DDoS攻防演示

2024-09-07 13:38:19

字體：大中小

供稿：網(wǎng)友

DDoS攻擊概念：

　　DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶(hù)無(wú)法得到服務(wù)的響應(yīng)。

　　DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類(lèi)攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了――目標(biāo)對(duì)惡意攻擊包的"消化能力"加強(qiáng)了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個(gè)攻擊包，但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個(gè)攻擊包，這樣一來(lái)攻擊就不會(huì)產(chǎn)生什么效果。

　　這時(shí)侯分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運(yùn)而生了。你理解了DoS攻擊的話，它的原理就很簡(jiǎn)單。如果說(shuō)計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了10倍，用一臺(tái)攻擊機(jī)來(lái)攻擊不再能起作用的話，攻擊者使用10臺(tái)攻擊機(jī)同時(shí)攻擊呢？用100臺(tái)呢？DDoS就是利用更多的傀儡機(jī)來(lái)發(fā)起進(jìn)攻，以比從前更大的規(guī)模來(lái)進(jìn)攻受害者。

　　高速?gòu)V泛連接的網(wǎng)絡(luò)給大家?guī)?lái)了方便，也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時(shí)代時(shí)，黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí)，總是會(huì)優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器，因?yàn)榻?jīng)過(guò)路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以G為級(jí)別的，大城市之間更可以達(dá)到2.5G的連接，這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起，攻擊者的傀儡機(jī)位置可以在分布在更大的范圍，選擇起來(lái)更靈活了。

　　被DDoS攻擊時(shí)的現(xiàn)象：

　　* 被攻擊主機(jī)上有大量等待的TCP連接

　　* 網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，源地址為假

　　* 制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通訊

　　* 利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求

　　* 嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)

　　攻擊運(yùn)行原理：

　　如圖，一個(gè)比較完善的DDoS攻擊體系分成四大部分，先來(lái)看一下最重要的第2和第3部分：它們分別用做控制和實(shí)際發(fā)起攻擊。請(qǐng)注意控制機(jī)與攻擊機(jī)的區(qū)別，對(duì)第4部分的受害者來(lái)說(shuō)，DDoS的實(shí)際攻擊包是從第3部分攻擊傀儡機(jī)上發(fā)出的，第2部分的控制機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。對(duì)第2和第3部分計(jì)算機(jī)，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺(tái)上，這些程序與正常的程序一樣運(yùn)行并等待來(lái)自黑客的指令，通常它還會(huì)利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時(shí)，這些傀儡機(jī)器并沒(méi)有什么異常，只是一旦黑客連接到它們進(jìn)行控制，并發(fā)出指令的時(shí)候，攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。

　　黑客是如何組織一次DDoS攻擊的？

　　這里用“組織”這個(gè)詞，是因?yàn)镈DoS并不象入侵一臺(tái)主機(jī)那樣簡(jiǎn)單。一般來(lái)說(shuō)，黑客進(jìn)行DDoS攻擊時(shí)會(huì)經(jīng)過(guò)這樣的步驟：

　　1. 搜集了解目標(biāo)的情況

　　下列情況是黑客非常關(guān)心的情報(bào)：

　　* 被攻擊目標(biāo)主機(jī)數(shù)目、地址情況

　　* 目標(biāo)主機(jī)的配置、性能

　　* 目標(biāo)的帶寬

　　對(duì)于DDoS攻擊者來(lái)說(shuō)，攻擊互聯(lián)網(wǎng)上的某個(gè)站點(diǎn)，如http://www.mytarget.com，有一個(gè)重點(diǎn)就是確定到底有多少臺(tái)主機(jī)在支持這個(gè)站點(diǎn)，一個(gè)大的網(wǎng)站可能有很多臺(tái)主機(jī)利用負(fù)載均衡技術(shù)提供同一個(gè)網(wǎng)站的www服務(wù)。所以事先搜集情報(bào)對(duì)DDoS攻擊者來(lái)說(shuō)是非常重要的，這關(guān)系到使用多少臺(tái)傀儡機(jī)才能達(dá)到效果的問(wèn)題。簡(jiǎn)單地考慮一下，在相同的條件下，攻擊同一站點(diǎn)的2臺(tái)主機(jī)需要2臺(tái)傀儡機(jī)的話，攻擊5臺(tái)主機(jī)可能就需要5臺(tái)以上的傀儡機(jī)。有人說(shuō)做攻擊的傀儡機(jī)越多越好，反正不管你有多少臺(tái)主機(jī)我都用盡量多的傀儡機(jī)來(lái)攻就是了，傀儡機(jī)超過(guò)了時(shí)效果更好。

