那麽,DoS到底是什麽?較早接觸PC的同誌會直接想到微軟磁盤操作系統的DOS -磁盤操作系統?哦不不不我不認為蓋茨是黑客老大!這個DOS不是DoS就是DoS,是拒絕服務的縮寫。DoS是指故意攻擊網絡協議實現中的缺陷或直接用野蠻手段野蠻耗盡被攻擊對象的資源,目的是使目標計算機或網絡無法提供正常服務或資源訪問,使目標系統服務系統停止響應甚至崩潰,而這種攻擊不包括入侵目標服務器或目標網絡設備。這些服務資源包括網絡帶寬、文件系統空間容量、打開的進程或允許的連接。這種攻擊會導致資源的匱乏。無論計算機的處理速度有多快,內存容量有多大,網絡帶寬有多快,這種攻擊帶來的後果都無法避免。妳要知道,任何事情都是有極限的,妳總能想辦法讓請求的值大於極限,這樣就會故意造成服務資源的匱乏,好像服務資源滿足不了需求壹樣。所以不要以為妳有足夠寬的帶寬和足夠快的服務器,妳就有了不怕DoS攻擊的高性能網站。拒絕服務攻擊會使所有資源變得非常小。
其實我們打個形象的比喻來理解DoS吧。街上的餐館為公眾提供餐飲服務。如果壹群流氓想要壹家DoS餐廳,會有很多手段,比如霸占餐桌不買單,堵住餐廳的門讓道,騷擾餐廳的服務員或廚師上班,甚至更惡劣...相應的計算機和網絡系統為互聯網用戶提供互聯網資源。如果黑客想進行DoS攻擊,可想而知也有很多手段!當今最常見的DoS攻擊是對計算機網絡的帶寬攻擊和連接攻擊。帶寬攻擊是指巨大的流量對網絡造成的影響,使得所有可用的網絡資源耗盡,最終導致合法用戶請求失敗。連通性攻擊是指大量的連接請求沖擊計算機,使所有可用的操作系統資源被耗盡,最終計算機無法再處理合法用戶的請求。DDoS是什麽?
傳統上,攻擊者面臨的主要問題是網絡帶寬。由於網絡規模小、網速慢的限制,攻擊者無法提出過多的請求。雖然像“死亡之ping”這樣的攻擊類型只需要少量的數據包就可以摧毀壹個沒有打補丁的UNIX系統,但是大多數DoS攻擊仍然需要相當大的帶寬,個人黑客很難使用高帶寬資源。為了克服這個缺點,DoS攻擊者開發了分布式攻擊。攻擊者只是利用工具收集大量網絡帶寬,同時對同壹目標發起大量攻擊請求,這就是DDoS攻擊。
DDoS(分布式拒絕服務)讓DoS向前邁進了壹大步。這種分布式拒絕服務攻擊是黑客在已被入侵和控制的不同高帶寬主機(可能有數百甚至數千臺)上安裝大量的DOS服務程序,等待中央攻擊控制中心的命令。中央攻擊控制中心適時啟動所有受控主機的DoS服務進程,使其向特定目標發送盡可能多的網絡訪問請求,形成DoS洪流沖擊目標系統,對同壹網站進行猛烈攻擊。在寡不敵眾的實力下,被攻擊的網站會迅速失去反應,無法及時處理正常訪問甚至崩潰系統。可見DDoS和DoS最大的區別就是人多力量大。DoS是機器攻擊的目標,而DDoS是由中央攻擊中心控制的多臺機器以其高帶寬攻擊目標,使目標網站更容易被捕獲。此外,DDoS攻擊模式更加自動化,攻擊者可以在網絡中的多臺機器上安裝他的程序。這種攻擊方式很難被目標察覺,這些機器不會同時攻擊,直到攻擊者發出統壹的攻擊命令。可以說DDoS攻擊是黑客在集中控制下發動的壹組DoS攻擊。現在它被認為是最有效的攻擊形式,很難抵抗。
無論是DoS攻擊還是DDoS攻擊,簡單來說就是黑客破壞網絡服務的方式。雖然具體的實現方式千變萬化,但都有壹個共同點,那就是它們的根本目的都是讓受害主機或網絡無法及時接收和處理外部請求,或者無法及時響應外部請求。其具體表現如下:
1.產生大量無用數據,對被攻擊主機造成網絡擁塞,使被攻擊主機無法與外界正常通信。
2.利用被攻擊主機在傳輸協議中提供服務或處理重復連接的缺陷,以高頻率反復發出攻擊性的重復服務請求,使被攻擊主機無法及時處理其他正常請求。
