分布式拒绝服务攻击与防范⼿段
⼀、从DoS到DDoS
拒绝服务(Denial of Service,DoS)由来已久。⾃从有了Internet,就有了拒绝服务式攻击⽅法。由于过去没有⼤型⽹站或机构受到过这种攻击,其劣性并不突出。直到2000年初,Yahoo!、eBay及Amazon等遭其暗算,它才露出庐⼭真⾯⽬。
在典型的Internet连接中,⽤户访问⼀个⽹站时,客户端会先向⽹站服务器发送⼀条信息要求建⽴连接,只有当服务器确认该请求合法,并将访问许可返回给⽤户时,⽤户才可对该服务器进⾏访问。DoS攻击的⽅法是,恶意⽤户会向服务器发送多个连接请求,使其呈满负载状态,并且将所有请求的返回地址进⾏伪造。这样,在服务器企图将认证结构返回给⽤户时,它将⽆法到这些⽤户。此时,服务器只好等待,有时可能会等上1分钟才关闭此连接。可怕的是,在服务器关闭连接后,攻击者⼜会发送新的⼀批虚假请求,重复上⼀次过程,直到服务器因过载⽽拒绝提供服务。这些攻击事件并没有⼊侵⽹站,也没有篡改或是破坏资料,只是利⽤程序在瞬间产⽣⼤量的⽹络封包,让对⽅的⽹络及主机瘫痪,使正常使⽤者⽆法获得主机及时的服务。
然⽽,年初攻击Yahoo!的元凶还不是简单的DoS,虽然与DoS攻击⼀样,也是向被攻击⽬标连续发送⼤量伪造的IP包,以导致服务器不能为合法⽤户提供正常服务(⽐如此次给Yahoo!站点路由器发出的⽆效
请求⾼达1GB/s),但是它区别于DoS的“绝妙”之处在于: 动员了⼤量“⽆
辜”的计算机向⽬标共同发起进攻,采⽤了分布式拒绝服务(Distributed Denial of Service,DDoS)攻击⼿段。
DDoS把DoS⼜向前发展了⼀步,DDoS的⾏为更为⾃动化,它可以⽅便地协调从多台计算机上启动的进程,让⼀股DoS洪流冲击⽹络,并使⽹络因过载⽽崩溃。确切地讲,DDoS攻击是指在不同的⾼带宽主机上安装⼤量的DoS服务程序,它们等待来⾃中央客户端的命令,中央客户端随后通知全体受控服务程序,并批⽰它们对⼀个特定⽬标发送尽可能多的⽹络访问请求。作为攻击者,必须通过telnet连接到他想利⽤的每⼀台远程主机上,并以⽤户⾝份登录,然后⼿⼯输⼊命令,启动每⼀台主机向攻击⽬标发送海量信息流。
DDoS与DoS的最⼤区别是⼈多⼒量⼤。原来的DoS是⼀台机器攻击⽬标,现在的DDoS是很多台机器利⽤他们的⾼带宽攻击⽬标,更容易将⽬标⽹站攻掉。除此之外,DDoS攻击⽅式较为⾃动化,攻击者可以把他的程序安装到⽹络中的多台机器上,所采⽤的攻击⼯具致使被攻击对象难以察觉,只要攻击者发下攻击命令,这些机器便发起进攻。
⼆、DoS的攻击⽅法
对DoS⽽⾔,其攻击⽅式很多,主要使⽤的攻击有3种,分别是TCP-SYN flood、UDP flood和ICMP flood。
当⽤户进⾏⼀次标准的TCP连接时,会有⼀个3次握⼿过程。⾸先是请求服务⽅发送⼀个SYN消息,服务⽅收到SYN后,会向请求⽅回送⼀个SYN-ACK表⽰确认,当请求⽅收到SYN-ACK后,再次向服务⽅发送⼀个ACK消息,这样,⼀次TCP连接建⽴成功。但是TCP-SYN flood在实现过程中只进⾏前2个步骤:当服务⽅收到请求⽅的SYN-ACK确认消息后,请求⽅由于采⽤源地址欺骗等⼿段使得服务⽅收不到ACK回应,于是,服务⽅会在⼀定时间处于等待接收请求⽅ACK消息的状态。对于某台服务器来说,可⽤的TCP连接是有限的,如果恶意攻击⽅快速连续地发送此类连接请求,该服务器可⽤的TCP连接队列将很快被阻塞,系统可⽤资源急剧减少,⽹络可⽤带宽迅速缩⼩,长此下去,⽹络将⽆法向⽤户提供正常的服务。
