【文章內容簡介】 點，象商業(yè)公司，搜索引擎和政府部門的站點。從圖 1我們可以看出 DoS攻擊只要一臺單機和一個 modem就可實現，與之不同的是 DDoS攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。 DDoS的攻擊原理如圖所示。 59 DDOS原理 60 DDOS原理 ? 從圖可以看出， DDoS攻擊分為 3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。 攻擊者 ：攻擊者所用的計算機是攻擊主控臺，可以是網絡上的任何一臺主機，甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程，它向主控端發(fā)送攻擊命令。 主控端 ：主控端是攻擊者非法侵入并控制的一些主機，這些主機還分別控制大量的代理主機。主控端主機的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機上。 代理端 ： 代理端同樣也是攻擊者侵入并控制的一批主機，它們上面運行攻擊器程序，接受和運行主控端發(fā)來的命令。代理端主機是攻擊的執(zhí)行者，真正向受害者主機發(fā)送攻擊。 61 SYN Flood的基本原理 ? 大家都知道， TCP與 UDP不同，它是基于連接的，也就是說：為了在服務端和客戶端之間傳送 TCP數據，必須先建立一個虛擬電路，也就是 TCP連接，建立 TCP連接的標準過程是這樣的： 首先，請求端（客戶端）發(fā)送一個包含 SYN標志的 TCP報文，SYN即同步（ Synchronize），同步報文會指明客戶端使用的端口以及 TCP連接的初始序號； 第二步，服務器在收到客戶端的 SYN報文后，將返回一個SYN+ACK的報文，表示客戶端的請求被接受，同時 TCP序號被加一， ACK即確認（ Acknowledgement）。 第三步，客戶端也返回一個確認報文 ACK給服務器端，同樣TCP序列號被加一，到此一個 TCP連接完成。 以上的連接過程在 TCP協議中被稱為三次握手（ Threeway Handshake）。 62 SYN Flood的基本原理 ? 假設一個用戶向服務器發(fā)送了 SYN報文后突然死機或掉線，那么服務器在發(fā)出 SYN+ACK應答報文后是無法收到客戶端的 ACK報文的（第三次握手無法完成），這種情況下服務器端一般會重試（再次發(fā)送 SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為 SYN Timeout，一般來說這個時間是分鐘的數量級（大約為 30秒 2分鐘）；一個用戶出現異常導致服務器的一個線程等待 1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源 數以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的 CPU時間和內存，何況還要不斷對這個列表中的 IP進行 SYN+ACK的重試。實際上如果服務器的 TCP/IP棧不夠強大，最后的結果往往是堆棧溢出崩潰 即使服務器端的系統(tǒng)足夠強大，服務器端也將忙于處理攻擊者偽造的 TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之?。?，此時從正?？蛻舻慕嵌瓤磥?，服務器失去響應，這種情況我們稱作：服務器端受到了 SYN Flood攻擊（ SYN洪水攻擊）。 63 SYN Flood的基本 基本解決方法 ? 第一種是縮短 SYN Timeout時間，由于 SYN Flood攻擊的效果取決于服務器上保持的 SYN半連接數，這個值 =SYN攻擊的頻度 x SYN Timeout，所以通過縮短從接收到 SYN報文到確定這個報文無效并丟棄改連接的時間，例如設置為 20秒以下（過低的 SYN Timeout設置可能會影響客戶的正常訪問），可以成倍的降低服務器的負荷。 第二種方法是設置 SYN Cookie，就是給每一個請求連接的 IP地址分配一個 Cookie，如果短時間內連續(xù)受到某個 IP的重復 SYN報文，就認定是受到了攻擊，以后從這個 IP地址來的包會被丟棄。 