DDOS攻擊原理
分布式拒絕服務(wù)攻擊原理分布式拒絕服務(wù)攻擊DDoS是一種基于DoS的特殊形式的拒絕服務(wù)攻擊��,是一種分布的��、協(xié)同的大規(guī)模攻擊方式�����。單一的DoS攻擊一般是采用一對一方式的�,它利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷,采用欺騙和偽裝的策略來進(jìn)行網(wǎng)絡(luò)攻擊���,使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息�,消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源�����,導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。與DoS攻擊由單臺主機(jī)發(fā)起攻擊相比較��,分布式拒絕服務(wù)攻擊DDoS是借助數(shù)百���、甚至數(shù)千臺被入侵后安裝了攻擊進(jìn)程的主機(jī)同時發(fā)起的集團(tuán)行為����。
一個完整的DDoS攻擊體系由攻擊者���、主控端����、代理端和攻擊目標(biāo)四部分組成�。主控端和代理端分別用于控制和實際發(fā)起攻擊�����,其中主控端只發(fā)布命令而不參與實際的攻擊��,代理端發(fā)出DDoS的實際攻擊包���。對于主控端和代理端的計算機(jī)����,攻擊者有控制權(quán)或者部分控制權(quán).它在攻擊過程中會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。真正的攻擊者一旦將攻擊的命令傳送到主控端��,攻擊者就可以關(guān)閉或離開網(wǎng)絡(luò).而由主控端將命令發(fā)布到各個代理主機(jī)上�����。這樣攻擊者可以逃避追蹤���。每一個攻擊代理主機(jī)都會向目標(biāo)主機(jī)發(fā)送大量的服務(wù)請求數(shù)據(jù)包����,這些數(shù)據(jù)包經(jīng)過偽裝����,無法識別它的來源,而且這些數(shù)據(jù)包所請求的服務(wù)往往要消耗大量的系統(tǒng)資源���,造成目標(biāo)主機(jī)無法為用戶提供正常服務(wù)�。甚至導(dǎo)致系統(tǒng)崩潰��。
說簡單點,其原理就是利用大量的請求造成資源過載����,導(dǎo)致服務(wù)不可用,這個攻擊應(yīng)該不能算是安全問題��,這應(yīng)該算是一個另類的存在�����,因為這種攻擊根本就是耍流氓的存在���,「傷敵一千����,自損八百」的行為��。出于保護(hù) Web App 不受攻擊的攻防角度���,還是介紹一下 DDoS 攻擊吧,畢竟也是挺常見的��。
DDoS 攻擊可以理解為:「你開了一家店���,隔壁家店看不慣�,就雇了一大堆黑社會人員進(jìn)你店里干坐著,也不消費��,其他客人也進(jìn)不來����,導(dǎo)致你營業(yè)慘淡」。為啥說 DDoS 是個「傷敵一千�,自損八百」的行為呢?畢竟隔壁店還是花了不少錢雇黑社會但是啥也沒得到不是�?DDoS 攻擊的目的基本上就以下幾個:
也許你的站點遭受過 DDoS 攻擊�,具體什么原因怎么解讀見仁見智����。DDos 攻擊從層次上可分為網(wǎng)絡(luò)層攻擊與應(yīng)用層攻擊,從攻擊手法上可分為快型流量攻擊與慢型流量攻擊,但其原理都是造成資源過載���,導(dǎo)致服務(wù)不可用�����。
攻擊流程
攻擊者進(jìn)行一次DDoS攻擊大概需要經(jīng)過了解攻擊目標(biāo)���、攻占傀儡機(jī)、實際攻擊三個主要步驟���,下面依次說明每一步驟的具體過程:
