机的攻击,即通过大量攻击包导致主机的记忆体被耗尽或CPU被核心及应用程式占完而造成无法提供网路服务。当被DDoS攻击时,主要表现为:
(1)被攻击主机上有大量等待的TCP连线。
(2)网路中充斥着大量的无用的数据包,源地址为假。
(3)製造高流量无用数据,造成网路拥塞,使受害主机无法正常和外界通讯。
(4)利用受害主机提供的服务或传输协定上的缺陷,反覆高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求。
(5)严重时会造成系统当机。
攻击流程
攻击者进行一次DDoS攻击大概需要经过了解攻击目标、攻占傀儡机、实际攻击三个主要步骤,下面依次说明每一步骤的具体过程:
1、了解攻击目标就是对所要攻击的目标有一个全面和準确的了解,以便对将来的攻击做到心中有数。主要关心的内容包括被攻击目标的主机数目、地址情况。目标主机的配置、性能、目标的频宽等等。对于DDoS攻击者来说,攻击网际网路上的某个站点,有一个重点就是确定到底有多少台主机在支持这个站点,一个大的网站可能有很多台主机利用负载均衡技术提供服务。所有这些攻击目标的信息都关係到后面两个阶段的实施目标和策略,如果盲目的发动DDoS攻击就不能保证攻击目的的完成,还可能过早的暴露攻击者的身份,所以了解攻击目标是有经验的攻击者必经的步骤。
2、攻占傀儡主机就是控制儘可能多的机器,然后安装相应的攻击程式。在主控机上安装控制攻击的程式,而攻击机则安装DDoS攻击的发包程式。攻击者最感兴趣,也最有可能成为别人的傀儡主机的机器包括那些链路状态好、性能好同时安全管理水平差的主机。攻击者一般会利用已有的或者未公布的一些系统或者套用软体的漏洞.取得一定的控制权,起码可以安装攻击实施所需要的程式,更厉害的可能还会取得最高控制权、留下后门等等。在早期的DDoS攻击过程中,攻占傀儡主机这一步主要是攻击者自己手动完成的,亲自扫描网路,发现安全性比较差的主机,将其攻占并且安装攻击程式。但是后来随着DDoS攻击和蠕虫的融合,攻占傀儡机变成了一个自动化的过程,攻击者只要将蠕虫放入网路中,蠕虫就会在不断扩散中不停地攻占主机,这样所能联合的攻击机将变得非常巨大,DDoS攻击的威力更大。
3、DDoS攻击的最后一个阶段就是实际的攻击过程,攻击者通过主控机向攻击机发出攻击指令,或者按照原先设定好的攻击时间和目标,攻击机不停的向目标或者反射伺服器传送大量的攻击包,来吞没被攻击者,达到拒绝服务的最终日的。和前两个过程相比,实际攻击过程倒是最简单的一个阶段,一些有经验的攻击者可能还会在攻击的同时通过各种手段检查攻击效果,甚至在攻击过程中动态调整攻击策略,儘可能清除在主控机和攻击机上留下的蛛丝马迹。
攻击方式
1、SYN Flood攻击
SYN Flood攻击是当前网路上最为常见的DDoS攻击,它利用了TCP协定实现上的一个缺陷。通过向网路服务所在连线埠传送大量的伪造源地址的攻击报文,就可能造成目标伺服器中的半开连线伫列被占满,从而阻止其他合法用户进行访问。
2、UDP Flood攻击
UDP Flood是日渐猖厥的流量型DDoS攻击,原理也很简单。常见的情况是利用大量UDP小包冲击DNS伺服器或Radius认证伺服器、流媒体视频伺服器。由于UDP协定是一种无连线的服务,在UDP Flood攻击中,攻击者可传送大量伪造源IP位址的小UDP包。
3、ICMP Flood攻击
ICMP Flood攻击属于流量型的攻击方式,是利用大的流量给伺服器带来较大的负载,影响伺服器的正常服务。由于目前很多防火墙直接过滤ICMP报文。因此ICMP Flood出现的频度较低。
4、Connection Flood攻击
Connection Flood是典型的利用小流量冲击大频宽网路服务的攻击方式,这种攻击的原理是利用真实的IP位址向伺服器发起大量的连线。并且建立连线之后很长时间不释放,占用伺服器的资源,造成伺服器上残余连线(WAIT状态)过多,效率降低,甚至资源耗尽,无法回响其他客户所发起的连结。
5、HTTP Get攻击
这种攻击丰要是针对存在ASP、JSP、PHP、CGI等脚本程式,特徵是和伺服器建立正常的TCP连线,并不断的向脚本程式提交查询、列表等大量耗费资料库资源的调用。这种攻击的特点是可以绕过普通的防火墙防护,可通过Proxy代理实施攻击,缺点是攻击静态页面的网站效果不佳,会暴露攻击者的lP地址。
6、UDP DNS Query Flood攻击
UDP DNS Query Flood攻击採用的方法是向被攻击的伺服器传送大最的域名解析请求,通常请求解析的域名是随机生成或者是网路世界上根本不存在的域名。域名解析的过程给伺服器带来了很大的负载,每秒钟域名解析请求超过一定的数星就会造成DNS伺服器解析域名逾时。
应对策略
防御措施
不但是对DDoS,而且是对于所有网路的攻击,都应该是採取儘可能周密的防御措施,同时加强对系统的检测,建立迅速有效的应对策略。应该採取的防御措施有:
(1)全面综合地设计网路的安全体系,注意所使用的安全产品和网路设备。
(2)提高网路管理人员的素质,关注安全信息,遵从有关安全措施,及时地升级系统,加强系统抗击攻击的能力。
(3)在系统中加装防火墙系统,利用防火墙系统对所有出入的数据包进行过滤,检查边界安全规则,确保输出的包受到正确限制。
(4)最佳化路由及网路结构。对路由器进行合理设定,降低攻击的可能性。
(5)最佳化对外提供服务的主机,对所有在网上提供公开服务的主机都加以限制。
(6)安装入侵检测工具(如NIPC、NGREP),经常扫描检查系统,解决系统的漏洞,对系统档案和应用程式进行加密,并定期检查这些档案的变化。
防御原则
在回响方面,虽然还没有很好的对付攻击行为的方法,但仍然可以採取措施使攻击的影响降至最小。对于提供信息服务的主机系统,应对的根本原则是:
儘可能地保持服务、迅速恢复服务。由于分散式攻击入侵网路上的大量机器和网路设备,所以要对付这种攻击归根到底还是要解决网路的整体安全问题。真正解决安全问题一定要多个部门的配合,从边缘设备到骨干网路都要认真做好防範攻击的準备,一旦发现攻击就要及时地掐断最近攻击来源的那个路径,限制攻击力度的无限增强。网路用户、管理者以及ISP之间应经常交流,共同制订计画,提高整个网路的安全性。
