【文章內(nèi)容簡介】 回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當服務(wù)器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復發(fā)送偽地址請求的情況下，服務(wù)器資源最終會被耗盡。 59 DDOS原理 ? DDoS（分布式拒絕服務(wù)），它的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，象商業(yè)公司，搜索引擎和政府部門的站點。從圖 1我們可以看出 DoS攻擊只要一臺單機和一個 modem就可實現(xiàn)，與之不同的是 DDoS攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。 DDoS的攻擊原理如圖所示。 60 DDOS原理 61 DDOS原理 ? 從圖可以看出， DDoS攻擊分為 3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。 攻擊者 ：攻擊者所用的計算機是攻擊主控臺，可以是網(wǎng)絡(luò)上的任何一臺主機，甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程，它向主控端發(fā)送攻擊命令。 主控端 ：主控端是攻擊者非法侵入并控制的一些主機，這些主機還分別控制大量的代理主機。主控端主機的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機上。 代理端 ： 代理端同樣也是攻擊者侵入并控制的一批主機，它們上面運行攻擊器程序，接受和運行主控端發(fā)來的命令。代理端主機是攻擊的執(zhí)行者，真正向受害者主機發(fā)送攻擊。 62 SYN Flood的基本原理 ? 大家都知道， TCP與 UDP不同，它是基于連接的，也就是說：為了在服務(wù)端和客戶端之間傳送 TCP數(shù)據(jù)，必須先建立一個虛擬電路，也就是 TCP連接，建立 TCP連接的標準過程是這樣的： 首先，請求端（客戶端）發(fā)送一個包含 SYN標志的 TCP報文，SYN即同步（ Synchronize），同步報文會指明客戶端使用的端口以及 TCP連接的初始序號； 第二步，服務(wù)器在收到客戶端的 SYN報文后，將返回一個SYN+ACK的報文，表示客戶端的請求被接受，同時 TCP序號被加一， ACK即確認（ Acknowledgement）。 第三步，客戶端也返回一個確認報文 ACK給服務(wù)器端，同樣TCP序列號被加一，到此一個 TCP連接完成。 以上的連接過程在 TCP協(xié)議中被稱為三次握手（ Threeway Handshake）。 63 SYN Flood的基本原理 ? 假設(shè)一個用戶向服務(wù)器發(fā)送了 SYN報文后突然死機或掉線，那么服務(wù)器在發(fā)出 SYN+ACK應(yīng)答報文后是無法收到客戶端的 ACK報文的（第三次握手無法完成），這種情況下服務(wù)器端一般會重試（再次發(fā)送 SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為 SYN Timeout，一般來說這個時間是分鐘的數(shù)量級（大約為 30秒 2分鐘）；一個用戶出現(xiàn)異常導致服務(wù)器的一個線程等待 1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護一個非常大的半連接列表而消耗非常多的資源 數(shù)以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的 CPU時間和內(nèi)存，何況還要不斷對這個列表中的 IP進行 SYN+ACK的重試。實際上如果服務(wù)器的 TCP/IP棧不夠強大，最后的結(jié)果往往是堆棧溢出崩潰 即使服務(wù)器端的系統(tǒng)足夠強大，服務(wù)器端也將忙于處理攻擊者偽造的 TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之?。?，此時從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況我們稱作：服務(wù)器端受到了 SYN Flood攻擊（ SYN洪水攻擊）。 64 SYN Flood的基本 基本解決方法 ? 第一種是縮短 SYN Timeout時間，由于 SYN Flood攻擊的效果取決于服務(wù)器上保持的 SYN半連接數(shù)，這個值 =SYN攻擊的頻度 x SYN Timeout，所以通過縮短從接收到 SYN報文到確定這個報文無效并丟棄改連接的時間，例如設(shè)置為 20秒以下（過低的 SYN Timeout設(shè)置可能會影響客戶的正常訪問），可以成倍的降低服務(wù)器的負荷。 