3.利用被攻擊主機提供的服務程序或傳輸協議的缺陷,反復發送異常攻擊數據,導致系統錯誤分配大量系統資源,使主機處於掛起狀態甚至崩潰。
常見的DoS攻擊
拒絕服務攻擊是壹種惡意攻擊,對網絡危害極大。今天典型的DoS攻擊方式有Ping of Death、TearDrop、UDP flood、SYN flood、Land攻擊、IP欺騙DoS等。我們來看看它們是如何實現的。
Ping of death: ICMP(互聯網控制消息協議)用於錯誤處理和互聯網上控制信息的傳輸。它的功能之壹是通過發送“回應請求”數據包來聯系主機並查看主機是否“活著”。最常見的ping程序就是這個函數。但是,在TCP/IP的RFC文檔中,對數據包的最大大小有嚴格的限制。很多操作系統的TCP/IP協議棧規定ICMP包大小為64KB,在讀取包的報頭後,要根據報頭中包含的信息為有效載荷生成壹個緩沖區。“死亡Ping”是壹種畸形的測試Ping(Packet Internet Groper)包,聲稱其大小超過ICMP的上限,即加載的大小超過64KB的上限,導致無保護的網絡系統內存分配錯誤,導致TCP/IP協議棧崩潰,最後接收方掛機。
淚滴攻擊(Teardrop):淚滴攻擊利用TCP/IP協議棧中數據包報頭所包含的信息來實現自己的攻擊。IP片段包含指示該片段包含原始數據包的哪個片段的信息。壹些TCP/IP協議棧(如service pack 4之前的NT)在收到帶有重疊偏移量的偽造片段時會崩潰。UDP flood: UDP(用戶分組協議)在互聯網上被廣泛使用。很多提供WWW、Mail等服務的設備,通常都是使用Unix的服務器,默認開啟壹些被黑客惡意利用的UDP服務。比如echo服務會顯示每壹個接收到的數據包,而chargen服務,原本是作為測試功能,在接收每壹個數據包時會隨機反饋壹些字符。UDP flood impersonation攻擊是利用這兩個簡單TCP/IP服務的漏洞進行的惡意攻擊。通過偽造與主機的Chargen服務的UDP連接,回復地址指向打開Echo服務的主機。通過將Chargen和Echo服務指向對方,來回傳輸無用的垃圾數據,在兩臺主機之間產生足夠多的無用數據流。這種拒絕服務攻擊會很快導致網絡可用帶寬的耗盡。SYN flood:我們知道當用戶進行標準的TCP(傳輸控制協議)連接時,會有壹個三次握手的過程。首先,請求服務提供商發送壹個SYN(同步序列號)消息。在收到SYN之後,服務提供者將向請求者發回壹個SYN-ACK進行確認。當請求者收到SYN-ACK時,它將再次向服務提供者發送ACK消息,從而成功建立TCP連接。“SYN Flooding”是專門針對TCP協議棧在兩臺主機之間發起連接握手過程中的DoS攻擊,在實現過程中只進行前兩步:當服務器收到請求方的SYN-ack確認消息時,由於源地址欺騙等手段,請求方無法收到ack響應,因此服務器會在壹定時間內處於等待接收請求方ACK消息的狀態。對於服務器來說,可用的TCP連接是有限的,因為它們只有有限的內存緩沖區來創建連接。如果該緩沖區充滿了錯誤連接的初始信息,服務器將停止響應下壹個連接,直到緩沖區中的連接嘗試超時。如果惡意攻擊者快速、持續地發送這樣的連接請求,服務器的可用TCP連接隊列會被迅速阻塞,系統的可用資源會急劇減少,網絡的可用帶寬會迅速減少。這樣下去,服務器將無法為用戶提供正常的法律服務,除了少數幸運的用戶,他們的請求可以在大量的虛假請求中得到回答。
Land(陸地攻擊)攻擊:在Land攻擊中,黑客使用特制的SYN包——將其原始地址和目標地址設置為某個服務器地址進行攻擊。這將導致接收服務器向自己的地址發送SYN-ACK消息。因此,該地址將發回壹個ack消息並創建壹個空連接。每個這樣的連接都將被保留,直到超時。在陸地攻擊下,很多UNIX會崩潰,NT會變得極其緩慢(持續五分鐘左右)。
