DDoS攻击原理及防护研究
随着网络时代的到来,网络安全变得越来越重要。在互联网安全领域,DDoS(Distributed denial of Service,分布式拒绝服务)攻击技术以其隐蔽性和高效性成为网络攻击者最常用的攻击方式,严重威胁着互联网的安全。
一、DDoS攻击的工作原理
1.1分布式拒绝服务的定义
DDos的前身DoS (DenialofService)攻击,意为拒绝服务攻击。这种攻击使网站服务器充斥大量需要回复的信息,消耗网络带宽或系统资源,导致网络或系统过载,停止提供正常的网络服务。而DDoS分布式拒绝服务则主要利用互联网上现有机器和系统的漏洞,捕获大量联网主机,使其成为攻击者的代理。当受控机器的数量达到一定程度时,攻击者发送命令操纵这些攻击平面,对目标主机或网络发起DoS攻击,消耗大量的网络带宽和系统资源,导致网络或系统瘫痪或停止提供正常的网络服务。由于DDos的分布式特性,它具有远比Dos更强大的攻击能力和破坏性。
1.2 DDOS攻击原理
一个相对完整的DDos攻击系统分为四个部分,分别是攻击者(也称主人)、控制傀儡(处理者)、攻击傀儡(恶魔,也称代理)和受害者(受害者)。第二和第三部分分别用于控制和实际发动攻击。第二部分,控制机只发布命令,不参与实际攻击。第三部分,DDoS的实际攻击包是从攻击傀儡机发出的。攻击者对第二部分和第三部分中的计算机拥有控制权或部分控制权,并将相应的DDoS程序上传到这些平台。这些程序像正常程序一样运行,并等待攻击者的指令。通常,它会使用各种手段来隐藏自己。在平时,这些傀儡机并没有什么异常,但是一旦攻击者连接到它们进行控制并发出指令,攻击的傀儡机就变成了攻击者发动攻击。
DDoS攻击原理及防护研究
采用这种结构的一个重要目的是隔离网络连接,保护攻击者在攻击过程中不被监控系统跟踪。同时可以更好的协调攻击,因为攻击执行者太多,同时一个系统发出命令会造成控制系统的网络拥塞,影响攻击的突然性和协调性。而且流量的突然增加很容易暴露攻击者的位置和意图。整个过程可以分为:
1)扫描大量主机,寻找可以入侵主机的目标;
2)具有安全漏洞和增益控制的主机;
3)在入侵主机中安装攻击程序;
4)用入侵的主机继续扫描入侵。
当受控攻击代理的数量达到攻击者满意时,攻击者可以通过攻击主控机器随时发出攻击指令。因为攻击主控制器的位置非常灵活,发出命令的时间很短,所以定位起来非常隐蔽。攻击命令一旦传到攻击控制机,主控机就可以关机或离开网络以避免跟踪,攻击控制机会将命令下发到各个攻击代理机。收到攻击命令后,攻击代理开始向目标主机发送大量服务请求包。这些数据包经过伪装,使得攻击者无法识别其来源,这些数据包请求的服务往往会消耗大量的系统资源,如CP或网络带宽。如果数百甚至数千个攻击代理同时攻击一个目标,目标主机的网络和系统资源就会被耗尽,服务也会停止。有时,它甚至会导致系统崩溃。
此外,这会阻塞目标网络的防火墙和路由器等网络设备,进一步加剧网络拥塞。因此,目标主机根本无法为用户提供任何服务。攻击者使用的协议是一些非常常见的协议和服务。这样,系统管理员很难区分恶意请求和主动连接请求,从而无法有效地分离攻击包。
二、DDoS攻击识别
DDoS(分布式拒绝服务)攻击(Distributed Denial of Service,分布式拒绝服务)攻击,其主要目的是使指定目标在没有通知的情况下提供正常服务,甚至从互联网上消失,是目前最强大、最难的攻击手段之一。
2.1 DDoS表现
DDoS主要有两种形式,一种是流量攻击,主要针对网络带宽,即大量的攻击包导致网络带宽被阻塞,合法的网络包因为被虚假的攻击包充斥而无法到达主机;另一种是资源耗尽攻击,主要是针对服务器主机的政治攻击,即大量攻击包导致主机内存耗尽或CPU核心和应用程序被占用,导致无法提供网络服务。
