全面剖析DDoS攻擊 黑客常用攻擊方式

一、DDoS的概念
要想理解DDoS的概念,我們就必須先介紹一下DoS(拒絕服務(wù)),DoS的英文全稱是Denial of Service,也就是“拒絕服務(wù)”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看,DoS算是一種很簡單但又很有效的進(jìn)攻方式。它的目的就是拒絕你的服務(wù)訪問,破壞組織的正常運(yùn)行,最終它會(huì)使你的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源,從而使合法用戶無法得到服務(wù)。DoS攻擊的原理如圖1所示。
從圖1我們可以看出DoS攻擊的基本過程:首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請(qǐng)求,服務(wù)器發(fā)送回復(fù)信息后等待回傳信息,由于地址是偽造的,所以服務(wù)器一直等不到回傳的消息,分配給這次請(qǐng)求的資源就始終沒有被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后,連接會(huì)因超時(shí)而被切斷,攻擊者會(huì)再度傳送新的一批請(qǐng)求,在這種反復(fù)發(fā)送偽地址請(qǐng)求的情況下,服務(wù)器資源最終會(huì)被耗盡。
DDoS(分布式拒絕服務(wù)),它的英文全稱為Distributed Denial of Service,它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊,是一種分布、協(xié)作的大規(guī)模攻擊方式,主要瞄準(zhǔn)比較大的站點(diǎn),象商業(yè)公司,搜索引擎和政府部門的站點(diǎn)。從圖1我們可以看出DoS攻擊只要一臺(tái)單機(jī)和一個(gè)modem就可實(shí)現(xiàn),與之不同的是DDoS攻擊是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊,這樣來勢(shì)迅猛的攻擊令人難以防備,因此具有較大的破壞性。DDoS的攻擊原理如圖2所示。
從圖2可以看出,DDoS攻擊分為3層:攻擊者、主控端、代理端,三者在攻擊中扮演著不同的角色。
1、攻擊者:攻擊者所用的計(jì)算機(jī)是攻擊主控臺(tái),可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī),甚至可以是一個(gè)活動(dòng)的便攜機(jī)。攻擊者操縱整個(gè)攻擊過程,它向主控端發(fā)送攻擊命令。
2、主控端:主控端是攻擊者非法侵入并控制的一些主機(jī),這些主機(jī)還分別控制大量的代理主機(jī)。主控端主機(jī)的上面安裝了特定的程序,因此它們可以接受攻擊者發(fā)來的特殊指令,并且可以把這些命令發(fā)送到代理主機(jī)上。
3、代理端:代理端同樣也是攻擊者侵入并控制的一批主機(jī),它們上面運(yùn)行攻擊器程序,接受和運(yùn)行主控端發(fā)來的命令。代理端主機(jī)是攻擊的執(zhí)行者,真正向受害者主機(jī)發(fā)送攻擊。
攻擊者發(fā)起DDoS攻擊的第一步,就是尋找在Internet上有漏洞的主機(jī),進(jìn)入系統(tǒng)后在其上面安裝后門程序,攻擊者入侵的主機(jī)越多,他的攻擊隊(duì)伍就越壯大。第二步在入侵主機(jī)上安裝攻擊程序,其中一部分主機(jī)充當(dāng)攻擊的主控端,一部分主機(jī)充當(dāng)攻擊的代理端。最后各部分主機(jī)各司其職,在攻擊者的調(diào)遣下對(duì)攻擊對(duì)象發(fā)起攻擊。由于攻擊者在幕后操縱,所以在攻擊時(shí)不會(huì)受到監(jiān)控系統(tǒng)的跟蹤,身份不容易被發(fā)現(xiàn)。
二、DDoS攻擊使用的常用工具
DDoS攻擊實(shí)施起來有一定的難度,它要求攻擊者必須具備入侵他人計(jì)算機(jī)的能力。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn),這些程序可以在幾秒鐘內(nèi)完成入侵和攻擊程序的安裝,使發(fā)動(dòng)DDoS攻擊變成一件輕而易舉的事情。下面我們來分析一下這些常用的黑客程序。
1、Trinoo