第二種方法是設(shè)置 SYN Cookie，就是給每一個請求連接的 IP地址分配一個 Cookie，如果短時間內(nèi)連續(xù)受到某個 IP的重復 SYN報文，就認定是受到了攻擊，以后從這個 IP地址來的包會被丟棄。 65 DDoS攻擊使用的常用工具 ? DDoS攻擊實施起來有一定的難度，它要求攻擊者必須具備入侵他人計算機的能力。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘內(nèi)完成入侵和攻擊程序的安裝，使發(fā)動 DDoS攻擊變成一件輕而易舉的事情。下面我們來分析一下這些常用的黑客程序。 Trinoo ? Trinoo的攻擊方法是向被攻擊目標主機的隨機端口發(fā)出全零的 4字節(jié) UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中，被攻擊主機的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常服務(wù)，乃至崩潰。它對 IP地址不做假，采用的通訊端口是： ? 攻擊者主機到主控端主機： 27665/TCP 主控端主機到代理端主機： 27444/UDP 代理端主機到主服務(wù)器主機： 31335/UDPFN ? TFN由主控端程序和代理端程序兩部分組成，它主要采取的攻擊方法為： SYN風暴、 Ping風暴、 UDP炸彈和 SMURF，具有偽造數(shù)據(jù)包的能力。 66 DDoS攻擊使用的常用工具 ? TFN2K ? TFN2K是由 TFN發(fā)展而來的，在 TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，中間還可能混雜了許多虛假數(shù)據(jù)包，而 TFN對 ICMP的通訊沒有加密。攻擊方法增加了 Mix和 Targa3。并且 TFN2K可配置的代理端進程端口。 ? Stacheldraht ? Stacheldraht也是從 TFN派生出來的，因此它具有 TFN的特性。此外它增加了主控端與代理端的加密通訊能力，它對命令源作假，可以防范一些路由器的 RFC2267過濾。 Stacheldrah中有一個內(nèi)嵌的代理升級模塊，可以自動下載并安裝最新的代理程序。 67 DDoS的監(jiān)測 ? 現(xiàn)在網(wǎng)上采用 DDoS方式進行攻擊的攻擊者日益增多，我們只有及早發(fā)現(xiàn)自己受到攻擊才能避免遭受慘重的損失。 ? 檢測 DDoS攻擊的主要方法有以下幾種： ? 根據(jù)異常情況分析 ? 當網(wǎng)絡(luò)的通訊量突然急劇增長，超過平常的極限值時，你可一定要提高警惕，檢測此時的通訊；當網(wǎng)站的某一特定服務(wù)總是失敗時，你也要多加注意；當發(fā)現(xiàn)有特大型的 ICP和 UDP數(shù)據(jù)包通過或數(shù)據(jù)包內(nèi)容可疑時都要留神。總之，當你的機器出現(xiàn)異常情況時，你最好分析這些情況，防患于未然。 ? 使用 DDoS檢測工具 ? 當攻擊者想使其攻擊陰謀得逞時，他首先要掃描系統(tǒng)漏洞，目前市面上的一些網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以杜絕攻擊者的掃描行為。另外，一些掃描器工具可以發(fā)現(xiàn)攻擊者植入系統(tǒng)的代理程序，并可以把它從系統(tǒng)中刪除。 68 DDoS攻擊的防御策略 由于 DDoS攻擊具有隱蔽性，因此到目前為止我們還沒有發(fā)現(xiàn)對DDoS攻擊行之有效的解決方法。所以我們要加強安全防范意識，提高網(wǎng)絡(luò)系統(tǒng)的安全性?？刹扇〉陌踩烙胧┯幸韵聨追N： 及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補丁程序。對一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機制。對一些特權(quán)帳號（例如管理員帳號）的密碼設(shè)置要謹慎。通過這樣一系列的舉措可以把攻擊者的可乘之機降低到最小。 在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。建立邊界安全界限，確保輸出的包受到正確限制。經(jīng)常檢測系統(tǒng)配置信息，并注意查看每天的安全日志。 利用網(wǎng)絡(luò)安全設(shè)備（例如：防火墻）來加固網(wǎng)絡(luò)的安全性，配置好它們的安全規(guī)則，過濾掉所有的可能的偽造數(shù)據(jù)包。 比較好的防御措施就是和你的網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，讓他們幫助你實現(xiàn)路由的訪問控制和對帶寬總量的限制。 ? 