向被攻击者发送众多的带有虚假地址的请求;②被攻击者发送响应信息后等待回传信息;③由于得不到回传信息,使系统待处理队列不断加长,直到资源耗尽,最终达到被攻击者出现拒绝服务的现象。 2.2 DDoS攻击
DoS攻击主要是采用一对一的攻击方式。当目标计算机的配置较低或网络带宽较小时,其攻击的效果较为明显。随着计算机及网络技术的发展,计算机的处理能力迅速增长,网络带宽也从百兆发展到了千兆、万兆,DoS攻击很难奏效。DDoS攻击是DoS攻击的一种演变,它改变了传统的一对一的攻击方式,利用网络调动大量傀儡机,同时向目标主机发起攻击,攻击效果极为明显。 2.2.1 DDoS攻击原理
DDoS主要采用了比较特殊的3层客户机/服务器结构,即攻击端、主控端和代理端,这3者在攻击中各自扮演着不同的角色。攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。代理端:代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令。代理端主机是攻击的执行者,真正向受害者主机发送攻击。攻击者发起DDoS攻击的第一步,就是寻找在Internet上有漏洞的主机,进入系统后在其上面安装后门程序,攻击者入侵的主机越多,他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序,其中一部分主机充当攻击的主控端,一部分主机充当攻击的代理端。最后各部分主机各司其职,在攻击者的调遣下对攻击对象发起攻击。这种3层客户机/服务器结构,使DDoS具有更强的攻击能力,并且能较好地隐藏攻击者的真实地址。下图3为DDoS的攻击原理。
DDoS攻击一旦实施,攻击数据包就会像洪水般地从四面八方涌向被攻击主机,从而把合法用户的连接请求淹没掉,导致合法用户长时间无法使用网络资源。 2.2.2 DDoS攻击的主要形式
DDoS攻击的主要形式有以下几种:
①通过大量伪造的IP 向某一固定目标发出高流量垃圾数据,造成网络拥塞,使被攻击主机无法与外界通信。
②利用被攻击主机提供的服务或传输协议上的缺陷,反复高速地发送对某特定服务的连接请求,使被攻击主机无法及时处理正常业务。
③利用被攻击主机所提供服务中数据处理上的缺陷,反复高速地发送畸形数据引发服务程序错误,大量占用系统资源,使被攻击主机处于假死状态,甚至导致系统崩溃。
2.3 Trinoo攻击软件攻击实例
DDoS攻击不断在Internet出现,并在应用的过程中不断的得到完善,已有一系列比较成熟的软件产品,如Trinoo、独裁者DDoS攻击器、DdoSer、TFN、TFN2K等,他们基本核心及攻击思路是很相象的,下面就通过Trinoo对这类软件做一介绍。
Trinoo是基于UDP flood的攻击软件,它向被攻击目标主机随机端口发送全零的4字节UDP包,被攻击主机的网络性能在处理这些超出其处理能力垃圾数据包的过程中不断下降,直至不能提供正常服务甚至崩溃。它对IP地址不做假,采用的通讯端口是: 攻击者主机到主控端主机:27665/TCP 主控端主机到代理端主机:27444/UDP 代理端主机到主服务器主机:31335/UDP
Trinoo攻击功能的实现,是通过三个模块付诸实施的:1、攻击守护进程(NS);2、攻击控制进程(MASTER);3、客户端(NETCAT,标准TELNET程序等)。攻击守护进程NS是真正实施攻击的程序,它一般和攻击控制进程(MASTER)所在主机分离,在原始C文件NS.C编译的时候,需要加入可控制其执行的攻击控制进程MASTER所在主机IP,(只有在NS.C中的IP方可发起NS的攻击行为)编译成功后,黑客通过目前比较成熟的主机系统漏洞破解(如RPC.CMSD,RPC.TTDBSERVER,RPC.STATD)可以方便的将大量NS植入因特网中有上述漏洞主机内。NS运行时,会首先向攻击控制进程(MASTER)所在主机的31335端口发送内容为HELLO的UDP包,标示它自身的存在,随后攻击守护进程即处于对端口27444的侦听状态,等待MASTER攻击指令的到来。 攻击控制进程(MASTER)在收到攻击守护进程的HELLO包后,会在自己所在目录生成一个加密的名为...的可利用主机表文件, MASTER的启动是需要密码的,在正确输入默认密码gOrave后, MASTER即成功启动,它一方面侦听端口31335,等待攻击守护进程的HELLO包,另一方面侦听端口27665,等待客户端对其的连接。当客户端连接成功并发出指令时, MASTER所在主机将向攻击守护进程ns所在主机的27444端口传递指令。
客户端不是Trinoo自带的一部分,可用标准的能提供TCP连接的程序,如TELNET,NETCAT等,连接MASTER所在主机的27665端口, 输入默认密码betaalmostdone后,即完成了连接工作,进入攻击控制可操作的提示状态。