64 DDoS攻擊使用的常用工具 ? DDoS攻擊實施起來有一定的難度，它要求攻擊者必須具備入侵他人計算機的能力。但是很不幸的是一些傻瓜式的黑客程序的出現，這些程序可以在幾秒鐘內完成入侵和攻擊程序的安裝，使發(fā)動 DDoS攻擊變成一件輕而易舉的事情。下面我們來分析一下這些常用的黑客程序。 Trinoo ? Trinoo的攻擊方法是向被攻擊目標主機的隨機端口發(fā)出全零的 4字節(jié) UDP包，在處理這些超出其處理能力的垃圾數據包的過程中，被攻擊主機的網絡性能不斷下降，直到不能提供正常服務，乃至崩潰。它對 IP地址不做假，采用的通訊端口是： ? 攻擊者主機到主控端主機： 27665/TCP 主控端主機到代理端主機： 27444/UDP 代理端主機到主服務器主機： 31335/UDPFN ? TFN由主控端程序和代理端程序兩部分組成，它主要采取的攻擊方法為： SYN風暴、 Ping風暴、 UDP炸彈和 SMURF，具有偽造數據包的能力。 65 DDoS攻擊使用的常用工具 ? TFN2K ? TFN2K是由 TFN發(fā)展而來的，在 TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網絡通訊是經過加密的，中間還可能混雜了許多虛假數據包，而 TFN對 ICMP的通訊沒有加密。攻擊方法增加了 Mix和 Targa3。并且 TFN2K可配置的代理端進程端口。 ? Stacheldraht ? Stacheldraht也是從 TFN派生出來的，因此它具有 TFN的特性。此外它增加了主控端與代理端的加密通訊能力，它對命令源作假，可以防范一些路由器的 RFC2267過濾。 Stacheldrah中有一個內嵌的代理升級模塊，可以自動下載并安裝最新的代理程序。 66 DDoS的監(jiān)測 ? 現在網上采用 DDoS方式進行攻擊的攻擊者日益增多，我們只有及早發(fā)現自己受到攻擊才能避免遭受慘重的損失。 ? 檢測 DDoS攻擊的主要方法有以下幾種： ? 根據異常情況分析 ? 當網絡的通訊量突然急劇增長，超過平常的極限值時，你可一定要提高警惕，檢測此時的通訊；當網站的某一特定服務總是失敗時，你也要多加注意；當發(fā)現有特大型的 ICP和 UDP數據包通過或數據包內容可疑時都要留神?？傊斈愕臋C器出現異常情況時，你最好分析這些情況，防患于未然。 ? 使用 DDoS檢測工具 ? 當攻擊者想使其攻擊陰謀得逞時，他首先要掃描系統(tǒng)漏洞，目前市面上的一些網絡入侵檢測系統(tǒng)，可以杜絕攻擊者的掃描行為。另外，一些掃描器工具可以發(fā)現攻擊者植入系統(tǒng)的代理程序，并可以把它從系統(tǒng)中刪除。 67 DDoS攻擊的防御策略 由于 DDoS攻擊具有隱蔽性，因此到目前為止我們還沒有發(fā)現對DDoS攻擊行之有效的解決方法。所以我們要加強安全防范意識，提高網絡系統(tǒng)的安全性?？刹扇〉陌踩烙胧┯幸韵聨追N： 及早發(fā)現系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補丁程序。對一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機制。對一些特權帳號（例如管理員帳號）的密碼設置要謹慎。通過這樣一系列的舉措可以把攻擊者的可乘之機降低到最小。 在網絡管理方面，要經常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網絡服務。建立邊界安全界限，確保輸出的包受到正確限制。經常檢測系統(tǒng)配置信息，并注意查看每天的安全日志。 利用網絡安全設備（例如：防火墻）來加固網絡的安全性，配置好它們的安全規(guī)則，過濾掉所有的可能的偽造數據包。 比較好的防御措施就是和你的網絡服務提供商協調工作，讓他們幫助你實現路由的訪問控制和對帶寬總量的限制。 ? 68 DDoS攻擊的防御策略 當你發(fā)現自己正在遭受 DDoS攻擊時，你應當啟動您的應付策略，盡可能快的追蹤攻擊包，并且要及時聯系 ISP和有關應急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點，從而阻擋從已知攻擊節(jié)點的流量。 