69 DDoS攻擊的防御策略 當你發(fā)現(xiàn)自己正在遭受 DDoS攻擊時，你應(yīng)當啟動您的應(yīng)付策略，盡可能快的追蹤攻擊包，并且要及時聯(lián)系 ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點，從而阻擋從已知攻擊節(jié)點的流量。 當你是潛在的 DDoS攻擊受害者，你發(fā)現(xiàn)你的計算機被攻擊者用做主控端和代理端時，你不能因為你的系統(tǒng)暫時沒有受到損害而掉以輕心，攻擊者已發(fā)現(xiàn)你系統(tǒng)的漏洞，這對你的系統(tǒng)是一個很大的威脅。所以一旦發(fā)現(xiàn)系統(tǒng)中存在 DDoS攻擊的工具軟件要及時把它清除，以免留下后患。 70 分布式拒絕服務(wù)（ DDoS）攻擊工具分析 TFN2K ? 客戶端 —— 用于通過發(fā)動攻擊的應(yīng)用程序，攻擊者通過它來發(fā)送各種命令。 守護程序 —— 在代理端主機運行的進程，接收和響應(yīng)來自客戶端的命令。 主控端 —— 運行客戶端程序的主機。 代理端 —— 運行守護程序的主機。 目標主機 —— 分布式攻擊的目標（主機或網(wǎng)絡(luò)）。 71 分布式拒絕服務(wù)（ DDoS）攻擊工具分析 TFN2K ? TFN2K通過主控端利用大量代理端主機的資源進行對一個或多個目標進行協(xié)同攻擊。當前互聯(lián)網(wǎng)中的 UNIX、 Solaris和 Windows NT等平臺的主機能被用于此類攻擊，而且這個工具非常容易被移植到其它系統(tǒng)平臺上。 TFN2K由兩部分組成：在主控端主機上的客戶端和在代理端主機上的守護進程。主控端向其代理端發(fā)送攻擊指定的目標主機列表。代理端據(jù)此對目標進行拒絕服務(wù)攻擊。由一個主控端控制的多個代理端主機，能夠在攻擊過程中相互協(xié)同，保證攻擊的連續(xù)性。主控央和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，還可能混雜了許多虛假數(shù)據(jù)包。整個 TFN2K網(wǎng)絡(luò)可能使用不同的 TCP、 UDP或ICMP包進行通訊。而且主控端還能偽造其 IP地址。所有這些特性都使發(fā)展防御 TFN2K攻擊的策略和技術(shù)都非常困難或效率低下。 72 ? 主控端通過 TCP、 UDP、 ICMP或隨機性使用其中之一的數(shù)據(jù)包向代理端主機 發(fā)送命令。對目標的攻擊方法包括 TCP/SYN、 UDP、ICMP/PING或 BROADCAST PING (SMURF)數(shù)據(jù)包 flood等。 ? ◆ 主控端與代理端之間數(shù)據(jù)包的頭信息也是隨機的，除了 ICMP總是使用 ICMP_ECHOREPLY類型數(shù)據(jù)包。 ◆ 與其上一代版本 TFN不同， TFN2K的守護程序是完全沉默的，它不會對接收 到的命令有任何回應(yīng)。客戶端重復發(fā)送每一個命令 20次，并且認為守護程 序應(yīng)該至少能接收到其中一個。 73 ? ◆ 這些命令數(shù)據(jù)包可能混雜了許多發(fā)送到隨機 IP地址的偽造數(shù)據(jù)包。 ◆ TFN2K命令不是基于字符串的，而采用了 ++格式，其中是 代表某個特定命令的數(shù)值，則是該命令的參數(shù)。 ◆ 所有命令都經(jīng)過了 CAST256算法（ RFC 2612）加密。加密關(guān)鍵字在程序編 譯時定義，并作為 TFN2K客戶端程序的口令。 ◆ 所有加密數(shù)據(jù)在發(fā)送前都被編碼（ Base 64）成可打印的 ASCII字符。 TFN2K 守護程序接收數(shù)據(jù)包并解密數(shù)據(jù)。 74 ? ◆ 守護進程為每一個攻擊產(chǎn)生子進程。 ◆ TFN2K守護進程試圖通過修改 argv[0]內(nèi)容（或在某些平臺中修改進程名） 以掩飾自己。偽造的進程名在編譯時指定，因此每次安裝時都有可能不同。 這個功能使 TFN2K偽裝成代理端主機的普通正常進程。因此，只是簡單地檢 查進程列表未必能找到 TFN2K守護進程（及其子進程）。 ◆ 來自每一個客戶端或守護進程的所有數(shù)據(jù)包都可能被偽造。 75 ? TFN2K仍然有弱點?？赡苁鞘韬龅脑?，加密后的 Base 64編碼在每一個 TFN2K數(shù)據(jù)包的尾部留下了痕跡（與協(xié)議和加密算法無關(guān)）?？赡苁浅绦蜃髡邽榱耸姑恳粋€數(shù)據(jù)包的長度變化而填充了 1到 16個零 (0x00)，經(jīng)過 Base 64編碼后就成為多個連續(xù)的 0x41(39。A39。)。添加到數(shù)據(jù)包尾部的 0x41的數(shù)量是可變的，但至少會有一個。這些位于數(shù)據(jù)包尾部的 0x41(39。A39。)就成了捕獲TFN2K命令數(shù)據(jù)包的特征了 76 ? fork ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmno