綜述
概念理解
DoS到底是什麼?接觸PC機較早的同志會直接想到微軟磁盤操作系統的DOS--DiskOperationSystem?不,此DoS非彼DOS也,DoS即DenialOfService,拒絕服務的縮寫。
作個形象的比喻來理解DoS。街頭的餐館是為大衆提供餐飲服務,如果一群地痞流氓要DoS餐館的話,手段會很多,比如霸占着餐桌不結賬,堵住餐館的大門不讓路,騷擾餐館的服務員或廚子不能幹活,甚至更惡劣……相應的計算機和網絡系統則是為Internet用戶提供互聯網資源的,如果有黑客要進行DoS攻擊的話,可以想象同樣有好多手段!今天最常見的DoS攻擊有對計算機網絡的帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡,使得所有可用網絡資源都被消耗殆盡,最後導緻合法的用戶請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機,使得所有可用的操作系統資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。
傳統上,攻擊者所面臨的主要問題是網絡帶寬,由于較小的網絡規模和較慢的網絡速度的限制,攻擊者無法發出過多的請求。雖然類似“theping of death”的攻擊類型隻需要較少量的包就可以摧毀一個沒有打過補丁的UNIX系統,但大多數的DoS攻擊還是需要相當大的帶寬的,而以個人為單位的黑客們很難使用高帶寬的資源。為了克服這個缺點,DoS攻擊者開發了分布式的攻擊。攻擊者簡單利用工具集合許多的網絡帶寬來同時對同一個目标發動大量的攻擊請求,這就是DDoS(Distributed Denial of Service)攻擊。
無論是DoS攻擊還是DDoS攻擊,簡單的看,都隻是一種破壞網絡服務的黑客方式,雖然具體的實現方式千變萬化,但都有一個共同點,就是其根本目的是使受害主機或網絡無法及時接收并處理外界請求,或無法及時回應外界請求。其具體表現方式有以下幾種:
1,制造大流量無用數據,造成通往被攻擊主機的網絡擁塞,使被攻擊主機無法正常和外界通信。
2,利用被攻擊主機提供服務或傳輸協議上處理重複連接的缺陷,反複高頻的發出攻擊性的重複服務請求,使被攻擊主機無法及時處理其它正常的請求。
3,利用被攻擊主機所提供服務程序或傳輸協議的本身實現缺陷,反複發送畸形的攻擊數據引發系統錯誤的分配大量系統資源,使主機處于挂起狀态甚至死機。
使用僵屍電腦進行DOS攻擊
僵屍電腦(Zombie computer),簡稱“僵屍(zombie)”,有些人稱之為“肉雞”,接入互聯網的電腦被病毒感染後,受控于黑客,可以随時按照黑客的指令展開拒絕服務(DoS)攻擊或發送垃圾信息。通常,一部被侵占的電腦隻是僵屍網絡裡面衆多中的一環,而且會被用來去運行一連串的或遠端控制的惡意程序。很多“僵屍電腦的擁有者”都沒有察覺到自己的系統已經被“僵屍化”,就仿佛是沒有自主意識的僵屍一般。
攻擊流程
要理解dos攻擊,首先要理解TCP連接的三次握手過程(Three-wayhandshake)。在TCP/IP協議中,TCP協議提供可靠的連接服務,采用三次握手建立一個連接。
第一次握手:建立連接時,客戶端發送SYN包((SYN=i)到服務器,并進入SYN SEND狀态,等待服務器确認;
第二次握手:服務器收到SYN包,必須确認客戶的SYN (ACK=i+1 ),同時自己也發送一個SYN包((SYN=j)}即SYN+ACK包,此時服務器進入SYN_RECV狀态;
第三次握手:客戶端收到服務器的SYN+ACK包,向服務器發送确認包ACK(ACK=j+1),此包發送完畢,客戶端和服務器進入ESTABLISHED狀态,完成三次握手,客戶端與服務器開始傳送數據。
在上述過程中,還有一些重要的概念:
半連接:收到SYN包而還未收到ACK包時的連接狀态稱為半連接,即尚未完全完成三次握手的TCP連接。
半連接隊列:在三次握手協議中,服務器維護一個半連接隊列,該隊列為每個客戶端的SYN包(SYN=i )開設一個條目,該條目表明服務器已收到SYN包,并向客戶發出确認,正在等待客戶的确認包。這些條目所标識的連接在服務器處于SYN_ RECV狀态,當服務器收到客戶的确認包時,删除該條目,服務器進入ESTABLISHED狀态。
Backlog參數:表示半連接隊列的最大容納數目。
SYN-ACK重傳次數:服務器發送完SYN-ACK包,如果未收到客戶确認包,服務器進行首次重傳,等待一段時間仍未收到客戶确認包,進行第二次重傳,如果重傳次數超過系統規定的最大重傳次數,系統将該連接信息、從半連接隊列中删除。注意,每次重傳等待的時間不一定相同。