　　但在實(shí)際過(guò)程中，有很多黑客并不進(jìn)行情報(bào)的搜集而直接進(jìn)行DDoS的攻擊，這時(shí)候攻擊的盲目性就很大了，效果如何也要靠運(yùn)氣。

　　2. 占領(lǐng)傀儡機(jī)

　　黑客最感興趣的是有下列情況的主機(jī)：

　　* 鏈路狀態(tài)好的主機(jī)

　　* 性能好的主機(jī)

　　* 安全管理水平差的主機(jī)
　
　　這一部分實(shí)際上是使用了另一大類(lèi)的攻擊手段：利用形攻擊。這是和DDoS并列的攻擊方式。簡(jiǎn)單地說(shuō)，就是占領(lǐng)和控制被攻擊的主機(jī)。取得最高的管理權(quán)限，或者至少得到一個(gè)有權(quán)限完成DDoS攻擊任務(wù)的帳號(hào)。對(duì)于一個(gè)DDoS攻擊者來(lái)說(shuō)，準(zhǔn)備好一定數(shù)量的傀儡機(jī)是一個(gè)必要的條件，下面說(shuō)一下他是如何攻擊并占領(lǐng)它們的。

　　首先，黑客做的工作一般是掃描，隨機(jī)地或者是有針對(duì)性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機(jī)器，象程序的溢出漏洞、cgi、Unicode、ftp、數(shù)據(jù)庫(kù)漏洞......(簡(jiǎn)直舉不勝舉啊)，都是黑客希望看到的掃描結(jié)果。隨后就是嘗試入侵了，具體的手段就不在這里多說(shuō)了，感興趣的話網(wǎng)上有很多關(guān)于這些內(nèi)容的文章。

　　總之黑客現(xiàn)在占領(lǐng)了一臺(tái)傀儡機(jī)了！然后他做什么呢？除了上面說(shuō)過(guò)留后門(mén)擦腳印這些基本工作之外，他會(huì)把DDoS攻擊用的程序上載過(guò)去，一般是利用ftp。在攻擊機(jī)上，會(huì)有一個(gè)DDoS的發(fā)包程序，黑客就是利用它來(lái)向受害目標(biāo)發(fā)送惡意攻擊包的。

　　3. 實(shí)際攻擊：

　　經(jīng)過(guò)前2個(gè)階段的精心準(zhǔn)備之后，黑客就開(kāi)始瞄準(zhǔn)目標(biāo)準(zhǔn)備發(fā)射了。前面的準(zhǔn)備做得好的話，實(shí)際攻擊過(guò)程反而是比較簡(jiǎn)單的。就象圖示里的那樣，黑客登錄到做為控制臺(tái)的傀儡機(jī)，向所有的攻擊機(jī)發(fā)出命令：“預(yù)備~ ，瞄準(zhǔn)~，開(kāi)火!”。這時(shí)候埋伏在攻擊機(jī)中的DDoS攻擊程序就會(huì)響應(yīng)控制臺(tái)的命令，一起向受害主機(jī)以高速度發(fā)送大量的數(shù)據(jù)包，導(dǎo)致它死機(jī)或是無(wú)法響應(yīng)正常的請(qǐng)求。黑客一般會(huì)以遠(yuǎn)遠(yuǎn)超出受害方處理能力的速度進(jìn)行攻擊，他們不會(huì)“憐香惜玉”。