IP欺騙DOS攻擊:這種攻擊是利用TCP協議棧的RST位實現的。利用IP欺騙,強制服務器重置合法用戶的連接,從而影響合法用戶的連接。假設壹個合法用戶(100 . 100 . 100 . 100)已經與服務器建立了正常的連接,攻擊者構造了被攻擊的TCP數據,假裝自己的IP是100 . 100 . 100 . 105 . 6438 .服務器收到這些數據後,認為服務器此時合法用戶100.100.100.100再次發送合法數據,服務器沒有這樣的連接,用戶被拒絕服務,只能重啟建立新的連接。
常見的DDoS攻擊
Smurf、Fraggle attack、Trinoo、Tribe Flood Network(TFN)、TFN2k和Stacheldraht是常見的DDoS攻擊程序。我們來看看他們的原理,他們的攻擊思路基本相似。Smurf攻擊:Smurf是壹種簡單但有效的DDoS攻擊技術,Smurf仍然使用ping程序直接廣播源IP冒充進行攻擊。互聯網上廣播的信息可以通過壹定的手段(通過廣播地址或其他機制)發送給全網的機器。當機器使用廣播地址(如Ping)發送ICMP回應請求包時,有些系統會響應ICMP回應響應包,因此發送壹個包會收到許多響應包。Smurf攻擊就是利用了這個原理,同樣需要壹個假的源地址。也就是說,Smurf發送壹個ICMP echo請求包,包中含有被攻擊主機的源地址和網絡中廣播地址的目的地址,使得多個系統同時響應,向被攻擊主機發送大量信息(因為他的地址被攻擊者冒充)。Smurf就是用偽造的源地址連續ping壹個或多個計算機網絡,導致所有計算機響應的主機地址並不是實際發送這個數據包的攻擊計算機。這個偽造的源地址其實就是攻擊的目標,它會被海量的響應信息淹沒。響應這個偽造數據包的計算機網絡無意中成為了攻擊的幫兇。壹次簡單的smurf攻擊,最終會導致網絡阻塞,第三方崩潰,比死亡洪水ping的流量高壹兩個數量級。這種利用網絡發送數據包並引發大量響應的方式也被稱為Smurf“放大”。
Fraggle攻擊:Fraggle攻擊對Smurf攻擊進行了簡單的修改,用UDP回復消息代替ICMP。
“trinoo”攻擊:trinoo是壹種基於UDP flood的復雜DDoS攻擊程序和攻擊軟件。它使用“主”程序來自動控制任何數量的實際攻擊的“代理”程序。當然,在攻擊之前,為了安裝軟件,入侵者已經用主程序控制了電腦,用代理程序控制了所有電腦。攻擊者連接安裝了主程序的電腦,啟動主程序,然後根據壹個IP地址列表,主程序負責啟動所有的代理程序。然後,代理用UDP包攻擊網絡,向被攻擊主機的隨機端口發送全零的4字節UDP包。在處理這些超出其處理能力的垃圾包的過程中,被攻擊主機的網絡性能不斷下降,直至無法提供正常服務甚至崩潰。它不會偽造IP地址,所以這種攻擊方式用的不多。
“部落洪水網絡”和“TFN2K”攻擊:部落洪水網絡和trinoo壹樣,使用主程序與位於多個網絡的攻擊代理進行通信,並使用ICMP向代理服務器發出命令,代理服務器的來源可以是偽造的。TFN可以並行發起眾多DoS攻擊,類型多樣,還可以用偽裝的源IP地址構建數據包。TFN可以發起的攻擊包括:SYN flood、UDP flood、ICMP echo request flood和Smurf(利用多臺服務器發送海量數據包,實施DoS攻擊)。TFN的升級版TFN2k對命令包進壹步加密,命令內容更難查詢,命令來源可以造假,還有後門控制代理服務器。
