CGI拒絕服務攻擊技術淺析
拒絕服務攻擊即DoS是使對方服務器承受過多的信息請求而無法處理,產生阻塞導致正常用戶的請求被拒絕。從程序員的視角出發,就目前我們所處的網絡環境而言,要想用大量的報文使一個大網站因為I/O阻塞而停止服務是非常困難的,但是如果能找到對方服務器上一些可能會占用較多資源的程序并有遠程調用權限,那么通過批量調用使對方響應阻塞就并不困難。這種程序,從程序員的視角出發,就是對方網站可能存在的不良CGI程式。
下面是我的服務器上存在的一個真實例子:
search.cgi就是一個不良cgi程序(全文本內文檢索),是那臺服務器上其他網站站長搞來的第三方程序。
可以看到,僅僅存在三個并行調用,系統CPU資源就被占滿,正常的http請求產生阻塞!當然,正常情況下這個現象比較少見,但是如果對方有惡意,找到了這種cgi程序,然后在路由接近的網段上作一個socket連接的守護程序,多進程不間斷地循環發送偽請求,請求主機響應該cgi程序,并攜帶一個范圍很寬的檢索邊界條件(檢索條件越寬,處理響應消耗負載越大),這樣就會用很少的請求數使對方主機產生很大的負載,從而使對方拒絕正常請求。
此類攻擊所需要的攻擊源很少,很可能只要一個能夠高速直連的主攻擊源就能使對方服務器崩潰。對于用戶可以自己建立cgi程式的虛擬主機服務商而言,這種隱患防不勝防,所以這也是網絡安全中需要考慮的一個問題,如果寬帶網順利啟動,那么這種攻擊手段就可以大行其道,兩三臺家用電腦就可能把一個寬帶環境內的主機搞癱瘓。
所以用程序員的視角,從cgi程序的合理程度來分析,核心思想其實就是很小的請求使對方主機消耗很大的資源來響應,那樣帶寬和I/O就不是重要的影響因素了。
最近導致美國知名網站故障的原因實際上來自于一種最簡單的攻擊手段,就是虛假報文的超量投遞。關鍵程序非常簡單,自己做也就是一個小時的工作量,無非是創建多個socket連接進程,然后循環地把一些惡意請求的報文利用socket連接,通過80端口塞到對方的主機上,利用無限循環手段,使對方主機超負載而拒絕正常訪問,這也是拒絕服務攻擊法的關鍵所在。
這種報文超量報文投遞的拒絕服務攻擊法雖然說起來簡單,但是實現起來需要幾點注意事項:
第一是找到合適的突破口,也就是對方主機上的不良CGI程式。
一般的知名網站都有很強的主機,甚至多主機并行負載分布。如果僅僅是簡簡單單地發送報文很難令對方崩潰,所以需要作的就是找到對方主機上一些消耗系統資源較大的CGI程序。如果自己做過大規模負載的交互式網站,很容易找到其中的關鍵,通常一些復雜的搜索程序,特別是內文檢索程序是消耗系統資源較多的,這些程序就可以成為突破口。也就是使用虛擬報文,用一個最寬的條件來模擬請求檢索,這樣你只需要傳遞很少的數據,對方的服務器就會產生相當大的負荷,采用多進程并且循環調用,只要對方主機cgi程序處理報文的時間大于其接受到你循環發送報文的間隔時間,就很容易使對方的http請求阻塞并拒絕正常訪問。
第二是節省一切可以節省的步驟。
這種攻擊方式的關鍵是使對方造成阻塞,而阻塞的關鍵是本機攻擊循環的間隔小于對方處理的時間。減小循環間隔的重要一點是,僅僅發送攻擊必須發送的報文,然后不接受任何返回信息。也就是當攻擊程序把一個虛擬的請求報文發送后,不再理會該請求而進行下一個。不用停止這個socket連接,但是無須接受任何返回信息,那樣會耽誤攻擊程序的循環效率。這里的關鍵問題是對方的cgi程序還在處理攻擊程序發送的請求,所以尋找不良CGI是獲得最好效果的最關鍵因素。
第三是尋找理想的攻擊源。
這一點最難作到,如果用家用電腦和撥號實現攻擊,并不是不可以,除非同一時間找到100個志同道合者一起攻擊,否則由于網速,你的攻擊可能對對方毫無影響。這就需要“攻擊源”,也就是找到可以運行攻擊程序的、路由和攻擊目標接近的服務器作為攻擊源,最好找到多個攻擊源服務器,然后同時運行攻擊程序,才有可能看到效果。特別是針對大型商業網站,沒有一定數量的攻擊源是不可能用這種方式攻擊成功的。例如如果希望攻擊yahoo,這種方式就需要在美國寬帶網環境下找到1000臺左右的攻擊源服務器,同時運行攻擊程序,模擬循環進行一些最常用關鍵字的超量檢索,導致對方服務器處理阻塞。
需要提醒的一點是,攻擊源可能在攻擊過程中自身收到損害,我在宿舍局域網測試的時候,自己的攻擊源崩潰過若干次,提醒諸位小心。
根據新聞,美國最近的網站被黑大體上是這種攻擊手段的一種體現,但是難得的是對方能夠用很多攻擊源來進行。另外當寬帶網大幅推廣和使用的時候,這種攻擊手段將更容易實現,可能幾個會寫VC的家伙就可以在家里利用光纖將寬帶網內部的主機搞垮。
所以也不得不對網管提醒一點。消除不良CGI,并對惡意報文采用一些過濾手段,是非常需要重視的課題!
【編輯推薦】