　　老到的攻擊者一邊攻擊，還會(huì)用各種手段來(lái)監(jiān)視攻擊的效果，在需要的時(shí)候進(jìn)行一些調(diào)整。簡(jiǎn)單些就是開(kāi)個(gè)窗口不斷地ping目標(biāo)主機(jī)，在能接到回應(yīng)的時(shí)候就再加大一些流量或是再命令更多的傀儡機(jī)來(lái)加入攻擊。

　　DDoS的防范：

　　到目前為止，進(jìn)行DDoS攻擊的防御還是比較困難的。首先，這種攻擊的特點(diǎn)是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻擊。一位資深的安全專(zhuān)家給了個(gè)形象的比喻：DDoS就好象有1,000個(gè)人同時(shí)給你家里打電話，這時(shí)候你的朋友還打得進(jìn)來(lái)嗎？

　　不過(guò)即使它難于防范，也不是說(shuō)我們就應(yīng)該逆來(lái)順受，實(shí)際上防止DDoS并不是絕對(duì)不可行的事情?；ヂ?lián)網(wǎng)的使用者是各種各樣的，與DDoS做斗爭(zhēng)，不同的角色有不同的任務(wù)。我們以下面幾種角色為例：

　　* 企業(yè)網(wǎng)管理員

　　* ISP、ICP管理員

　　* 骨干網(wǎng)絡(luò)運(yùn)營(yíng)商

　　企業(yè)網(wǎng)管理員:

　　網(wǎng)管員做為一個(gè)企業(yè)內(nèi)部網(wǎng)的管理者，往往也是安全員、守護(hù)神。在他維護(hù)的網(wǎng)絡(luò)中有一些服務(wù)器需要向外提供WWW服務(wù)，因而不可避免地成為DDoS的攻擊目標(biāo)，他該如何做呢？可以從主機(jī)與網(wǎng)絡(luò)設(shè)備兩個(gè)角度去考慮。

　　主機(jī)上的設(shè)置：

　　幾乎所有的主機(jī)平臺(tái)都有抵御DoS的設(shè)置，總結(jié)一下，基本的有幾種：

　　* 關(guān)閉不必要的服務(wù)

　　* 限制同時(shí)打開(kāi)的Syn半連接數(shù)目

　　* 縮短Syn半連接的time out 時(shí)間

　　* 及時(shí)更新系統(tǒng)補(bǔ)丁

　　網(wǎng)絡(luò)設(shè)備上的設(shè)置：

　　企業(yè)網(wǎng)的網(wǎng)絡(luò)設(shè)備可以從防火墻與路由器上考慮。這兩個(gè)設(shè)備是到外界的接口設(shè)備，在進(jìn)行防DDoS設(shè)置的同時(shí)，要注意一下這是以多大的效率犧牲為代價(jià)的，對(duì)你來(lái)說(shuō)是否值得。
　
　　防火墻：

　　* 禁止對(duì)主機(jī)的非開(kāi)放服務(wù)的訪問(wèn)

　　* 限制同時(shí)打開(kāi)的SYN最大連接數(shù)

　　* 限制特定IP地址的訪問(wèn)

　　* 啟用防火墻的防DDoS的屬性

　　* 嚴(yán)格限制對(duì)外開(kāi)放的服務(wù)器的向外訪問(wèn)

　　第五項(xiàng)主要是防止自己的服務(wù)器被當(dāng)做工具去害人。

　　路由器：

　　以Cisco路由器為例

　　* Cisco Express Forwarding（CEF）

　　* 使用 unicast reverse-path

　　* 訪問(wèn)控制列表（ACL）過(guò)濾

　　* 設(shè)置SYN數(shù)據(jù)包流量速率

　　* 升級(jí)版本過(guò)低的ISO

　　* 為路由器建立log server

　　其中使用CEF和Unicast設(shè)置時(shí)要特別注意，使用不當(dāng)會(huì)造成路由器工作效率嚴(yán)重下降，升級(jí)IOS也應(yīng)謹(jǐn)慎。路由器是網(wǎng)絡(luò)的核心設(shè)備，與大家分享一下進(jìn)行設(shè)置修改時(shí)的小經(jīng)驗(yàn)，就是先不保存。Cisco路由器有兩份配置startup config和running config，修改的時(shí)候改變的是running config，可以讓這個(gè)配置先跑一段時(shí)間（三五天的就隨意啦），覺(jué)得可行后再保存配置到startup config；而如果不滿意想恢復(fù)原來(lái)的配置，用copy start run就行了。