半連接存活時間:是指半連接隊列的條目存活的最長時間,也即服務從收到SYN包到确認這個報文無效的最長時間,該時間值是所有重傳請求包的最長等待時間總和。有時也稱半連接存活時間為Timeout時間、SYN_RECV存活時間。
上面三個參數對系統的TCP連接狀況有很大影響。
SYN洪水攻擊屬于DoS攻擊的一種,它利用TCP協議缺陷,通過發送大量的半連接請求,耗費CPU和内存資源。SYN攻擊除了能影響主機外,還可以危害路由器、防火牆等網絡系統,事實上SYN攻擊并不管目标是什麼系統,隻要這些系統打開TCP服務就可以實施。從圖4-3可看到,服務器接收到連接請求(SYN=i)将此信息加入未連接隊列,并發送請求包給客戶端(SYN=j,ACK=i+1),此時進入SYN_RECV狀态。
當服務器未收到客戶端的确認包時,重發請求包,一直到超時,才将此條目從未連接隊列删除。配合IP欺騙,SYN攻擊能達到很好的效果,通常,客戶端在短時間内僞造大量不存在的IP地址,向服務器不斷地發送SYN包,服務器回複确認包,并等待客戶的确認,由于源地址是不存在的,服務器需要不斷的重發直至超時,這些僞造的SYN包将長時間占用未連接隊列,正常的SYN請求
被丢棄,目标系統運行緩慢,嚴重者引起網絡堵塞甚至系統癱瘓。過程如下:
攻擊主機C(地址僞裝後為C')-----大量SYN包---->被攻擊主機
C'<-------SYN/ACK包----被攻擊主機
由于C’地址不可達,被攻擊主機等待SYN包超時。攻擊主機通過發大量SYN包填滿未連接隊列,導緻正常SYN包被拒絕服務。另外,SYN洪水攻擊還可以通過發大量ACK包進行DoS攻擊。
攻擊手段
拒絕服務攻擊是一種對網絡危害巨大的惡意攻擊。今天,DoS具有代表性的攻擊手段包括PingofDeath、TearDrop、UDPflood、SYNflood、LandAttack、IPSpoofingDoS等。看看它們又是怎麼實現的。
死亡之ping(pingofdeath)DengKelen
ICMP(InternetControlMessageProtocol,Internet控制信息協議)在Internet上用于錯誤處理和傳遞控制信息。最普通的ping程序就是這個功能。而在TCP/IP的RFC文檔中對包的最大尺寸都有嚴格限制規定,許多操作系統的TCP/IP協議棧都規定ICMP包大小為64KB,且在對包的标題頭進行讀取之後,要根據該标題頭裡包含的信息來為有效載荷生成緩沖區。"PingofDeath"就是故意産生畸形的測試Ping(PacketInternetGroper)包,聲稱自己的尺寸超過ICMP上限,也就是加載的尺寸超過64KB上限,使未采取保護措施的網絡系統出現内存分配錯誤,導緻TCP/IP協議棧崩潰,最終接收方宕機。
淚滴
淚滴攻擊利用在TCP/IP協議棧實現中信任IP碎片中的包的标題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息,某些TCP/IP協議棧(例如NT在servicepack4以前)在收到含有重疊偏移的僞造分段時将崩潰。
UDP泛洪
(UDPflood)
UDPflood攻擊:如今在Internet上UDP(用戶數據包協議)的應用比較廣泛,很多提供WWW和Mail等服務設備通常是使用Unix的服務器,它們默認打開一些被黑客惡意利用的UDP服務。如echo服務會顯示接收到的每一個數據包,而原本作為測試功能的chargen服務會在收到每一個數據包時随機反饋一些字符。
UDPflood假冒攻擊就是利用這兩個簡單的TCP/IP服務的漏洞進行惡意攻擊,通過僞造與某一主機的Chargen服務之間的一次的UDP連接,回複地址指向開着Echo服務的一台主機,通過将Chargen和Echo服務互指,來回傳送毫無用處且占滿帶寬的垃圾數據,在兩台主機之間生成足夠多的無用數據流,這一拒絕服務攻擊飛快地導緻網絡可用帶寬耗盡。
SYN泛洪
(SYNflood)
SYNflood攻擊:我們知道當用戶進行一次标準的TCP(TransmissionControlProtocol)連接時,會有一個3次握手過程。首先是請求服務方發送一個SYN(SynchronizeSequenceNumber)消息,服務方收到SYN後,會向請求方回送一個SYN-ACK表示确認,當請求方收到SYN-ACK後,再次向服務方發送一個ACK消息,這樣一次TCP連接建立成功。