“Stackelbraht”攻擊:Stackelbraht也是基於與TFN和trinoo相同的客戶端/服務器模式,其中主程序與成千上萬的潛在代理進行通信。當發起攻擊時,入侵者與主程序連接。Stacheldraht增加了新的功能:攻擊者與主程序的通信被加密,命令的來源是偽造的,並且可以阻止某些路由器用RFC2267過濾。如果檢測到過濾現象,只會偽造IP地址的後8位,讓用戶無法知道哪個網段的哪臺機器被攻擊;同時,使用rcp(遠程復制)技術自動更新代理。和TFN壹樣,Stacheldraht可以並行發起無數的DoS攻擊,類型多樣,也可以用偽裝的源IP地址構建數據包。Stacheldraht發起的攻擊包括UDP影響、TCP SYN影響和ICMP echo響應影響。
如何防範DoS/DdoS攻擊
幾乎從互聯網誕生之日起,DoS攻擊就伴隨著互聯網的發展而存在、發展和升級。值得壹提的是,找DoS的工具並不難。黑客群居的互聯網社區有分享黑客軟件的傳統,他們會壹起交流攻擊的經驗。妳可以很容易地從網上獲得這些工具。上面說的這些DoS攻擊軟件,都是在網上可以隨意找到的開放軟件。因此,任何上網者都可能對網絡安全構成潛在威脅。DoS攻擊對互聯網安全的快速發展構成了極大的威脅。但是,在某種程度上,DoS攻擊永遠不會消失,技術上也沒有根本的解決方案。
面對危險的DoS海灘,應該如何應對隨時出現的黑客攻擊?我們先總結壹下造成DoS攻擊威脅的技術問題。DoS攻擊可以說是由以下原因引起的:
1.軟件弱點是操作系統或應用程序中包含的與安全相關的系統缺陷,多由錯誤的編程、粗心的源代碼審查、無意的副作用或某些不恰當的綁定引起。由於使用的軟件幾乎完全依賴於開發者,軟件造成的漏洞只能通過打補丁、安裝熱補丁和服務包來彌補。當發現某個應用程序存在漏洞時,開發者會立即發布更新版本來修復漏洞。開發協議固有缺陷造成的DoS攻擊可以通過簡單的補丁來彌補。
2.錯誤的配置也會成為系統的安全隱患。這些錯誤配置通常發生在硬件設備、系統或應用中,大多是由壹些缺乏經驗、不負責任的員工或錯誤的理論造成的。如果網絡中的路由器、防火墻、交換機等網絡連接設備配置正確,發生這些錯誤的可能性就會降低。如果發現這樣的漏洞,應該咨詢專業的技術人員來修復這些問題。
3.重復請求會導致過載的拒絕服務攻擊。當對資源的重復請求大大超過資源的支付能力時,就會導致拒絕服務攻擊(例如,向已經滿負荷的Web服務器發出過多請求,使其過載)。
要避免系統受到DoS攻擊,從前兩點出發,網絡管理員要積極謹慎地維護系統,確保不存在安全隱患和漏洞;對於第三種惡意攻擊,需要安裝防火墻等安全設備過濾DoS攻擊。同時,強烈建議網絡管理員定期查看安全設備的日誌,及時發現系統面臨的安全威脅。
3Com公司是壹家綜合性企業網絡解決方案提供商,旨在為企業用戶提供“豐富、簡單、靈活、實惠、高性價比”的網絡解決方案。互聯網支持工具是主要解決方案之壹,包括SuperStack 3防火墻、Web Cache和服務器負載平衡器。3Com SuperStack 3防火墻作為安全網關設備,不僅可以在默認預配置下檢測和防範“拒絕服務”(DoS)和“分布式拒絕服務”(DDoS)等黑客攻擊,還可以強力保護您的網絡免受來自互聯網的未授權訪問和其他外部威脅和攻擊;而且3Com SuperStack 3服務器負載均衡器不僅可以為多臺服務器提供硬件線速的4-7層負載均衡,還可以保護所有服務器免受拒絕服務(DoS)攻擊。同樣,3Com SuperStack 3 Web Cache不僅可以為企業提供高效的本地緩存,還可以保護自身免受拒絕服務(DoS)攻擊。
/7sky/dispbbs.asp?boardid = 28 & ampid=15952