热搜词
发表于 2009-1-31 16:06:22 | 显示全部楼层 |阅读模式
安易防火墙重新认识DDoS攻击 文章出自:http://blog.sina.com.cn/s/blog_599767520100a9s8.html受害主机在DDoS攻击下,明显特征就是大量的不明数据报文流向受害主机,受害主机的网络接入带宽被耗尽,或者受害主机的系统资源(存储资源和计算资源)被大量占用,甚至发生死机。前者可称为带宽消耗攻击,后者称为系统资源消耗攻击。两者可能单独发生,也可能同时发生。
带宽消耗攻击DDoS带宽消耗攻击主要为直接洪流攻击。直接洪流攻击采取了简单自然的攻击方式,它利用了攻击方的资源优势,当大量代理发出的攻击流汇聚于目标时,足以耗尽其Internet接入带宽。通常用于发送的攻击报文类型有:TCP报文(可含TCP SYN报文),UDP报文,ICMP报文,三者可以单独使用,也可同时使用。
TCP洪流攻击。在早期的DoS攻击中,攻击者只发送TCP SYN报文,以消耗目标的系统资源。而在DDoS攻击中,由于攻击者拥有更多的攻击资源,所以攻击者在大量发送TCP SYN报文的同时,还发送ACK, FiN, RST报文以及其它TCP普通数据报文,这称为TCP洪流攻击。该攻击在消耗系统资源(主要由SYN,RST报文导致)的同时,还能拥塞受害者的网络接入带宽。由于TCP协议为TCP/IP协议中的基础协议,是许多重要应用层服务(如WEB服务,FTP服务等)的基础,所以TCP洪流攻击能对服务器的服务性能造成致命的影响。据研究统计,大多数DDoS攻击通过TCP洪流攻击实现。
UDP洪流攻击。用户数据报协议(UDP)是一个无连接协议。当数据包经由UDP协议发送时,发送双方无需通过三次握手建立连接,接收方必须接收处理该资料包。因此大量的发往受害主机UDP报文能使网络饱和。在一起UDP洪流攻击中,UDP报文发往受害系统的随机或指定端口。通常,UDP洪流攻击设定成指向目标的随机端口。这使得受害系统必须对流入数据进行分析以确定哪个应用服务请求了数据。如果受害系统在某个被攻击埠没有运行服务,它将用ICMP报文响应一个“目标端口不可达”消息。通常,攻击中的DDoS工具会伪造攻击包的源IP地址。这有助于隐藏代理的身份,同时能确保来自受害主机的响应消息不会返回到代理。UDP洪流攻击同时也会拥塞受害主机周围的网络带宽(视网络构架和线路速度而定)。因此,有时连接到受害系统周边网络的主机也会遭遇网络连接问题。
ICMP洪流攻击。Internet控制报文协议传递差错报文及其它网络管理消息,它被用于定位网络设备,确定源到端的跳数或往返时间等。一个典型的运用就是Ping程序,其使用ICMP_ECHO REQEST报文,用户可以向目标发送一个请求消息,并收到一个带往返时间的响应消息。ICMP洪流攻击就是通过代理向受害主机发送大量ICMP_ECHO_ REQEST)报文。这些报文涌往目标并使其响应报文,两者合起来的流量将使受害主机网络带宽饱和。与UDP洪流攻击一样,ICMP洪流攻击通常也伪造源IP地址。
系统资源消耗攻击DDoS系统资源消耗攻击包括恶意误用TCP/IP协议通信和发送畸形报文两种攻击方式。两者都能起到占用系统资源的效果。具体有以下几种:
TCP SYN攻击。DoS的主要攻击方式,在DDoS攻击中仍然是最常见的攻击手段之一。只不过在DDoS方式下,它的攻击强度得到了成百上千倍的增加。
TCP PSH+ACK攻击。在TCP协议中,到达目的地的报文将进入TCP栈的缓冲区,直到缓冲区满了,报文才被转送给接收系统。此举是为了使系统清空缓冲区的次数达到最小。然而,发送者可通过发送 PSH标志为1的TCP报文来起强制要求接受系统将缓冲区的内容清除。TCP PUSH+ACK攻击与TCP SYN攻击一样目的在于耗尽受害系统的资源。当代理向受害主机发送PSH和ACK标志设为1的TCP报文时,这些报文将使接收系统清除所有TCP缓冲区的数据(不管缓冲区是满的还是非满),并响应一个确认消息。如果这个过程被大量代理重复,系统将无法处理大量的流入报文。
畸形报文攻击。顾名思义,畸形报文攻击指的是攻击者指使代理向受害主机发送错误成型的IP报文以使其崩溃。有两种畸形报文攻击方式。一种是IP地址攻击,攻击报文拥有相同的源IP和目的IP位址。它能迷惑受害主机的操作系统,并使其消耗大量的处理能力。另一个是IP报文可选段攻击。攻击报文随机选取IP报文的可选段并将其所有的服务比特值设为1。对此,受害系统不得不花费额外的处理时间来分析资料包。当发动攻击的代理足够多时,受害系统将失去处理能力。
IDC行业现状分布式拒绝服务(DDoS)攻击导致网络瘫痪的容易程度超出您的想象。DDoS攻击通常由受控网络(所谓的肉机)所发动。受控网络是一些由受到控制的计算机(bot)所组成的网络,它们可以被攻击者用于对目标发送大量的不同类型的分组。一个相对较小的受控网络可能包含1000台主机,如果估计每台主机的平均上行带宽为128Kb/s,那么这个受控网络就会生成超过100Mb/s的输入数据。对于更大规模的botnet,攻击的总流量速率可能达到数个Gb,这远远超出了电信运营商和大型企业或IDC之间连接的承受能力。
近年来网络游戏和主机托管的蓬勃发展,国内IDC业务得到快速增长。与此同时,针对中小型IDC的DDoS攻击也进一步泛滥。更糟糕的是,因为拥有永不间断Internet连接的PC越来越多,而这些PC往往缺乏足够的保护,因而给黑客以可乘之机,造成受控主机的个数正在急剧增加。
大部分的DDoS攻击都会造成严重的后果,客户的服务器不再可用,WEB页面无法连接,网络游戏客户端无法登陆,等等。有些时候甚至会殃及池鱼,造成整个IDC网络甚至整个运营商机房的瘫痪。
DDoS检测都是一项相当困难的任务,因为部分攻击的非法分组具有与合法分组相同的内容和报头特性。从根本上讲,对于真正的DDoS攻击,目前还没有彻底的解决方法。而且,很多攻击都采用了伪装的源地址。因此,要想有效地防御DDoS,必须能够准确地区分合法的和非法的流量。
安易网址: www.ezsafe.cn
联系人:杨婧
qq:1020776006
联系电话:0668-2990111



全国免费售前咨询电话:800 888 4999

公司地址:广东省茂名市光华中路116A区二层27-28
全部评论0
回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|管理员之家 ( 苏ICP备2023053177号-2 )

GMT+8, 2024-11-26 12:15 , Processed in 0.124007 second(s), 22 queries .

Powered by Discuz! X3.5

Cpoyright © 2001-2024 Discuz! Team