“SYNFlooding”則專門針對TCP協議棧在兩台主機間初始化連接握手的過程進行DoS攻擊,其在實現過程中隻進行前2個步驟:當服務方收到請求方的SYN-ACK确認消息後,請求方由于采用源地址欺騙等手段使得服務方收不到ACK回應,于是服務方會在一定時間處于等待接收請求方ACK消息的狀态。
而對于某台服務器來說,可用的TCP連接是有限的,因為他們隻有有限的内存緩沖區用于創建連接,如果這一緩沖區充滿了虛假連接的初始信息,該服務器就會對接下來的連接停止響應,直至緩沖區裡的連接企圖超時。如果惡意攻擊方快速連續地發送此類連接請求,該服務器可用的TCP連接隊列将很快被阻塞,系統可用資源急劇減少,網絡可用帶寬迅速縮小,長此下去,除了少數幸運用戶的請求可以插在大量虛假請求間得到應答外,服務器将無法向用戶提供正常的合法服務。
Land(LandAttack)攻擊
在Land攻擊中,黑客利用一個特别打造的SYN包--它的原地址和目标地址都被設置成某一個服務器地址進行攻擊。此舉将導緻接受服務器向它自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息并創建一個空連接,每一個這樣的連接都将保留直到超時,在Land攻擊下,許多UNIX将崩潰,NT變得極其緩慢(大約持續五分鐘)。
IP欺騙
這種攻擊利用TCP協議棧的RST位來實現,使用IP欺騙,迫使服務器把合法用戶的連接複位,影響合法用戶的連接。假設有一個合法用戶(100.100.100.100)已經同服務器建了正常的連接,攻擊者構造攻擊的TCP數據,僞裝自己的IP為100.100.100.100,并向服務器發送一個帶有RST位的TCP數據段。
服務器接收到這樣的數據後,認為從100.100.100.100發送的連接有錯誤,就會清空緩沖區中已建立好的連接。這時,合法用戶100.100.100.100再發送合法數據,服務器就已經沒有這樣的連接了,該用戶就被拒絕服務而隻能重新開始建立新的連接。
攻擊方法
具體DoS攻擊方法很多,但大多都可以分為以下幾類:
利用軟件實現的缺陷
OOB攻擊(常用工具winnuke),teardrop攻擊(常用工具teardrop.cboink.cbonk.c),land攻擊,IGMP碎片包攻擊,jolt攻擊,Cisco2600路由器IOSversion12.0(10)遠程拒絕服務攻擊等等,這些攻擊都是利用了被攻擊軟件的實現上的缺陷完成DoS攻擊的。通常這些攻擊工具向被攻擊系統發送特定類型的一個或多個報文,這些攻擊通常都是緻命的,一般都是一擊緻死,而且很多攻擊是可以僞造源地址的,所以即使通過IDS或者别的sniffer軟件記錄到攻擊報文也不能找到誰發動的攻擊,而且此類型的攻擊多是特定類型的幾個報文,非常短暫的少量的報文,如果僞造源IP地址的話,使追查工作幾乎是不可能。
那麼如何造成這些攻擊的?通常是軟件開發過程中對某種特定類型的報文、或請求沒有處理,導緻軟件遇到這種類型的報文運行出現異常,導緻軟件崩潰甚至系統崩潰。下面結合幾個具體實例解釋一下這種攻擊的成因。
1997年5月7号有人發布了一個winnuke.c。首先建立一條到Win95/NT主機的TCP連接,然後發送TCP緊急數據,導緻對端系統崩潰。139/TCP是Win95/NT系統最常見的偵聽端口,所以winnuke.c使用了該端口。之所以稱呼這種攻擊為OOB攻擊,因為MSG_OOB标志,實際應該是TCP緊急數據攻擊。
原始teardrop.c隻構造了兩種碎片包,每次同時發送這兩種UDP碎片包。如果指定發送次數,将完全重複先前所發送出去的兩種碎片包。它可以僞造源ip并跨越路由器進行遠程攻擊,影響的系統包括Linux/WinNT/Win95。使用的方法是:
teardrop源ip目的ip[-s源端口][-d目的端口][-n次數]
比較新的一個DoS攻擊是Windows的SMB實現中的DoS攻擊,2002年8月發布,隻要允許匿名連接的windows系統就可以進行遠程攻擊,強烈建議Windows用戶打相應的補丁。它的方法就是先和目标系統建立一個連接,然後發送一個特定的請求,目标系統就會蘭屏。發布的測試工具SMBdie.exe是圖形界面工具,輸入目标地址NETBIOS名稱即可。
從上面的讨論可以看出,這種攻擊行為威力很大,而且難于偵察。但真實情況下它的危害僅現于漏洞發布後的不長的時間段内,相關廠商會很快發布補丁修補這種漏洞。所以上面提到的幾種較老的攻擊在現實的環境中,通常是無效的。不過最新的攻擊方法還是讓我們不寒而栗,我們可以做的就是關注安全漏洞的發布,及時打上新的補丁。如果你想偷懶的話,購買專業安全服務公司的相關服務應該是個更好的選擇。
利用協議的漏洞