1.了解攻擊目標(biāo)就是對所要攻擊的目標(biāo)有一個全面和準(zhǔn)確的了解��,以便對將來的攻擊做到心中有數(shù)�。主要關(guān)心的內(nèi)容包括被攻擊目標(biāo)的主機(jī)數(shù)目�、地址情況。目標(biāo)主機(jī)的配置���、性能���、目標(biāo)的帶寬等等。對于DDoS攻擊者來說��,攻擊互聯(lián)網(wǎng)上的某個站點���,有一個重點就是確定到底有多少臺主機(jī)在支持這個站點���,一個大的網(wǎng)站可能有很多臺主機(jī)利用負(fù)載均衡技術(shù)提供服務(wù)。所有這些攻擊目標(biāo)的信息都關(guān)系到后面兩個階段的實施目標(biāo)和策略����,如果盲目的發(fā)動DDoS攻擊就不能保證攻擊目的的完成,還可能過早的暴露攻擊者的身份�,所以了解攻擊目標(biāo)是有經(jīng)驗的攻擊者必經(jīng)的步驟。
2.攻占傀儡主機(jī)就是控制盡可能多的機(jī)器��,然后安裝相應(yīng)的攻擊程序��。在主控機(jī)上安裝控制攻擊的程序�����,而攻擊機(jī)則安裝DDoS攻擊的發(fā)包程序����。攻擊者最感興趣,也最有可能成為別人的傀儡主機(jī)的機(jī)器包括那些鏈路狀態(tài)好���、性能好同時安全管理水平差的主機(jī)�。攻擊者一般會利用已有的或者未公布的一些系統(tǒng)或者應(yīng)用軟件的漏洞.取得一定的控制權(quán),起碼可以安裝攻擊實施所需要的程序���,更厲害的可能還會取得最高控制權(quán)�����、留下后門等等�。在早期的DDoS攻擊過程中�����,攻占傀儡主機(jī)這一步主要是攻擊者自己手動完成的�,親自掃描網(wǎng)絡(luò),發(fā)現(xiàn)安全性比較差的主機(jī)���,將其攻占并且安裝攻擊程序���。但是后來隨著DDoS攻擊和蠕蟲的融合,攻占傀儡機(jī)變成了一個自動化的過程�,攻擊者只要將蠕蟲放入網(wǎng)絡(luò)中,蠕蟲就會在不斷擴(kuò)散中不停地攻占主機(jī)�,這樣所能聯(lián)合的攻擊機(jī)將變得非常巨大���,DDoS攻擊的威力更大。
3.DDoS攻擊的最后一個階段就是實際的攻擊過程�,攻擊者通過主控機(jī)向攻擊機(jī)發(fā)出攻擊指令��,或者按照原先設(shè)定好的攻擊時間和目標(biāo)���,攻擊機(jī)不停的向目標(biāo)或者反射服務(wù)器發(fā)送大量的攻擊包�,來吞沒被攻擊者�����,達(dá)到拒絕服務(wù)的最終目的��。和前兩個過程相比�,實際攻擊過程倒是最簡單的一個階段,一些有經(jīng)驗的攻擊者可能還會在攻擊的同時通過各種手段檢查攻擊效果��,甚至在攻擊過程中動態(tài)調(diào)整攻擊策略��,盡可能清除在主控機(jī)和攻擊機(jī)上留下的蛛絲馬跡����。
攻擊方式及防御
1.1 網(wǎng)絡(luò)層 DDoS
網(wǎng)絡(luò)層 DDos 攻擊包括 SYN Flood��、ACK Flood����、UDP Flood�、ICMP Flood 等。
SYN flood 攻擊主要利用了 TCP 三次握手過程中的 Bug����,我們都知道 TCP 三次握手過程是要建立連接的雙方發(fā)送 SYN,SYN + ACK�����,ACK 數(shù)據(jù)包��,而當(dāng)攻擊方隨意構(gòu)造源 IP 去發(fā)送 SYN 包時���,服務(wù)器返回的 SYN + ACK 就不能得到應(yīng)答(因為 IP 是隨意構(gòu)造的)�,此時服務(wù)器就會嘗試重新發(fā)送����,并且會有至少 30s 的等待時間,導(dǎo)致資源飽和服務(wù)不可用�����,此攻擊屬于慢型 DDoS 攻擊。
ACK Flood 攻擊是在 TCP 連接建立之后���,所有的數(shù)據(jù)傳輸 TCP 報文都是帶有 ACK 標(biāo)志位的���,主機(jī)在接收到一個帶有 ACK 標(biāo)志位的數(shù)據(jù)包的時候��,需要檢查該數(shù)據(jù)包所表示的連接四元組是否存在��,如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法����,然后再向應(yīng)用層傳遞該數(shù)據(jù)包。如果在檢查中發(fā)現(xiàn)該數(shù)據(jù)包不合法�,例如該數(shù)據(jù)包所指向的目的端口在本機(jī)并未開放,則主機(jī)操作系統(tǒng)協(xié)議棧會回應(yīng) RST 包告訴對方此端口不存在��。