當你是潛在的 DDoS攻擊受害者，你發(fā)現你的計算機被攻擊者用做主控端和代理端時，你不能因為你的系統(tǒng)暫時沒有受到損害而掉以輕心，攻擊者已發(fā)現你系統(tǒng)的漏洞，這對你的系統(tǒng)是一個很大的威脅。所以一旦發(fā)現系統(tǒng)中存在 DDoS攻擊的工具軟件要及時把它清除，以免留下后患。 69 分布式拒絕服務（ DDoS）攻擊工具分析 TFN2K ? 客戶端 —— 用于通過發(fā)動攻擊的應用程序，攻擊者通過它來發(fā)送各種命令。 守護程序 —— 在代理端主機運行的進程，接收和響應來自客戶端的命令。 主控端 —— 運行客戶端程序的主機。 代理端 —— 運行守護程序的主機。 目標主機 —— 分布式攻擊的目標（主機或網絡）。 70 分布式拒絕服務（ DDoS）攻擊工具分析 TFN2K ? TFN2K通過主控端利用大量代理端主機的資源進行對一個或多個目標進行協同攻擊。當前互聯網中的 UNIX、 Solaris和 Windows NT等平臺的主機能被用于此類攻擊，而且這個工具非常容易被移植到其它系統(tǒng)平臺上。 TFN2K由兩部分組成：在主控端主機上的客戶端和在代理端主機上的守護進程。主控端向其代理端發(fā)送攻擊指定的目標主機列表。代理端據此對目標進行拒絕服務攻擊。由一個主控端控制的多個代理端主機，能夠在攻擊過程中相互協同，保證攻擊的連續(xù)性。主控央和代理端的網絡通訊是經過加密的，還可能混雜了許多虛假數據包。整個 TFN2K網絡可能使用不同的 TCP、 UDP或ICMP包進行通訊。而且主控端還能偽造其 IP地址。所有這些特性都使發(fā)展防御 TFN2K攻擊的策略和技術都非常困難或效率低下。 71 ? 主控端通過 TCP、 UDP、 ICMP或隨機性使用其中之一的數據包向代理端主機 發(fā)送命令。對目標的攻擊方法包括 TCP/SYN、 UDP、ICMP/PING或 BROADCAST PING (SMURF)數據包 flood等。 ? ◆ 主控端與代理端之間數據包的頭信息也是隨機的，除了 ICMP總是使用 ICMP_ECHOREPLY類型數據包。 ◆ 與其上一代版本 TFN不同， TFN2K的守護程序是完全沉默的，它不會對接收 到的命令有任何回應。客戶端重復發(fā)送每一個命令 20次，并且認為守護程 序應該至少能接收到其中一個。 72 ? ◆ 這些命令數據包可能混雜了許多發(fā)送到隨機 IP地址的偽造數據包。 ◆ TFN2K命令不是基于字符串的，而采用了 ++格式，其中是 代表某個特定命令的數值，則是該命令的參數。 ◆ 所有命令都經過了 CAST256算法（ RFC 2612）加密。加密關鍵字在程序編 譯時定義，并作為 TFN2K客戶端程序的口令。 ◆ 所有加密數據在發(fā)送前都被編碼（ Base 64）成可打印的 ASCII字符。 TFN2K 守護程序接收數據包并解密數據。 73 ? ◆ 守護進程為每一個攻擊產生子進程。 ◆ TFN2K守護進程試圖通過修改 argv[0]內容（或在某些平臺中修改進程名） 以掩飾自己。偽造的進程名在編譯時指定，因此每次安裝時都有可能不同。 這個功能使 TFN2K偽裝成代理端主機的普通正常進程。因此，只是簡單地檢 查進程列表未必能找到 TFN2K守護進程（及其子進程）。 ◆ 來自每一個客戶端或守護進程的所有數據包都可能被偽造。 74 ? TFN2K仍然有弱點。可能是疏忽的原因，加密后的 Base 64編碼在每一個 TFN2K數據包的尾部留下了痕跡（與協議和加密算法無關）?？赡苁浅绦蜃髡邽榱耸姑恳粋€數據包的長度變化而填充了 1到 16個零 (0x00)，經過 Base 64編碼后就成為多個連續(xù)的 0x41(39。A39。)。添加到數據包尾部的 0x41的數量是可變的，但至少會有一個。這些位于數據包尾部的 0x41(39。A39。)就成了捕獲TFN2K命令數據包的特征了 75 ? fork ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ /dev/urandom /dev/random %d.%d.%d.%d sh* ksh* ** ** tfndaemon*** tfnchild*** 76 ? 目前仍沒有能有效防御 TFN2K拒絕服務攻擊的方法。最有效的策略是防止網絡資源被用作客戶端或代理端。 預 防 ◆ 只使用應用代理型防火墻。這能夠有效地阻止所有的 TFN2K通訊。但只使用應 用代理服務器通常是不切合實