如果說上面那種漏洞危害的時間不是很長,那麼這種攻擊的生存能力卻非常強。為了能夠在網絡上進行互通、互聯,所有的軟件實現都必須遵循既有的協議,而如果這種協議存在漏洞的話,所有遵循此協議的軟件都會受到影響。
最經典的攻擊是synflood攻擊,它利用TCP/IP協議的漏洞完成攻擊。通常一次TCP連接的建立包括3個步驟,客戶端發送SYN包給服務器端,服務器分配一定的資源給這裡連接并返回SYN/ACK包,并等待連接建立的最後的ACK包,最後客戶端發送ACK報文,這樣兩者之間的連接建立起來,并可以通過連接傳送數據了。而攻擊的過程就是瘋狂發送SYN報文,而不返回ACK報文,服務器占用過多資源,而導緻系統資源占用過多,沒有能力響應别的操作,或者不能響應正常的網絡請求。
這個攻擊是經典的以小搏大的攻擊,自己使用少量資源占用對方大量資源。一台P4的Linux系統大約能發到30-40M的64字節的synflood報文,而一台普通的服務器20M的流量就基本沒有任何響應了(包括鼠标、鍵盤)。而且synflood不僅可以遠程進行,而且可以僞造源IP地址,給追查造成很大困難,要查找必須所有骨幹網絡運營商,一級一級路由器的向上查找。
對于僞造源IP的synflood攻擊,除非攻擊者和被攻擊的系統之間所有的路由器的管理者都配合查找,否則很難追查。當前一些防火牆産品聲稱有抗DoS的能力,但通常他們能力有限,包括國外的硬件防火牆大多100M防火牆的抗synflood的能力隻有20-30Mbps(64字節syn包),這裡涉及到它們對小報文的轉發能力,再大的流量甚至能把防火牆打死機。有些安全廠商認識到DoS攻擊的危害,開始研發專用的抗拒絕服務産品。
由于TCP/IP協議相信報文的源地址,另一種攻擊方式是反射拒絕服務攻擊,另外可以利用還有廣播地址,和組播協議輔助反射拒絕服務攻擊效果更好。不過大多數路由器都禁止廣播地址和組播協議的地址。
另一類攻擊方式是使用大量符合協議的正常服務請求,由于每個請求耗費很大系統資源,導緻正常服務請求不能成功。如HTTP協議是無狀态協議,攻擊者構造大量搜索請求,這些請求耗費大量服務器資源,導緻DoS。這種方式攻擊比較好處理,由于是正常請求,暴露了正常的源IP地址,禁止這些IP就可以了。
進行資源比拼
這種攻擊方式屬于無賴打法,我憑借着手中的資源豐富,發送大量的垃圾數據侵占完你的資源,導緻DoS。比如,ICMPflood,mstreamflood,Connectionflood。為了獲得比目标系統更多資源,通常攻擊者會發動DDoS(DistributedDos分布式拒絕服務)攻擊者控制多個攻擊傀儡發動攻擊,這樣才能産生預期的效果。前兩類攻擊是可以僞造IP地址的,追查也是非常困難,第3種攻擊由于需要建立連接,可能會暴露攻擊傀儡的IP地址,通過防火牆禁止這些IP就可以了。對于難于追查,禁止的攻擊行為,我們隻能期望專用的抗拒絕服務産品了。
攻擊程序
smurf、trinoo、tfn、tfn2k以及stacheldraht是比較常見的DoS攻擊程序,本文将對它們的原理以及抵禦措施進行論述,以幫助管理員有效地抵禦DoS風暴攻擊,維護站點安全。
“smurf攻擊”,如何抵禦
Smurf是一種簡單但有效的DDoS攻擊技術,它利用了ICMP(Internet控制信息協議)。ICMP在Internet上用于錯誤處理和傳遞控制信息。它的功能之一是與主機聯系,通過發送一個“回音請求”(echorequest)信息包看看主機是否“活着”。最普通的ping程序就使用了這個功能。Smurf是用一個偷來的帳号安裝到一個計算機上的,然後用一個僞造的源地址連續ping一個或多個計算機網絡,這就導緻所有計算機所響應的那個計算機并不是實際發送這個信息包的那個計算機。這個僞造的源地址,實際上就是攻擊的目标,它将被極大數量的響應信息量所淹沒。對這個僞造信息包做出響應的計算機網絡就成為攻擊的不知情的同謀。
下面是SmurfDDoS攻擊的基本特性以及建議采用的抵禦策略:
1、Smurf的攻擊平台:smurf為了能工作,必須要找到攻擊平台,這個平台就是:其路由器上啟動了IP廣播功能。這個功能允許smurf發送一個僞造的ping信息包,然後将它傳播到整個計算機網絡中。
2、為防止系統成為smurf攻擊的平台,要将所有路由器上IP的廣播功能都禁止。一般來講,IP廣播功能并不需要。
3、攻擊者也有可能從LAN内部發動一個smurf攻擊,在這種情況下,禁止路由器上的IP廣播功能就沒有用了。為了避免這樣一個攻擊,許多操作系統都提供了相應設置,防止計算機對IP廣播請求做出響應。