2.2攻击识别
流量攻击识别主要包括以下两种方法:
1) Ping测试:如果发现Ping超时或丢包严重,可能会被攻击;如果发现同一台交换机上的服务器无法访问,基本可以确定为流量攻击。测试的前提是受害主机与服务器之间的ICMP协议没有被路由器、防火墙等设备屏蔽;
2) Telnet测试:其明显特点是远程终端连接服务器失败,容易判断相对流量攻击和资源耗尽攻击。如果网站访问突然非常慢或者无法访问,但是可以pinged通,很可能是被攻击了。如果用Netstat-na命令在服务器上观察到大量的SYNRECEIVED、TIMEWAIT、FIN WAIT1等状态,但是很少有EASTBLISHED的情况,可以判断为资源耗尽攻击,表现为受害主机无法Ping通或者丢包严重,但是Ping通同一台交换机上的服务器是正常的。原因是系统内核或应用CPU利用率达到100%无法响应ping命令,但是因为还有带宽,可以Ping通同一台交换机上的主机。
第三,DDoS攻击模式
DDoS攻击有很多,种类也很多。就他们的攻击手段而言,最流行的DDoS攻击有三种。
3.1 SYN/ACK泛洪攻击
这种攻击方式是一种经典有效的DDoS攻击方式,可以杀死各种系统网络服务。它主要是向受害主机发送大量伪造源P和源端口的SYN或ACK包,导致主机缓存资源耗尽或忙于发送响应包,造成拒绝服务。很难追踪,因为源头都被破坏了。缺点是实现起来比较困难,需要高带宽僵尸主机的支持。少量此类攻击会导致主机服务器无法访问,但可以Pinged通。在服务器上使用Netstat-na命令时,会观察到大量的SYN接收状态,大量这样的攻击会导致ping失败,TCP/IP栈失败,系统会死机,也就是对键盘鼠标没有反应。大多数普通防火墙都无法抵御这种攻击。
攻击过程如图2所示。正常的TCP连接是三次握手。系统B向系统A发送SYN/ACK包后,停止在SYN RECV状态,等待系统A返回ACK包。此时,系统B已经分配了用于准备建立连接的资源。如果攻击者系统A使用假的源IP,系统B将一直处于半连接等待状态,直到超时,连接将从连接队列中被清除;由于定时器的设置和满连接队列,系统A只要持续高速向系统B发送伪造源IP的连接请求,就可以在短时间内成功攻击系统B,而系统B则无法再响应其他正常的连接请求。
DDoS攻击原理及防护研究
图2 SYN泛洪攻击过程
3.2 TCP全连接攻击
这种攻击旨在绕过传统防火墙的检查。一般来说,大多数常规防火墙都具有过滤诸如TearDrop和Land之类的DOS攻击的能力,但是它们会放过正常的TCP连接。鲜为人知的是,很多网络服务程序(如IIS、Apache等Web服务器)可以接受的TCP连接数是有限的。一旦出现大量TCP连接,即使正常,也会导致网站访问非常缓慢甚至无法访问。TCP全连接攻击是指许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源耗尽而被拖跨,从而导致拒绝服务。这种攻击的特点是绕过一般防火墙的保护,达到攻击目的。缺点是需要找到很多僵尸主机,而且由于僵尸主机的IP是暴露的,这样的DDOs攻击者很容易追踪到。
3.3 TCP刷脚本攻击
