・网络与电子商务/政务・ 农业网络信息 AGRICE .Ⅱ E NETWORK Di阳RM 『0lⅣ 2013年第5期 分布式拒绝服务攻击(DDoS)原理及防范 姜菊媛 (淮阴工学院人文学院,江苏淮安223003) 摘要:分布式拒绝服务攻击(DDoS)是目前黑客经常采用而难以防范的攻击手段。本研究从概念开始详细介绍了这种 攻击方式,着重描述了黑客是如何组织并发起的DDoS攻击,结合其中的Syn Flood实例,可以对DDoS攻击有更形象的 了解。作者结合自己的经验与国内网络安全的现况探讨了一些防御DDoS的实际手段。 关键词:DDoS攻击;傀儡机;Syn Flood原理 中图分类号:TP315 文献标识码:B 文章编码:1672—6251I 2013)05—0106—03 Principle and Prevention of Distributed Denial of Service(DDoS) JIANG Juyuan (School of Humanities,Huaiyin Insittute of Technology,Jiangsu Huaian 223oo3) Abstract:Distirbuted denial of service(DDoS)currendy used by the hackers is dificult to guard against.In this article its concept was in detail introduced,with focus on describing how the hacker organized and launched DDoS attacks,in combined wih tthe Syn Flood example,and a better understanding of DDoS attacks was achieved.Finally,combined with the author%own experience and the domestic network security status,some practical ways to defense DDoS were discussed. Key words:DDoS attack;puppet machine;Syn;Flood principle DDoS攻击手段是在传统的DoS攻击基础之上产 生的一类攻击方式。单一的DoS攻击一般是采用一对 一DDoS攻击创造了极为有利的条件。在低速网络时代 时,黑客占领攻击用的傀儡机时,总是会优先考虑离 目标网络距离近的机器。因为经过路由器的跳数少, 方式的,当攻击目标CPU速度低、内存小或者网络 带宽小等各项性能指标不高时效果是明显的。 效果好。而现在电信骨干节点之间的链接都是以G为 级别的,大城市之间更可以达到2.5G的链接,这使 得攻击可以从更远的地方或者其他城市发起。攻击者 的傀儡机位置可以分布在更大的范围,选择起来更灵 活。 1分布式拒绝服务攻击fDDoS1原理及防范 随着计算机与网络技术的发展,计算机的处理能 力迅速增长.内存大大增加,同时也出现了千兆级别 的网络,这使得DoS攻击的困难程度加大了。而目标 对恶意攻击包的“消化能力”加强了。例如攻击软件 每秒钟可以发送3,000个攻击包,而主机与网络带宽 每秒钟可以处理10,000个攻击包,这样一来攻击就不 会产生什么效果。 这时候分布式的拒绝服务攻击手段(DDoS)就应 1.1被DDoS攻击时的现象 ①被攻击主机上有大量等待的TCP链接;②网络 中充斥着大量的无用的数据包,源地址为假;③制造 高流量无用数据,造成网络拥塞,使受害主机无法正 常和外界通讯;④利用受害主机提供的服务或传输协 议上的缺陷,反复高速的发出特定的服务请求,使受 运而生。如果说计算机与网络的处理能力加大了10 倍,用一台攻击机来攻击不再能起作用。攻击者使用 10台或100台攻击机同时攻击。DDoS就是利用更多 的傀儡机来发起进攻的。 高速广泛链接的网络给大家带来了方便.也为 作者简介:姜菊媛(1977一),女,本科,研究方向:计算机应用。 收稿日期:2013—04—13 害主机无法及时处理所有正常请求;⑤严重时会造成 系统死机。 1.2 DDoS攻击原理及防范 一个比较完善的DDoS攻击体系分成四大部分. 一106— 《农业网络信息》2ol3年第5期 网络与电子商务/政务 最重要的是第二和第三部分:分别用做控制和实际发 起攻击。请注意控制机与攻击机的区别,对第四部分 重要的,这关系到使用多少台傀儡机才能达到效果的 问题。简单地考虑一下,在相同的条件下,攻击同一 站点的2台主机需要2台傀儡机的话.攻击5台主机 的受害者来说,DDoS的实际攻击包是从第三部分攻 击傀儡机上发出的,第二部分的控制机只发布命令而 不参与实际的攻击。对第二和第三部分计算机。黑客 有控制权或者是部分的控制权,并把相应的DDoS程 序上传到这些平台上,这些程序与正常的程序一样运 行并等待来自黑客的指令,通常还会利用各种手段隐 可能就需要5台以上的傀儡机。有人说做攻击的傀儡 机越多越好,不管你有多少台主机我都用尽量多的傀 儡机来攻就是了,反正傀儡机超过了时候效果更好。 但在实际过程中,有很多黑客并不进行情报的搜 集而直接进行DDoS的攻击,这时候攻击的盲目性就很 藏自己不被别人发现。