UDP flood 攻擊是由于 UDP 是一種無連接的協(xié)議����,因此攻擊者可以偽造大量的源 IP 地址去發(fā)送 UDP 包,此種攻擊屬于大流量攻擊���。正常應(yīng)用情況下���,UDP 包雙向流量會基本相等�����,因此發(fā)起這種攻擊的攻擊者在消耗對方資源的時候也在消耗自己的資源���。
ICMP Flood 攻擊屬于大流量攻擊,其原理就是不斷發(fā)送不正常的 ICMP 包(所謂不正常就是 ICMP 包內(nèi)容很大)�����,導(dǎo)致目標(biāo)帶寬被占用����,但其本身資源也會被消耗。目前很多服務(wù)器都是禁 ping 的(在防火墻外可以屏蔽 ICMP 包)��,因此這種攻擊方式已經(jīng)落伍�����。
1.2 網(wǎng)絡(luò)層 DDoS 防御
網(wǎng)絡(luò)層的 DDoS 攻擊究其本質(zhì)其實是無法防御的����,我們能做的就是不斷優(yōu)化服務(wù)本身部署的網(wǎng)絡(luò)架構(gòu)�����,以及提升網(wǎng)絡(luò)帶寬�����。當(dāng)然�����,還是做好以下幾件事也是有助于緩解網(wǎng)絡(luò)層 DDoS 攻擊的沖擊:
網(wǎng)絡(luò)架構(gòu)上做好優(yōu)化,采用負(fù)載均衡分流�����。
確保服務(wù)器的系統(tǒng)文件是最新的版本�,并及時更新系統(tǒng)補(bǔ)丁。
添加抗 DDos 設(shè)備�����,進(jìn)行流量清洗�。
限制同時打開的 SYN 半連接數(shù)目���,縮短 SYN 半連接的 Timeout 時間。
限制單 IP 請求頻率�����。
防火墻等防護(hù)設(shè)置禁止 ICMP 包等���。
嚴(yán)格限制對外開放的服務(wù)器的向外訪問��。
運行端口映射程序或端口掃描程序��,要認(rèn)真檢查特權(quán)端口和非特權(quán)端口����。
關(guān)閉不必要的服務(wù)�。
認(rèn)真檢查網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或是時間變更,那這臺機(jī)器就可能遭到了攻擊�����。
限制在防火墻外與網(wǎng)絡(luò)文件共享�。這樣會給黑客截取系統(tǒng)文件的機(jī)會,主機(jī)的信息暴露給黑客,無疑是給了對方入侵的機(jī)會��。
加錢堆機(jī)器��。
報警��。
2.1 應(yīng)用層 DDoS
應(yīng)用層 DDoS 攻擊不是發(fā)生在網(wǎng)絡(luò)層����,是發(fā)生在 TCP 建立握手成功之后,應(yīng)用程序處理請求的時候��,現(xiàn)在很多常見的 DDoS 攻擊都是應(yīng)用層攻擊��。應(yīng)用層攻擊千變?nèi)f化�����,目的就是在網(wǎng)絡(luò)應(yīng)用層耗盡你的帶寬�����,下面列出集中典型的攻擊類型�����。
當(dāng)時綠盟為了防御 DDoS 攻擊研發(fā)了一款叫做 Collapasar 的產(chǎn)品����,能夠有效的防御 SYN Flood 攻擊。黑客為了挑釁����,研發(fā)了一款 Challenge Collapasar 攻擊工具(簡稱 CC)。
CC 攻擊的原理���,就是針對消耗資源比較大的頁面不斷發(fā)起不正常的請求�,導(dǎo)致資源耗盡�。因此在發(fā)送 CC 攻擊前,我們需要尋找加載比較慢����,消耗資源比較多的網(wǎng)頁,比如需要查詢數(shù)據(jù)庫的頁面����、讀寫硬盤文件的等。通過 CC 攻擊�,使用爬蟲對某些加載需要消耗大量資源的頁面發(fā)起 HTTP 請求。
DNS Flood 攻擊采用的方法是向被攻擊的服務(wù)器發(fā)送大量的域名解析請求��,通常請求解析的域名是隨機(jī)生成或者是網(wǎng)絡(luò)世界上根本不存在的域名,被攻擊的DNS 服務(wù)器在接收到域名解析請求的時候首先會在服務(wù)器上查找是否有對應(yīng)的緩存����,如果查找不到并且該域名無法直接由服務(wù)器解析的時候,DNS 服務(wù)器會向其上層 DNS 服務(wù)器遞歸查詢域名信息��。域名解析的過程給服務(wù)器帶來了很大的負(fù)載�����,每秒鐘域名解析請求超過一定的數(shù)量就會造成 DNS 服務(wù)器解析域名超時�����。