4、如果攻擊者要成功地利用你成為攻擊平台,你的路由器必須要允許信息包以不是從你的内網中産生的源地址離開網絡。配置路由器,讓它将不是由你的内網中生成的信息包過濾出去,這是有可能做到的。這就是所謂的網絡出口過濾器功能。
5、ISP則應使用網絡入口過濾器,以丢掉那些不是來自一個已知範圍内IP地址的信息包。
6、挫敗一個smurf攻擊的最簡單方法對邊界路由器的回音應答(echoreply)信息包進行過濾,然後丢棄它們,這樣就能阻止“命中”Web服務器和内網。對于那些使用Cisco路由器的人,另一個選擇是CAR(CommittedAccessRate,承諾訪問速率)。
丢棄所有的回音應答信息包能使網絡避免被淹沒,但是它不能防止來自上遊供應者通道的交通堵塞。如果你成為了攻擊的目标,就要請求ISP對回音應答信息包進行過濾并丢棄。如果不想完全禁止回音應答,那麼可以有選擇地丢棄那些指向你的公用Web服務器的回音應答信息包。CAR技術由Cisco開發,它能夠規定出各種信息包類型使用的帶寬的最大值。例如,使用CAR,我們就可以精确地規定回音應答信息包所使用的帶寬的最大值。
“trinoo”,如何抵禦
trinoo是複雜的DDoS攻擊程序,它使用“master”程序對實際實施攻擊的任何數量的“代理”程序實現自動控制。攻擊者連接到安裝了master程序的計算機,啟動master程序,然後根據一個IP地址的列表,由master程序負責啟動所有的代理程序。接着,代理程序用UDP信息包沖擊網絡,從而攻擊目标。在攻擊之前,侵入者為了安裝軟件,已經控制了裝有master程序的計算機和所有裝有代理程序的計算機。
下面是trinooDDoS攻擊的基本特性以及建議采用的抵禦策略:
1、在master程序與代理程序的所有通訊中,trinoo都使用了UDP協議。入侵檢測軟件能夠尋找使用UDP協議的數據流(類型17)。
2、Trinoomaster程序的監聽端口是27655,攻擊者一般借助telnet通過TCP連接到master程序所在計算機。入侵檢測軟件能夠搜索到使用TCP(類型6)并連接到端口27655的數據流。
3、所有從master程序到代理程序的通訊都包含字符串“l44”,并且被引導到代理的UDP端口27444。入侵檢測軟件檢查到UDP端口27444的連接,如果有包含字符串l44的信息包被發送過去,那麼接受這個信息包的計算機可能就是DDoS代理。
4、Master和代理之間通訊受到口令的保護,但是口令不是以加密格式發送的,因此它可以被“嗅探”到并被檢測出來。使用這個口令以及來自DaveDittrich的trinot腳本,要準确地驗證出trinoo代理的存在是很可能的。
一旦一個代理被準确地識别出來,trinoo網絡就可以安裝如下步驟被拆除:
·在代理daemon上使用"strings"命令,将master的IP地址暴露出來。
·與所有作為trinoomaster的機器管理者聯系,通知它們這一事件。
·在master計算機上,識别含有代理IP地址列表的文件(默認名“...”),得到這些計算機的IP地址列表。
·向代理發送一個僞造“trinoo”命令來禁止代理。通過crontab文件(在UNIX系統中)的一個條目,代理可以有規律地重新啟動,因此,代理計算機需要一遍一遍地被關閉,直到代理系統的管理者修複了crontab文件為止。
·檢查master程序的活動TCP連接,這能顯示攻擊者與trinoomaster程序之間存在的實時連接。
·如果網絡正在遭受trinoo攻擊,那麼系統就會被UDP信息包所淹沒。Trinoo從同一源地址向目标主機上的任意端口發送信息包。探測trinoo就是要找到多個UDP信息包,它們使用同一來源IP地址、同一目的IP地址、同一源端口,但是不同的目的端口。
·在美國FBI網站上有一個檢測和根除trinoo的自動程序。
“TribalFloodNetwork”和“TFN2K”,如何抵禦
TribeFloodNetwork與trinoo一樣,使用一個master程序與位于多個網絡上的攻擊代理進行通訊。TFN可以并行發動數不勝數的DoS攻擊,類型多種多樣,而且還可建立帶有僞裝源IP地址的信息包。可以由TFN發動的攻擊包括:UDP沖擊、TCPSYN沖擊、ICMP回音請求沖擊以及ICMP廣播。
以下是TFNDDoS攻擊的基本特性以及建議的抵禦策略:
1、發動TFN時,攻擊者要訪問master程序并向它發送一個或多個目标IP地址,然後Master程序繼續與所有代理程序通訊,指示它們發動攻擊。