由于UDP(⽤户数据包协议)在⽹络中的应⽤⽐较⼴泛,基于UDP攻击种类也较多。如今在Internet上提供WWW和Mail等服务设备通常是使⽤Unix的服务器,它们默认⼀些被恶意利⽤的UDP服务,如echo和chargen服务,它会显⽰接收到的每⼀个数据包,⽽原本作为测试功能的chargen服务会在收到每⼀个数据包时随机反馈⼀些字符,如果恶意攻击者将这2个UDP服务互指,则⽹络可⽤带宽将很快耗尽。
三、DDoS的攻击⽅法七夕美好的句子
⽬前,我们知道的对⽹络进⾏DDoS攻击所使⽤的⼯具有:Trinoo、Tribe Flood Network(TFN)、TFN2k和Stacheldraht等。它们的攻击思路基本相近。
1.Trinoo:它是基于UDP flood的攻击软件,它向被攻击⽬标主机的随机端⼝发出全零的4字节UDP包,在处理这些超出其处理能⼒垃圾数据包的过程中,被攻击主机的⽹络性能不断下降,直到不能提供正常服务,乃⾄崩溃。它对IP地址不做假,此攻击⽅法⽤得不多。wouldyoulike
2.TFN:它是利⽤ICMP给代理服务器下命令,其来源可以做假。它可以发动SYN flood、UDP flood、ICMP flood及Smurf(利⽤多台服务器发出海量数据包,实施DoS攻击)等攻击。TFN的升级版TFN2k的特点是:对命令数据包加密、更难查询命令内容、命令来源可以做假,还有⼀个后门控制代理服务器。
3.Stacheldraht:对命令来源做假,⽽且可以防范⼀些路由器⽤RFC2267过滤。若检查出有过滤现象,它将只做假IP地址最后8位,从⽽让⽤户⽆法了解到底是哪⼏个⽹段的哪台机器被攻击。此外,它还具有⾃动更新功能,可随软件的更新⽽⾃动更新。
值得⼀提的是,像Trinoo和TFN等攻击软件都是可以从⽹上随意到的公开软件,所以任何⼀个上⽹者都可能构成⽹络安全的潜在威胁。⾯对凶多吉少的DDoS险滩,我们该如何对付随时出现的⿊客攻击呢?杨宁先⽣说,那要看⽤户处于何种状态,是正⾝处被攻击的困围中,还是准备事先预防。
四、怎样对付正在进⾏的攻击
如果⽤户正在遭受攻击,他所能做的抵御⼯作⾮常有限。因为在原本没有准备好的情况下有⼤流量的灾难性攻击冲向⽤户,很可能⽤户在还没回过神之际,⽹络已经瘫痪。但是,⽤户还是可以抓住机会寻求⼀线希望的。
⾸先,检查攻击来源,通常⿊客会通过很多假的IP地址发起攻击,此时,⽤户若能够分辨出哪些是真IP地址,哪些是假IP地址,然后了解这些IP来⾃哪些⽹段,再⽹段管理员把机器关掉,即可消除攻击。
其次,出攻击者所经过的路由,把攻击屏蔽掉。⽐如⿊客发射SNP包,⽤户可把此包过滤掉。若⿊客从某些端⼝发动攻击,⽤户可把这些端⼝屏蔽掉,以狙击⼊侵。
天津大悦城品牌最后⼀种⽐较折衷的⽅法是在路由器上滤掉ICMP(Internet Control Message Protocol)和UDP。ICMP⽤于提交错误和改变控制信息,常⽤来判断⽹络的连通性。
五、如何事先预防攻击
满汉全席菜名其实,很多攻击⽅法并不新,存在时间也很长了(就像DoS),基本上⼈们对它们已经有所了解,只是当它被有恶意的⼈利⽤,破坏⽹络安全,⼈们才意识到问题的严重性。因此,⼈们应充分重视建⽴
完善的安全系统,防患于未然。在具体⼯作中,我们不妨从以下⼀些⽅⾯预防⿊客攻击。1.⽤⾜够的机器承受⿊客攻击。这是⼀种较为理想的应对策略。如果⽤户拥有⾜够的容量和⾜够的资源给⿊客攻击,在它不断访问⽤户、夺取⽤户资源之时,⾃⼰的能量也在逐渐耗失,或许未等⽤户被攻死,⿊客已⽆⼒⽀招⼉。
2.充分利⽤⽹络设备保护⽹络资源。所谓⽹络设备是指路由器、防⽕墙等负载均衡设备,它们可将⽹络有效地保护起来。当Yahoo!被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,⽽且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,⽽且重启服务器⼜是⼀个漫长的过程,相信没有路由器这道屏障,Yahoo!会受到⽆法估量的重创。
