詳解DDoS攻擊技術的方法 續
TCP/IP協議中的漏洞
DDoS攻擊模式中比較古老而有效的是同步攻擊。同步的工作是用來在兩個互聯網應用之通過協議建立握手。它的實現方法是通過一個應用程序發送一個TCP SYN(同步)數據包到另一個程序來啟動會話過程。對應的應用程序將返回一個TCP SYN-ACK(同步確認)包;原始程序接下來就利用個ACK(確認)響應。一旦程序間建立了會話過程,就可以實現協同工作了。
同步攻擊的方式是發送大量TCP SYN數據包。每個SYN數據包都會迫使目標服務器產生一個SYN-ACK響應,并等待合適的應答。這樣很快就導致在SYN-ACK的背后都積壓一堆其他注冊的隊列。當積壓隊列爆滿,系統就將停止確認收到SYN請求。
如果同步攻擊發送的同步數據包中包含了錯誤的網絡源IP地址的話,攻擊的效果就會更好。在這種情況下,由于SYN-ACK發送出去后,ACK不再返回。通常情況下,迅速滿溢的積壓隊列就會將合法程序發送的SYN請求結束。
內地攻擊就是采用欺騙同步數據包模式攻擊的新變種,它可以將網絡地址偽裝成為來自網絡內部的情況。現在,同步攻擊針對的似乎主要是防火墻,給管理者制造麻煩。
同樣,大部分最新的操作系統和防火墻都可以防御同步攻擊。這里有一種簡單的方法,可以對防火墻進行設置,以防止所有包含已知錯誤源網絡IP地址的傳入數據包。該列表中包含了下列僅在內部使用的保留網絡IP地址:10.0.0.0到10.255.255.255,127.0.0.0到127.255.255.255,172.16.0.0到172.31.255.255以及192.168.0.0到192.168.255.255。
但是,如果可以方便地直接摧毀系統,還為什么要擔心偷偷摸摸躲在窗后的敵人呢?地址欺騙攻擊以及利用用戶數據報協議(UDP)過度使用的洪水攻擊就屬于這樣的情況。
在地址欺騙攻擊中,攻擊者會向路由器發送過量的網際消息控制協議(ICMP) 回送請求數據包,這是一種特殊的ping包。每個數據包的目的網絡IP地址也是網絡中的廣播地址,這會導致路由器將ICMP數據包廣播給網絡中的所有主機。不用說,在一張大型網絡中,這將迅速導致出現大量數據傳輸堵塞的情況。此外,類似內地攻擊,如果黑客將兩種模式結合到一起的話,事情就會變得更糟。
防范地址欺騙攻擊的最簡單方法就是關閉路由器或者交換機的地址廣播功能,或者在防火墻中進行設置拒絕ICMP回送請求數據包。管理員還可以對服務器進行設置,這樣的話,在遇到發送給廣播網絡IP地址的ICMP數據包時,就不會進行響應。由于很少有應用需要網絡IP地址廣播功能,所以這些調整不會對網絡的正常運行帶來影響。
對于采用UDP洪水模式的DDoS攻擊來說,就不是那么容易處理了。原因很簡單,類似域名系統(DNS)和簡單網絡管理協議(SNMP),很多應用都需要UDP協議的支持。在UDP洪水攻擊中,攻擊者通過欺騙手段連接到系統的UDP 字符發生器服務上,在接受到數據包后,字符發生器將會針對另一臺系統發送回送服務包。結果就是,系統之間來自字符發生器的半隨機字符泛濫,導致帶寬迅速被充滿,常規應用的使用受到了影響。
防范UDP攻擊的一種方法是禁用或者過濾所有針對主機的UDP服務請求。只要容許被服務型的UDP請求,需要使用UDP或作為備份數據傳輸協議的普通應用,將可以繼續正常工作。
暴力攻擊
看起來,有這些多種方法都可以用來阻止DDoS攻擊,因此,有人可能會認為這不會比垃圾郵件更難處理。但可惜的是,這種想法是完全錯誤的。在任何心存不滿的人都可以糾集從數百到數萬臺計算機對網站進行DDoS攻擊的時間,防范工作將會是非常困難的。他們所要做的工作僅僅是從網絡上對可能存在的信息進行了解,就可以迅速進行所需要的攻擊。
類似Conficker的惡意軟件將數以十萬計的Windows系統變成了潛在攻擊者可以使用的武器。由此導致的直接攻擊浪潮不會被寥寥無幾的防御措施所阻擋。防御者所能依靠的只有服務器,這也是為什么維基解密試圖選擇亞馬遜網絡服務或者大量增加網絡托管主機的資源才能防止洪水攻擊的原因。
我擔心,實際上,并且確信,在未來會看到更多這種類型的DDoS攻擊。隨著互聯網范圍的進一步擴大,越來越多的使用者通過寬帶接入,為攻擊者提供了更多未受保護的Windows系統來進行控制。更糟的是,在類似低軌道離子加農炮之類工具的幫助下,只要獲得一些志同道合朋友的幫助,任何中型網站都可以被摧毀。
請不要忘記,使用這些工具的話,可能會被跟蹤,并可能會面臨刑事指控。最近,一名大學生就因為利用DDoS攻擊工具攻擊保守派的網站被判入獄30個月。
DDoS攻擊,一定會變得越來越普遍。非常嚴重的威脅已經籠罩在了攻擊者的頭上,但我們似乎并沒有看到絲毫停止的跡象。朋友們,我們生活在一個并不那么美好的網絡時代。希望大家多多掌握有關DDoS攻擊的知識。
【編輯推薦】