TFNMaster程序與代理程序之間的通訊使用ICMP回音應答信息包,實際要執行的指示以二進制形式包含在16位ID域中。ICMP(Internet控制信息協議)使信息包協議過濾成為可能。通過配置路由器或入侵檢測系統,不允許所有的ICMP回音或回音應答信息包進入網絡,就可以達到挫敗TFN代理的目的。但是這樣會影響所有使用這些功能的Internet程序,比如ping。
TFNMaster程序讀取一個IP地址列表,其中包含代理程序的位置。這個列表可能使用如“Blowfish”的加密程序進行了加密。如果沒有加密的話,就可以從這個列表方便地識别出代理信息。
2、用于發現系統上TFN代理程序的程序是td,發現系統上master程序的程序是tfn。TFN代理并不查看ICMP回音應答信息包來自哪裡,因此使用僞裝ICMP信息包沖刷掉這些過程是可能的。
TFN2K是TFN的一個更高級的版本,它“修複”了TFN的某些缺點:
1、在TFN2K下,Master與代理之間的通訊可以使用許多協議,例如TCP、UDP或ICMP,這使得協議過濾不可能實現。
2、TFN2K能夠發送破壞信息包,從而導緻系統癱瘓或不穩定。
3、TFN2K僞造IP源地址,讓信息包看起來好像是從LAN上的一個臨近機器來的,這樣就可以挫敗出口過濾和入口過濾。
4、由于TFN2K是被識破的,因此還沒有一項研究能夠發現它的明顯弱點。
在人們能夠對TFN2K進行更完全的分析之前,最好的抵禦方法是:
·加固系統和網絡,以防系統被當做DDoS主機。
·在邊界路由器上設置出口過濾,這樣做的原因是或許不是所有的TFN2K源地址都用内部網絡地址進行僞裝。
·請求上遊供應商配置入口過濾。
“stacheldraht”,如何防範
Stacheldraht也是基于TFN和trinoo一樣的客戶機/服務器模式,其中Master程序與潛在的成千個代理程序進行通訊。在發動攻擊時,侵入者與master程序進行連接。Stacheldraht增加了以下新功能:攻擊者與master程序之間的通訊是加密的,以及使用rcp(remotecopy,遠程複制)技術對代理程序進行更新。
Stacheldraht同TFN一樣,可以并行發動數不勝數的DoS攻擊,類型多種多樣,而且還可建立帶有僞裝源IP地址的信息包。Stacheldraht所發動的攻擊包括UDP沖擊、TCPSYN沖擊、ICMP回音應答沖擊以及ICMP播放。
以下是StacheldrahtDDoS攻擊的基本特征以及建議采取的防禦措施:
1、在發動Stacheldraht攻擊時,攻擊者訪問master程序,向它發送一個或多個攻擊目标的IP地址。Master程序再繼續與所有代理程序進行通訊,指示它們發動攻擊。
Stacheldrahtmaster程序與代理程序之間的通訊主要是由ICMP回音和回音應答信息包來完成的。配置路由器或入侵檢測系統,不允許一切ICMP回音和回音應答信息包進入網絡,這樣可以挫敗Stacheldraht代理。但是這樣會影響所有要使用這些功能的Internet程序,例如ping。
2、代理程序要讀取一個包含有效master程序的IP地址列表。這個地址列表使用了Blowfish加密程序進行加密。代理會試圖與列表上所有的master程序進行聯系。如果聯系成功,代理程序就會進行一個測試,以确定它被安裝到的系統是否會允許它改變"僞造"信息包的源地址。通過配置入侵檢測系統或使用嗅探器來搜尋它們的簽名信息,可以探測出這兩個行為。
代理會向每個master發送一個ICMP回音應答信息包,其中有一個ID域包含值666,一個數據域包含字符串“skillz”。如果master收到了這個信息包,它會以一個包含值667的ID域和一個包含字符串“ficken”的數據域來應答。代理和master通過交換這些信息包來實現周期性的基本接觸。通過對這些信息包的監控,可以探測出Stacheldraht。
一旦代理找到了一個有效master程序,它會向master發送一個ICMP信息包,其中有一個僞造的源地址,這是在執行一個僞造測試。這個假地址是“3.3.3.3”。如果master收到了這個僞造地址,在它的應答中,用ICMP信息包數據域中的“spoofworks”字符串來确認僞造的源地址是奏效的。通過監控這些值,也可以将Stacheldraht檢測出來。
3、Stacheldraht代理并不檢查ICMP回音應答信息包來自哪裡,因此就有可能僞造ICMP信息包将其排除。
4、Stacheldraht代理程序與TFN和trinoo一樣,都可以用一個C程序來探測。
防範