3.使⽤Inexpress、Express Forwarding过滤不必要的服务和端⼝,即在路由器上过滤假IP。⽐如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包 Source IP 和 Routing Table 做⽐较,并加以过滤。
4.使⽤Unicast Reverse Path Forwarding检查访问者的来源。它通过反向路由表查询的⽅法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多⿊客攻击常采⽤假IP地址⽅式迷惑⽤户,很难查出它来⾃何处,因此,利⽤Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提⾼⽹络安全性。
5.过滤所有RFC1918 IP地址。RFC1918 IP地址是内部⽹的IP地址,像10.0.0.0、192.168.0.0和172.16.0.0,它们不是某个⽹段的固定IP地址,⽽是Internet内部保留的区域性IP地址,应该把它们过滤掉。
6.限制SYN/ICMP流量。⽤户应在路由器上配置SYN/ICMP的最⼤流量来限制 SYN/ICMP 封包所能占有的最⾼频宽,这样,当出现⼤量的超过所限定的SYN/ICMP流量时,说明不是正常的⽹络访问,⽽是有⿊客⼊侵。
六、⼏点忠告
计算机专业自荐信DDoS给著名⽹站带来巨⼤灾难的同时,也给⼈们再次敲响了警钟,作为⽹络⽤户,特别是负责⽹络安全的管理员、决策者,应该怎样维护好⽹络安全呢?
1.⼀个企业必须有专⼈负责其⽹络安全,⾄少有⼀个⼈全权进⾏系统安全维护,他应该对企业⽹络中的所有机器进⾏检查,以减少漏洞。
2.作为专门负责⽹络安全的管理员,必须对攻击⽅法了如指掌,换句话说,他要了解⿊客是怎么⼯作的,只有这样,他才能保护好⾃⼰的机器。甚⾄负责⼈可在局域⽹中模仿⿊客,“⼊侵”⾃⼰的系统,以发现⽹络漏洞,及时补漏。
3.⽹络安全管理员应该尽职尽责,仔细认真。在已发⽣的⿊客攻击中,相当⼀部分事件是因为管理员⼯作疏忽造成的。
4.严格控制密码,提⾼密码保险性。在⽹络中,有些密码设置得较易被破获,因此应尽量减少知道密码的⼈数,分别给不同的⼈设定不同的使⽤权限。
5.选择⼀款优秀的防⿊安全产品。即配备监测⼯具,不断提⾼对系统的认识。⽆论是从⽹上下载公开源代码的监测⼯具,还是购买⽹络监测⼯具,都要实时监测别⼈是否在扫描⾃⼰的端⼝。若有⼈扫描端⼝,意味着有⼈可能要攻击此⽹络。十月一高速免费时间2020最新通知
转载于:www.bingdun/ddostech/601.htm
武汉⽹盾科技有限公司是国内领先的IDC综合服务提供商,专业提供互联⽹机柜⼤带宽、服务器租⽤托管、⽹络安全,⽹络防御,DS清洗等IDC 增值服务,⼰取得⼯信部颁发的增值电信业务经营许可证(IDC/ISP/CDN),为中国互联⽹信息中⼼会员单位,湖南省互联⽹协会会员单位。公司与中国电信、联通、移动三⼤顶级运营商合作,在湖南省、江苏省、福建省的多个城市运营IDC数据中⼼总接⼊带宽⾼达4TB,⽹络安全防护能⼒超过2TB,拥有BGP、 多线接⼊等精品⽹络,公司坚持以客户⾄上,提供优质的产品质量和7*24⼩时不同断的售后服务,为各类型客户提供全⾯的IDC服务解决⽅案。
了解更多国内、海外⾼防服务器情况,⽹盾科技www.wangdun,qq97780861,7*24⼩时售后,期待与您的合作!
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论