这种攻击主要针对存在ASP、JSP、PHP、CGI等脚本并调用MSSQL Server、My SQL Server、Oracle等数据库的网站系统。它的特点是与服务器建立正常的TCP连接,不断向脚本提交查询、列表等消耗数据库资源的调用。典型的攻击方式是小而广。一般来说,向客户端提交GET或POST指令的成本和带宽几乎可以忽略不计,但服务器可能要从数万条记录中找出一条记录才能处理这个请求。这个过程消耗大量资源,普通数据库服务器很少支持上百条查询指令同时执行,这对客户端来说很容易。因此,攻击者只需要通过代理向主机服务器提交大量查询指令,只需要几分钟就可以消耗服务器资源,造成拒绝服务。常见的现象有网站慢如蜗牛,ASP程序失败,PHP连接数据库失败,数据库主程序占用CPU高。这种攻击的特点是可以完全绕过常见的防火墙保护,很容易找到一些Poxy代理来实施攻击。缺点是对付静态页面的网站效果会大打折扣,有些代理会暴露DDOS攻击者的IP地址。
第四,DDoS防护策略
DDoS防护是一个系统工程。依靠某个系统或产品来预防DDoS是不现实的。可以肯定的是,目前完全消除DDoS是不可能的,但是通过采取适当的措施来抵御大部分DDoS攻击是可能的。由于攻击和防御都是有成本的,如果通过采取适当的措施来增强抵御DDoS的能力,就意味着增加了攻击者的攻击成本,那么大多数攻击者就不会继续,放弃,这就相当于成功抵御了DDoS攻击。
4.1采用高性能网络设备。
要抵御DDoS攻击,首先要保证网络设备不能成为瓶颈。所以在选择路由器、交换机、硬件防火墙等设备时,尽量选择知名度高、口碑好的产品。如果与网络提供商有特殊关系或协议,那就更好了。当大量攻击发生时,要求他们限制网络连接处的流量来对抗某种DDoS攻击是非常有效的。
4.2尽量避免使用NAT
无论是路由器还是硬件防护墙设备都要尽量避免使用NAT,除非必须使用NAT,因为采用这种技术会大大降低网络通信能力。原因很简单,因为NAT需要来回转换地址,转换过程中需要计算网络包的校验和,浪费了大量的CPU时间。
4.3足够的网络带宽保证
网络带宽直接决定了抵御攻击的能力。如果只有10M带宽,无论采取什么措施,都难以对抗目前的SYNFlood攻击。目前至少要选择100M的共享带宽,1000M的带宽会更好。但是需要注意的是,主机上的网卡是1000M并不代表它的网络带宽是千兆的。如果连接的是100M的交换机,它的实际带宽不会超过100M,而且即使连接了100M的带宽,也不代表它有100兆的带宽,因为网络服务商很可能在交换机上把实际带宽限制在10M。
4.4升级主机服务器硬件
在保证网络带宽的前提下,尽量提高硬件配置。要有效对抗每秒100,000个SYN攻击包,服务器的配置至少应该是P42.4G/DDR512M/SCSI-HD。CPU和内存起着关键作用。内存一定要选择DDR高速内存,尽量选择SCSI硬盘。否则将保证硬件的高性能和稳定性,或者付出高性能的代价。
4.5把网站做成静态页面。
大量事实证明,把网站做得尽可能的静态页面,不仅可以大大提高抵御攻击的能力,也会给黑客带来很多麻烦。到目前为止,还没有出现HTML的溢出。新浪、搜狐、网易等门户网站主要是静态页面。
另外,在需要调用数据库的脚本中最好拒绝代理访问,因为经验表明,80%的代理访问我们的网站都是恶意的。
动词(verb的缩写)摘要
DDoS攻击在不断发展,变得越来越强大、越来越隐秘、越来越有针对性、越来越复杂,已经成为互联网安全的主要威胁。同时,随着系统的升级,新的系统漏洞不断出现,DDoS攻击技能的提升也加大了保护DDoS的难度。有效应对这种攻击是一个系统工程,不仅需要技术人员探索防护手段,还需要网络用户具备防范网络攻击的基本意识和手段。只能用技术手段。
无忧云推出DDOS高防护IP解决方案
无忧云推出DDOS高保护IP,100T超大保护带宽,1800G超大流量保护,价格低至1000元/月。为您提供超级DDOS攻击防御保障。DDoS防IP服务是面向游戏、金融、电商、网站等用户的付费增值服务。,遭受高流量DDoS攻击,服务不可用。用户可以配置高防IP(无需备案),将攻击流量引流到高防IP,保证源站的稳定可靠。
0 留言