DoS攻擊幾乎是從互聯網絡的誕生以來,就伴随着互聯網絡的發展而一直存在也不斷發展和升級。值得一提的是,要找DoS的工具一點不難,黑客群居的網絡社區都有共享黑客軟件的傳統,并會在一起交流攻擊的心得經驗,你可以很輕松的從Internet上獲得這些工具,像以上提到的這些DoS攻擊軟件都是可以從網上随意找到的公開軟件。所以任何一個上網者都可能構成網絡安全的潛在威脅。DoS攻擊給飛速發展的互聯網絡安全帶來重大的威脅。
要避免系統免受DoS攻擊,從前兩點來看,網絡管理員要積極謹慎地維護系統,确保無安全隐患和漏洞;而針對第三點的惡意攻擊方式則需要安裝防火牆等安全設備過濾DoS攻擊,同時強烈建議網絡管理員應當定期查看安全設備的日志,及時發現對系統的安全威脅行為。
Internet支持工具就是其中的主要解決方案之一,包括SuperStack3Firewall、WebCache以及ServerLoadBalancer。不但作為安全網關設備的3ComSuperStack3防火牆在缺省預配置下可探測和防止“拒絕服務”(DoS)以及“分布式拒絕服務”(DDoS)等黑客侵襲,強有力的保護您的網絡,使您免遭未經授權訪問和其他來自Internet的外部威脅和侵襲;而且3ComSuperStack3ServerLoadBalancer在為多服務器提供硬件線速的4-7層負載均衡的同時,還能保護所有服務器免受“拒絕服務”(DoS)攻擊;同樣3ComSuperStack3WebCache在為企業提供高效的本地緩存的同時,也能保證自身免受“拒絕服務”(DoS)攻擊。
常見攻擊與防範
SYNFlood攻擊
問題就出在TCP連接的三次握手中,假設一個用戶向服務器發送了SYN報文後突然死機或掉線,那麼服務器在發出SYN+ACK應答報文後是無法收到客戶端的ACK報文的(第三次握手無法完成),這種情況下服務器端一般會重試(再次發送SYN+ACK給客戶端)并等待一段時間後丢棄這個未完成的連接,這段時間的長度我們稱為SYN Timeout,一般來說這個時間是分鐘的數量級(大約為30秒-2分鐘);一個用戶出現異常導緻服務器的一個線程等待1分鐘并不是什麼很大的問題,但如果有一個惡意的攻擊者大量模拟這種情況,服務器端将為了維護一個非常大的半連接列表而消耗非常多的資源----數以萬計的半連接,即使是簡單的保存并遍曆也會消耗非常多的CPU時間和内存,何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上如果服務器的TCP/IP棧不夠強大,最後的結果往往是堆棧溢出崩潰---即使服務器端的系統足夠強大,服務器端也将忙于處理攻擊者僞造的TCP連接請求而無暇理睬客戶的正常請求(畢竟客戶端的正常請求比率非常之小),此時從正常客戶的角度看來,服務器失去響應,這種情況我們稱作:服務器端受到了SYN Flood攻擊(SYN洪水攻擊)。
第一種是縮短SYN Timeout時間
第二種方法是設置SYN Cookie,就是給每一個請求連接的IP地址分配一個Cookie,如果短時間内連續受到某個IP的重複SYN報文,就認定是受到了攻擊,以後從這個IP地址來的包會被一概丢棄。
>netstat-n-p tcp >result.txt
Smurf攻擊
發送僞裝的ICMP數據包,目的地址設為某個網絡的廣播地址,源地址設為要攻擊的目的主機,使所有收到此ICMP數據包的主機都将對目的主機發出一個回應,使被攻擊主機在某一段時間内收到成千上萬的數據包
在cisco路由器上配置如下可以防止将包傳遞到廣播地址上:
Router(config-if)# no ip directed-broadcast
PingofDeath
"ping of death"攻擊就是我們常說的"死亡Ping"
這種攻擊通過發送大于65536字節的ICMP包使操作系統崩潰;通常不可能發送大于65536個字節的ICMP包,但可以把報文分割成片段,然後在目标主機上重組;最終會導緻被攻擊目标緩沖區溢出,引起拒絕服務攻擊。有些時候導緻telne和http服務停止,有些時候路由器重啟。
淚滴攻擊
對于一些大的IP數據包,往往需要對其進行拆分傳送,這是為了迎合鍊路層的MTU(最大傳輸單元)的要求。比如,一個6000字節的IP包,在MTU為2000的鍊路上傳輸的時候,就需要分成3個IP包。在IP報頭中有一個偏移字段和一個拆分标志(MF)。如果MF标志設置為1,則表示這個IP包是一個大IP包的片段,其中偏移字段指出了這個片段在整個IP包中的位置。例如,對一個6000字節的IP包進行拆分(MTU為2000),則3個片段中偏移字段的值依次為0,2000,4000。這樣接收端在全部接收完IP數據包後,就可以根據這些信息重新組裝這幾個分次接收的拆分IP包。在這裡就有一個安全漏洞可以利用了,就是如果黑客們在截取IP數據包後,把偏移字段設置成不正确的值,這樣接收端在收到這些分拆的數據包後,就不能按數據包中的偏移字段值正确組合這些拆分的數據包,但接收端會不斷嘗試,這樣就可能緻使目标計算機操作系統因資源耗盡而崩潰。