Trinoo的攻擊方法是向被攻擊目標(biāo)主機(jī)的隨機(jī)端口發(fā)出全零的4字節(jié)UDP包,在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中,被攻擊主機(jī)的網(wǎng)絡(luò)性能不斷下降,直到不能提供正常服務(wù),乃至崩潰。它對(duì)IP地址不做假,采用的通訊端口是:
攻擊者主機(jī)到主控端主機(jī):27665/TCP
主控端主機(jī)到代理端主機(jī):27444/UDP
代理端主機(jī)到主服務(wù)器主機(jī):31335/UDP
2、TFN
TFN由主控端程序和代理端程序兩部分組成,它主要采取的攻擊方法為:SYN風(fēng)暴、Ping風(fēng)暴、UDP炸彈和SMURF,具有偽造數(shù)據(jù)包的能力。
3、TFN2K
TFN2K是由TFN發(fā)展而來的,在TFN所具有的特性上,TFN2K又新增一些特性,它的主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的,中間還可能混雜了許多虛假數(shù)據(jù)包,而TFN對(duì)ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進(jìn)程端口。
4、Stacheldraht
Stacheldraht也是從TFN派生出來的,因此它具有TFN的特性。此外它增加了主控端與代理端的加密通訊能力,它對(duì)命令源作假,可以防范一些路由器的RFC2267過濾。Stacheldrah中有一個(gè)內(nèi)嵌的代理升級(jí)模塊,可以自動(dòng)下載并安裝最新的代理程序。
三、DDoS的監(jiān)測(cè)
現(xiàn)在網(wǎng)上采用DDoS方式進(jìn)行攻擊的攻擊者日益增多,我們只有及早發(fā)現(xiàn)自己受到攻擊才能避免遭受慘重的損失。
檢測(cè)DDoS攻擊的主要方法有以下幾種:
1、根據(jù)異常情況分析
當(dāng)網(wǎng)絡(luò)的通訊量突然急劇增長,超過平常的極限值時(shí),你可一定要提高警惕,檢測(cè)此時(shí)的通訊;當(dāng)網(wǎng)站的某一特定服務(wù)總是失敗時(shí),你也要多加注意;當(dāng)發(fā)現(xiàn)有特大型的ICP和UDP數(shù)據(jù)包通過或數(shù)據(jù)包內(nèi)容可疑時(shí)都要留神??傊?dāng)你的機(jī)器出現(xiàn)異常情況時(shí),你最好分析這些情況,防患于未然。
2、使用DDoS檢測(cè)工具
當(dāng)攻擊者想使其攻擊陰謀得逞時(shí),他首先要掃描系統(tǒng)漏洞,目前市面上的一些網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),可以杜絕攻擊者的掃描行為。另外,一些掃描器工具可以發(fā)現(xiàn)攻擊者植入系統(tǒng)的代理程序,并可以把它從系統(tǒng)中刪除。
四、DDoS攻擊的防御策略
由于DDoS攻擊具有隱蔽性,因此到目前為止我們還沒有發(fā)現(xiàn)對(duì)DDoS攻擊行之有效的解決方法。所以我們要加強(qiáng)安全防范意識(shí),提高網(wǎng)絡(luò)系統(tǒng)的安全性??刹扇〉陌踩烙胧┯幸韵聨追N:
1、及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞,及時(shí)安裝系統(tǒng)補(bǔ)丁程序。對(duì)一些重要的信息(例如系統(tǒng)配置信息)建立和完善備份機(jī)制。對(duì)一些特權(quán)帳號(hào)(例如管理員帳號(hào))的密碼設(shè)置要謹(jǐn)慎。通過這樣一系列的舉措可以把攻擊者的可乘之機(jī)降低到最小。
2、在網(wǎng)絡(luò)管理方面,要經(jīng)常檢查系統(tǒng)的物理環(huán)境,禁止那些不必要的網(wǎng)絡(luò)服務(wù)。建立邊界安全界限,確保輸出的包受到正確限制。經(jīng)常檢測(cè)系統(tǒng)配置信息,并注意查看每天的安全日志。
3、利用網(wǎng)絡(luò)安全設(shè)備(例如:防火墻)來加固網(wǎng)絡(luò)的安全性,配置好它們的安全規(guī)則,過濾掉所有的可能的偽造數(shù)據(jù)包。