　　ISP / ICP管理員：

　　ISP / ICP為很多中小型企業(yè)提供了各種規(guī)模的主機(jī)托管業(yè)務(wù)，所以在防DDoS時(shí)，除了與企業(yè)網(wǎng)管理員一樣的手段外，還要特別注意自己管理范圍內(nèi)的客戶(hù)托管主機(jī)不要成為傀儡機(jī)?？陀^上說(shuō)，這些托管主機(jī)的安全性普遍是很差的，有的連基本的補(bǔ)丁都沒(méi)有打就赤膊上陣了，成為黑客最喜歡的"肉雞"，因?yàn)椴还苓@臺(tái)機(jī)器黑客怎么用都不會(huì)有被發(fā)現(xiàn)的危險(xiǎn)，它的安全管理太差了；還不必說(shuō)托管的主機(jī)都是高性能、高帶寬的――簡(jiǎn)直就是為DDoS定制的。而做為ISP的管理員，對(duì)托管主機(jī)是沒(méi)有直接管理的權(quán)力的，只能通知讓客戶(hù)來(lái)處理。在實(shí)際情況時(shí)，有很多客戶(hù)與自己的托管主機(jī)服務(wù)商配合得不是很好，造成ISP管理員明知自己負(fù)責(zé)的一臺(tái)托管主機(jī)成為了傀儡機(jī)，卻沒(méi)有什么辦法的局面。而托管業(yè)務(wù)又是買(mǎi)方市場(chǎng)，ISP還不敢得罪客戶(hù)，怎么辦？咱們管理員和客戶(hù)搞好關(guān)系吧，沒(méi)辦法，誰(shuí)讓人家是上帝呢？呵呵，客戶(hù)多配合一些，ISP的主機(jī)更安全一些，被別人告狀的可能性也小一些。

　　骨干網(wǎng)絡(luò)運(yùn)營(yíng)商：

　　他們提供了互聯(lián)網(wǎng)存在的物理基礎(chǔ)。如果骨干網(wǎng)絡(luò)運(yùn)營(yíng)商可以很好地合作的話，DDoS攻擊可以很好地被預(yù)防。在2000年yahoo等知名網(wǎng)站被攻擊后，美國(guó)的網(wǎng)絡(luò)安全研究機(jī)構(gòu)提出了骨干運(yùn)營(yíng)商聯(lián)手來(lái)解決DDoS攻擊的方案。其實(shí)方法很簡(jiǎn)單，就是每家運(yùn)營(yíng)商在自己的出口路由器上進(jìn)行源IP地址的驗(yàn)證，如果在自己的路由表中沒(méi)有到這個(gè)數(shù)據(jù)包源IP的路由，就丟掉這個(gè)包。這種方法可以阻止黑客利用偽造的源IP來(lái)進(jìn)行DDoS攻擊。不過(guò)同樣，這樣做會(huì)降低路由器的效率，這也是骨干運(yùn)營(yíng)商非常關(guān)注的問(wèn)題，所以這種做法真正采用起來(lái)還很困難。

　　對(duì)DDoS的原理與應(yīng)付方法的研究一直在進(jìn)行中，找到一個(gè)既有效又切實(shí)可行的方案不是一朝一夕的事情。但目前我們至少可以做到把自己的網(wǎng)絡(luò)與主機(jī)維護(hù)好，首先不讓自己的主機(jī)成為別人利用的對(duì)象去攻擊別人；其次，在受到攻擊的時(shí)候，要盡量地保存證據(jù)，以便事后追查，一個(gè)良好的網(wǎng)絡(luò)和日志系統(tǒng)是必要的。無(wú)論DDoS的防御向何處發(fā)展，這都將是一個(gè)社會(huì)工程，需要IT界的同行們來(lái)一起關(guān)注，通力合作。

上一篇：世界編程大賽一等獎(jiǎng)作品

下一篇：Win98上裝MSSQL2000