根據(jù)微軟的統(tǒng)計數(shù)據(jù)��,一臺 DNS 服務(wù)器所能承受的動態(tài)域名查詢的上限是每秒鐘 9000 個請求����。而我們知道,在一臺 P3 的 PC 機(jī)上可以輕易地構(gòu)造出每秒鐘幾萬個域名解析請求����,足以使一臺硬件配置極高的 DNS 服務(wù)器癱瘓��,由此可見 DNS 服務(wù)器的脆弱性。
針對 HTTP 協(xié)議��,先建立起 HTTP 連接���,設(shè)置一個較大的 Conetnt-Length����,每次只發(fā)送很少的字節(jié)�,讓服務(wù)器一直以為 HTTP 頭部沒有傳輸完成,這樣連接一多就很快會出現(xiàn)連接耗盡���。
2.2 應(yīng)用層 DDoS 防御
判斷 User-Agent 字段(不可靠���,因為可以隨意構(gòu)造)
針對 IP + cookie,限制訪問頻率(由于 cookie 可以更改��,IP 可以使用代理���,或者肉雞����,也不可靠)
關(guān)閉服務(wù)器最大連接數(shù)等���,合理配置中間件�����,緩解 DDoS 攻擊�����。
請求中添加驗證碼�����,比如請求中有數(shù)據(jù)庫操作的時候���。
編寫代碼時��,盡量實現(xiàn)優(yōu)化�����,并合理使用緩存技術(shù)�,減少數(shù)據(jù)庫的讀取操作����。
加錢堆機(jī)器����。�。
報警���。�。
應(yīng)用層的防御有時比網(wǎng)絡(luò)層的更難���,因為導(dǎo)致應(yīng)用層被 DDoS 攻擊的因素非常多�����,有時往往是因為程序員的失誤�����,導(dǎo)致某個頁面加載需要消耗大量資源�����,有時是因為中間件配置不當(dāng)?shù)鹊����。而?yīng)用層 DDoS 防御的核心就是區(qū)分人與機(jī)器(爬蟲),因為大量的請求不可能是人為的��,肯定是機(jī)器構(gòu)造的����。因此如果能有效的區(qū)分人與爬蟲行為,則可以很好地防御此攻擊���。
3.1 其他 DDoS 攻擊
發(fā)起 DDoS 也是需要大量的帶寬資源的�����,但是互聯(lián)網(wǎng)就像森林��,林子大了什么鳥都有�,DDoS 攻擊者也能找到其他的方式發(fā)起廉價并且極具殺傷力的 DDoS 攻擊��。
舉個例子��,如果 12306 頁面有一個 XSS 持久型漏洞被惡意攻擊者發(fā)現(xiàn)��,只需在春節(jié)搶票期間在這個漏洞中執(zhí)行腳本使得往某一個小站點隨便發(fā)點什么請求�����,然后隨著用戶訪問的增多,感染用戶增多���,被攻擊的站點自然就會迅速癱瘓了�����。這種 DDoS 簡直就是無本萬利,不用驚訝����,現(xiàn)在大站有 XSS 漏洞的不要太多。
大家都知道����,互聯(lián)網(wǎng)上的 P2P 用戶和流量都是一個極為龐大的數(shù)字。如果他們都去一個指定的地方下載數(shù)據(jù)����,成千上萬的真實 IP 地址連接過來,沒有哪個設(shè)備能夠支撐住��。拿 BT 下載來說�����,偽造一些熱門視頻的種子,發(fā)布到搜索引擎����,就足以騙到許多用戶和流量了,但是這只是基礎(chǔ)攻擊�����。
高級的 P2P 攻擊��,是直接欺騙資源管理服務(wù)器����。如迅雷客戶端會把自己發(fā)現(xiàn)的資源上傳到資源管理服務(wù)器,然后推送給其它需要下載相同資源的用戶�,這樣,一個鏈接就發(fā)布出去�����。通過協(xié)議逆向����,攻擊者偽造出大批量的熱門資源信息通過資源管理中心分發(fā)出去,瞬間就可以傳遍整個 P2P 網(wǎng)絡(luò)。更為恐怖的是���,這種攻擊是無法停止的�����,即使是攻擊者自身也無法停止���,攻擊一直持續(xù)到 P2P 官方發(fā)現(xiàn)問題更新服務(wù)器且下載用戶重啟下載軟件為止。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