DRDOS
攻擊時,攻擊者巧妙的利用了反彈服務器群來将洪水數據包反彈給目标主機反彈服務是指某些服務器在收到一個請求數據報後就會産生一個回應數據報。所有的Web服務器、DNS服務器及路由器都是反彈服務器,他們會對SYN報文或其他TCP報文回應SYNACKs或RST報文,以及對一些IP報文回應ICMP數據報超時或目的地不可達消息的數據報。任何用于普通目的TCP連接許可的網絡服務器都可以用做數據包反射服務器
配置路由器、防火牆和入侵檢測系統來抵禦常見DDoS攻擊
Smurf
·确定你是否成為了攻擊平台:對不是來自于你的内部網絡的信息包進行監控;監控大容量的回音請求和回音應答信息包。
·避免被當做一個攻擊平台:在所有路由器上禁止IP廣播功能;将不是來自于内部網絡的信息包過濾掉。
·減輕攻擊的危害:在邊界路由器對回音應答信息包進行過濾,并丢棄;對于Cisco路由器,使用CAR來規定回音應答信息包可以使用的帶寬最大值。
trinoo
·确定你是否成為攻擊平台:在master程序和代理程序之間的通訊都是使用UDP協議,因此對使用UDP協議(類别17)進行過濾;攻擊者用TCP端口27655與master程序連接,因此對使用TCP(類别6)端口27655連接的流進行過濾;master與代理之間的通訊必須要包含字符串“l44”,并被引導到代理的UDP端口27444,因此對與UDP端口27444連接且包含字符串l44的數據流進行過濾。
·避免被用作攻擊平台:将不是來自于你的内部網絡的信息包過濾掉。
·減輕攻擊的危害:從理論上說,可以對有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列進行過濾,并丢棄它們。
TFN
·确定你是否成為攻擊平台:對不是來自于内部網絡的信息包進行監控。
·避免被用作攻擊平台:不允許一切到你的網絡上的ICMP回音和回音應答信息包,當然這會影響所有要使用這些功能的Internet程序;将不是來源于内部網絡的信息包過濾掉。
Stacheldraht
·确定你是否成為攻擊平台:對ID域中包含值666、數據域中包含字符串“skillz”或ID域中包含值667、數據域中包含字符串“ficken”的ICMP回音應答信息包進行過濾;對源地址為“3.3.3.3”的ICMP信息包和ICMP信息包數據域中包含字符串“spoofworks”的數據流進行過濾。
·手工防護
一般而言手工方式防護DDOS主要通過兩種形式:
系統優化――主要通過優化被攻擊系統的核心參數,提高系統本身對DDoS攻擊的響應能力。但是這種做法隻能針對小規模的DDOS進行防護。
網絡追查――遭受DDoS攻擊的系統的管理人員一般第一反應是詢問上一級網絡運營商,這有可能是ISP、IDC等,目的就是為了弄清楚攻擊源頭。
退讓策略
為了抵抗DDOS攻擊,DengKelen客戶可能會通過購買硬件的方式來提高系統抗DDOS的能力。但是這種退讓策略的效果并不好,一方面由于這種方式的性價比過低,另一方面,黑客提高供給流量之後,這種方法往往失效,所以不能從根本意義上防護DDoS攻擊。
防火牆
防火牆幾乎是最常用的安全産品,但是防火牆設計原理中并沒有考慮針對DDOS攻擊的防護,在某些情況下,防火牆甚至成為DDOS攻擊的目标而導緻整個網絡的拒絕服務。
首先是防火牆缺乏DDOS攻擊檢測的能力。通常,防火牆作為三層包轉發設備部署在網絡中,一方面在保護内部網絡的同時,它也為内部需要提供外部Internet服務的設備提供了通路,如果DDOS攻擊采用了這些服務器允許的合法協議對内部系統進行攻擊,防火牆對此就無能為力,無法精确的從背景流量中區分出攻擊流量。雖然有些防火牆内置了某些模塊能夠對攻擊進行檢測,但是這些檢測機制一般都是基于特征規則,DDOS攻擊者隻要對攻擊數據包稍加變化,防火牆就無法應對,對DDOS攻擊的檢測必須依賴于行為模式的算法。
第二個原因就是傳統防火牆計算能力的限制,傳統的防火牆是以高強度的檢查為代價,檢查的強度越高,計算的代價越大。而DDOS攻擊中的海量流量會造成防火牆性能急劇下降,不能有效地完成包轉發的任務。最好防火牆的部署位置也影響了其防護DDOS攻擊的能力。傳統防火牆一般都是部署在網絡入口位置,雖然某種意義上保護了網絡内部的所有資源,但是其往往也成為DDOS攻擊的目标,攻擊者一旦發起DDOS攻擊,往往造成網絡性能的整體下降,導緻用戶正常請求被拒絕。