目前版本的Trinoo有六个可用命令,mtimer:设定攻击时长,如mtimer 60,攻击60秒,如果不设置的话,默认是无限。dos:对某一目标主机实施攻击,如dos 12.34.45.56 mdie:停止正在实施的攻击,使用这一功能需要输入口令killme,mping:请求攻击守护进程NS回应,监测ns是否工作。mdos, 对多个目标主机实施攻击,msize:设置攻击UDP包的大小。 Trinoo运行的总体轮廓可用图4说明:
我们来看一次攻击的实例: 被攻击的目标主机victim IP为:192.168.1.45 ns被植入三台sun的主机里,他们的IP对应关系分别为 client1:192.168.1.11 client2:192.168.1.12 client3:192.168.1.13 master所在主机为masterhost:192.168.1.14 首先我们要启动各个进程,在client1,2,3上分别执行ns,启动攻击守护进程, 其次,在master所在主机启动master masterhost# ./master ?? gOrave (系统示输入密码,输入gOrave后master成功启动) Trinoo v1.07d2+f3+c [Mar 20 2000:14:38:49] (连接成功) 在任意一台与网络连通的可使用telnet的设备上,执行: telnet 192.168.1.14 27665 Escape character is '^]'. betaalmostdone (输入密码) Trinoo v1.07d2+f3+c..[rpm8d/cb4Sx/] Trinoo> (进入提示符) Trinoo> mping (我们首先来监测一下各个攻击守护进程是否成功启动) mping: Sending a PING to every Bcasts. Trinoo> PONG 1 Received from 192.168.1.11 PONG 2 Received from 192.168.1.12 PONG 3 Received from 192.168.1.13 (成功响应) Trinoo> mtimer 60 (设定攻击时间为60秒) mtimer: Setting timer on bcast to 60. Trinoo> dos 192.168.1.45
DoS: Packeting 192.168.1.45......
至此一次攻击结束,此时ping 192.168.1.45,会得到icmp不可到达反馈, 目标主机此时与网络的正常连接已被破坏。由于Trinoo尚未采用IP地址欺 骗,因此在被攻击的主机系统日志里我们可以看到如下纪录:
Mar 20 14:40:34 victim snmpXdmid: Will attempt to re-establish connection. Mar 20 14:40:35 victim snmpdx:
error while receiving a pdu from 192.168.1.11.59841:The message has a wrong header type (0x0)
Mar 20 14:40:35 victim snmpdx:
error while receiving a pdu from 192.168.1.12.43661:The message has a wrong header type (0x0)
Mar 20 14:40:36 victim snmpdx:
error while receiving a pdu from 192316831.13.40183:The message has a wrong header type (0x0)
Mar 20 14:40:36 victim snmpXdmid:
Error receiving PDU The message has a wrong header type (0x0). Mar 20 14:40:36 victim snmpXdmid:
Error receiving packet from agent; rc = -1. Mar 20 14:40:36 victim snmpXdmid: Will attempt to re-establish connection. Mar 20 14:40:36 victim snmpXdmid:
Error receiving PDU The message has a wrong header type (0x0). Mar 20 14:40:36 victim snmpXdmid:
Error receiving packet from agent; rc = -1.