在平时,这些傀儡机器并没有 什么异常,只是一旦黑客链接到它们进行控制,并发 出指令的时候,攻击傀儡机就成为害人者去发起攻击 了。 大了。其实做黑客也象网管员一样,是不能偷懒的。一 件事做得好与坏,态度最重要,水平还在其次。 1.2.2 占领傀儡机 黑客最感兴趣的是有下列情况的主机: (1)链路状态好的主机; (2)性能好的主机; 1.2.1 搜集了解目标的情况 下列情况是黑客非常关心的情报: (1)被攻击目标主机数目、地址情况; (2)目标主机的配置、性能; (3)目标的带宽; 对于DDoS攻击者来说.攻击互联网上的某个站 点,如http://www.mytarget.oom,有一个重点就是确定 到底有多少台主机在支持这个站点,一个大的网站可 (3)安全管理水平差的主机。 这一部分实际上是使用了另一大类的攻击手段: 利用形攻击。这是和DDoS并列的攻击方式。简单地 说,就是占领和控制被攻击的主机。取得最高的管理 权限.或者至少得到一个有权限完成DDoS攻击任务 的帐号。对于一个DDoS攻击者来说,准备好一定数 能有很多台主机利用负载均衡技术提供同一个网站的 www服务。以yahoo为例,一般会有下列地址都是提 供http://www.yahoo.com服务的: 66.218.71.87 66.218.71.88 66.218.71.89 66-218.71.80 66.218.71.81 66.218.71.83 66.218.71.84 66-218.71.86 量的傀儡机是一个必要的条件,下面说一下是如何攻 击并占领它们的。 首先,黑客做的工作一般是扫描,随机地或者是 有针对性地利用扫描器去发现互联网上那些有漏洞的 机器,象程序的溢出漏洞、cgi、Unicode、ftp、数据 库漏洞…(简直举不胜举啊),都是黑客希望看到的扫 描结果。随后就是尝试入侵了。 黑客占领了一台傀儡机除了要留作后门擦脚印这 些基本工作之外。还会把DDoS攻击用的程序上载过 去,一般是利用ftp。在攻击机上,会有一个DDoS的 发包程序.黑客就是利用它来向受害目标发送恶意攻 如果要进行DDoS攻击的话,应该攻击哪一个地 址呢?使66.218.71.87这台机器瘫掉,但其他的主机 还是能向外提供www服务.所以想让别人访问不到 http://www.yahoo.eom的话。要所有这些IP地址的机器 都瘫掉才行。在实际的应用中,一个IP地址往往还代 击包的。 1.2_3实际攻击 经过前两个阶段的精心准备之后,黑客就开始瞄 准目标准备发射了。前面的准备做得好的话,实际攻 击过程反而是比较简单的。就象图示里的那样,黑客 登录到做为控制台的傀儡机,向所有的攻击机发出命 表着数台机器:网站维护者使用了四层或七层交换机 来做负载均衡,把对一个IP地址的访问以特定的算法 分配到下属的每个主机上去。这时对于DDoS攻击者 令:”预备~,瞄准~,开火!”。这时候埋伏在攻击机 中的DDoS攻击程序就会响应控制台的命令,一起向 来说情况就更复杂了,他面对的任务可能是让几十台 主机的服务都不正常。 所以说事先搜集情报对DDoS攻击者来说是非常 受害主机以高速度发送大量的数据包,导致死机或是 无法响应正常的请求。黑客一般会以远远超出受害方 处理能力的速度进行攻击。 ・--——107---—— 《农业网络信息》2013年第5期 网络与电子商务/政务 老到的攻击者一边攻击,还会用各种手段来监视 攻击的效果,在需要的时候进行一些调整。简单些就 是开个窗口不断地ping目标主机.在能接到回应的时 户端的第一个TCP分段(ACK标志置位1。在第三步 中,客户端确认收到服务端的ISN(ACK标志置位)。 到此为止建立完整的TCP链接,开始全双工模式的数 据传输过程。 候就再加大一些流量或是再命令更多的傀儡机来加人 攻击。 (1)DDoS攻击实例一SYN Flood攻击。SYN—Flood 是目前最流行的DDoS攻击手段,早先的DoS的手段 在向分布式这一阶段发展的时候也经历了浪里淘沙的 过程。SYN—Flood的攻击效果最好,应该是众黑客不 约而同选择它的原因吧。那么我们一起来看看SYN— Flood的详细情况。 (2)Syn Flood原理一三次握手。Syn Flood利用了 2结论 一个用户出现异常导致服务器的一个线程等待1 分钟并不是什么很大的问题,但如果有一个恶意的攻 击者大量模拟这种情况.服务器端将为了维护一个非 常大的半链接列表而消耗非常多的资源一一数以万计 的半链接。即使是简单的保存并遍历也会消耗非常多 的CPU时间和内存,何况还要不断对这个列表中的 IP进行SYN+ACK的重试。实际上如果服务器的TCP/ TCP3P协议的固有漏洞。面向链接的TCP三次握手是 Syn Flood存在的基础。 在第一步中,客户端向服务端提出链接请求。这 时TCP SYN标志置位。客户端告诉服务端序列号区域 合法,需要检查。客户端在TCP报头的序列号区中插 入自己的ISN。服务端收到该TCP分段后,在第二步 IP栈不够强大,最后的结果往往是堆栈溢出崩溃—— 即使服务器端的系统足够强大。服务器端也将忙于处 理攻击者伪造的TCP链接请求而无暇理睬客户的正常 请求(毕竟客户端的正常请求比率非常之小),此时 从正常客户的角度来看,服务器失去响应,这种情况 我们称做:服务器端受到了SYN Flood攻击(SYN洪 水攻击)。 以自己的ISN回应(SYN标志置位),同时确认收到客 ---——108---——