4、比較好的防御措施就是和你的網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作,讓他們幫助你實(shí)現(xiàn)路由的訪問控制和對(duì)帶寬總量的限制。
5、當(dāng)你發(fā)現(xiàn)自己正在遭受DDoS攻擊時(shí),你應(yīng)當(dāng)啟動(dòng)您的應(yīng)付策略,盡可能快的追蹤攻擊包,并且要及時(shí)聯(lián)系ISP和有關(guān)應(yīng)急組織,分析受影響的系統(tǒng),確定涉及的其他節(jié)點(diǎn),從而阻擋從已知攻擊節(jié)點(diǎn)的流量。
6、當(dāng)你是潛在的DDoS攻擊受害者,你發(fā)現(xiàn)你的計(jì)算機(jī)被攻擊者用做主控端和代理端時(shí),你不能因?yàn)槟愕南到y(tǒng)暫時(shí)沒有受到損害而掉以輕心,攻擊者已發(fā)現(xiàn)你系統(tǒng)的漏洞,這對(duì)你的系統(tǒng)是一個(gè)很大的威脅。所以一旦發(fā)現(xiàn)系統(tǒng)中存在DDoS攻擊的工具軟件要及時(shí)把它清除,以免留下后患。
本文介紹了什么是DDoS,常用的DDoS工具以及如何防御DDoS攻擊,希望對(duì)大家更深入的了解DDoS有所幫助。
相關(guān)文章
- DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的,當(dāng)被攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高,2012-11-01
- 不知道身為網(wǎng)絡(luò)管理員的你是否遇到過服務(wù)器因?yàn)榫芙^服務(wù)攻擊都癱瘓的情況呢?就網(wǎng)絡(luò)安全而言目前最讓人擔(dān)心和害怕的入侵攻擊就要算是拒絕服務(wù)攻擊了。和傳統(tǒng)的攻擊不同,采2015-09-25
高效的DDoS攻擊探測(cè)與分析工具:FastNetMon
這是一個(gè)基于多種抓包引擎(NetFlow, IPFIX, sFLOW, netmap, PF_RING, PCAP)的DoS/DDoS攻擊高效分析工具,可以探測(cè)和分析網(wǎng)絡(luò)中的異常流量情況,同時(shí)可以通過外部腳本通知2015-05-14- 這篇文章主要為大家詳細(xì)剖析了DDoS攻擊原理,更全面的了解DDoS攻擊,做好防御DDoS攻擊的準(zhǔn)備工作,感興趣的小伙伴們可以參考一下2016-01-20
- 本文為大家分享管理員必讀的防御DDOS攻擊終極指南,包括了為什么要DDOS攻擊,什么是DDOS攻擊以及怎么防御DDOS攻擊,希望這篇文章能引起大家對(duì)DDOS攻擊的研究興趣。2015-10-29
在線DDoS攻擊平臺(tái)是什么 DDoS攻擊平臺(tái)的流量獲取方式
流量獲取是DDOS攻擊的最重要一環(huán),黑客主要通過獲取廠商服務(wù)器的上行流量,致使你的服務(wù)器、電腦所屬的網(wǎng)絡(luò)或者系統(tǒng)資源耗盡而癱瘓,讓你失去目標(biāo)客戶,借此用來勒索廠商。2016-07-05- DDOS網(wǎng)絡(luò)攻擊是我們最常見的問題了,要防止DDOS網(wǎng)絡(luò)攻擊,首先就要了解其攻擊的方式。 1.Synflood:該攻擊以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送SYN包,而在收到2008-10-08
- DDoS攻擊的主要手段是通過大于管道處理能力的流量淹沒管道或通過超過處理能力的任務(wù)使系統(tǒng)癱瘓,所以理論上只要攻擊者能夠獲得比目標(biāo)更強(qiáng)大的“動(dòng)力”,目標(biāo)是注定會(huì)被攻陷2015-10-29
- DDoS主要是借助于客戶/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力2016-08-26
新型DDos攻擊:利用LDAP服務(wù)器可實(shí)現(xiàn)攻擊放大46-55倍
關(guān)于DDos攻擊方面的知識(shí),本網(wǎng)站介紹了很多,但是大家知道么,最近Corero網(wǎng)絡(luò)安全公司發(fā)現(xiàn)一種新型的DDos攻擊,就是針對(duì)其客戶發(fā)起攻擊,一起來看看具體的內(nèi)容吧2016-11-11