由上述日志,我们不难看出发起攻击的IP地址,这一问题,通过IP spoof在后期的软件TFN,TFN2K等软件中得到了解决,给被攻击者找出肇事者进一步增加了难度。
3. DoS 与DDoS攻击的检测与防范
从 DoS 与DDoS攻击过程可以看出,其攻击的目的主要有:(1)对网络带宽的流量攻击;(2)对服务器某特定服务的攻击。攻击的手段主要是发送大量垃圾数据交由网络设备或服务器处理,导致资源占用超出允许上限,使网络中断或无法提供正常服务。 由于DoS 、DDoS是利用网络协议的缺陷进行的攻击,所以要完全消除攻击的危害是非常困难的。从理论上说,只要是带宽或服务器资源有限的系统都会受到 DoS 或 DDoS攻击的威胁。对于暴力型DDoS攻击,即使是最先进的防火墙也无能为力。攻击者可能无法越过防火墙攻击内部网络中的服务器系统,但防火墙阻挡这些攻击数据包,必须付出高额的资源开支,这同样会造成网络性能下降,甚至网络中断。在实际应用中,我们可以通过一些方法检测到攻击现象的出现,并减缓攻击造成的危害。
3.1 网络级安全检测与防范
目前比较流行的网络级安全防范措施是使用专业防火墙+入侵检测系统(IDS)为企业内部网络构筑一道安全屏障。防火墙可以有效地阻止有害数据的通过,而IDS 则主要用于有害数据的分析和发现,它是防火墙功能的延续。2者联动,可及时发现并减缓DoS、DDoS 攻击,减轻攻击所造成的损失。 通常人们认为,只要安装防火墙就可以保护处于它身后的网络不受外界的侵袭和干扰。但随着网络技术的发展,网络结构日趋复杂,传统防火墙在使用过程中暴露出以下的不足:
(1)防火墙在工作时,入侵者可以伪造数据绕过防火墙,或者找到防火墙中可能敞开的后门。
(2)由于防火墙通常被安装在网络出口处,所以对来自网络内部的攻击无能为力。 (3)由于防火墙性能上的限制,通常它不具备实时监控入侵的能力。 (4)防止病毒入侵是防火墙的一个弱项。
IDS恰好弥补了防火墙的不足,为网络提供实时的数据流监控,并且在发现入侵的初期协同防火墙采取相应的防护手段。目前IDS系统作为必要附加手段,已经被大多数企业的安全构架所接受。
最近市场上出现了一种将防火墙和IDS两者合二为一的新产品“入侵防御系统”(Iutrusion Prevention System简称IPS)。它不但能检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,二者的整合大幅度地提高了检测和阻止网络攻击的效率,是今后网络安全架构的一种发展趋势。
通过编写防火墙规则,可以让系统知道什么样的信息包可以进入、什么样的应该放弃,如此一来,当黑客发送有攻击性信息包的时候,在经过防火墙时,信息就会被丢弃掉,从而防止了黑客的进攻。如天网防火墙,安装后进入自定义IP规则,进行设置: (1)禁止互联网上的机器使用我的共享资源。 (2)禁止所有人的连接。 (3)禁止所有人连接低端口。
(4)允许已经授权的程序打开端口,这样一切需要开放的端口程序都需要审批。但是不要勾选“系统设置”里的“允许所有应用程序访问网络,并在规则记录这些程序”,这个设置是防范反弹木马和键盘记录的秘密武器。 3.2 常规安全检测与防范
常规检测与防范是面向网络中所有服务器和客户机的,是整个网络的安全基础。可以设想,如果全世界所有计算机都有较好的防范机制,大规模计算机病毒爆发和DDoS攻击发生的概率将锐减。所以,在任何安全防范体系中加强安全教育、树立安全意识及采取基本的防护手段都是最重要的。 在实际应用中,可以使用Ping命令和Netstat —an命令检测是否受到了DoS、DDoS 攻击。若发现网络速度突然变慢,使用Ping命令检测时出现超时或严重丢包,则有可能是受到了流量攻击。若使用Ping命令测试某服务器时基本正常,但无法访问服务(如无法打开网页,DNS失效等),而Ping同一交换机上的其他主机正常,则有可能是受到了资源耗尽攻击。在服务器上执行Netstat —an命令,若显示有大量SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态,而ESTABLISHED状态较少,则可以认定是受到了资源耗尽攻击。