分布式拒绝服务攻击(Distributed Denial of Service,DDoS攻击)
目录 |
分布式拒绝服务攻击是网络攻击中非常常见的攻击方式,在进行攻击的时候,这种方式可以对不同地点的大量计算机进行攻击,进行攻击的时候主要是对攻击的目标发送超过其处理能力的数据包,使攻击目标出现瘫痪的情况,不能提供正常的服务。
分布式拒绝服务攻击可以对多个联合起来的计算机进行攻击,进行攻击的时候可以对一个或者是多个目标来进行攻击,在进行攻击的时候危害是非常大的。在进行攻击的时候,攻击人员可以通过窃取账号的方式来对某个计算机来进行主控程序的安装,在主控程序安装完成以后再通过大量代理程序来进行通讯,在进行攻击以前,代理程序已经通过互联网被安装到多台计算机上,代理程序的作用就是在收到攻击的指令后就进行攻击,攻击的时候,主控程序可以在短时间内就激活上千次的代理程序,导致攻击目标出现无法正常使用的情况。
分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,分布式拒绝服务攻击已经出现了很多次,导致很多的大型网站都出现了无法进行操作的情况,这样不仅仅会影响用户的正常使用,同时造成的经济损失也是非常巨大的。分布式拒绝服务攻击方式在进行攻击的时候,可以对源IP地址进行伪造,这样就使得这种攻击在发生的时候隐蔽性是非常好的,同时要对攻击进行检测也是非常困难的,因此这种攻击方式也成为了非常难以防范的攻击。
1.分布式拒绝服务攻击分析
分布式拒绝服务攻击在进行主机攻击的时候是要花费大量的时间来进行准备,在主机完成攻击以后才能对更多的从机进行攻击。在对从机进行攻击的时候需要在从机上安装必要的程序,在接到攻击的指令以后,程序会向服务器发送非常多的虚假地址,服务器在接收这些信息以后要得到信息回传,因为发送的地址都是伪造的,这样就会导致服务器在回传信息方面要一直进行等待,在服务器等待一定的时间以后,会因为连接超时导致传输的信息被切断,这时受到攻击的从机还会继续向服务器发送新的请求,这样反复的发送,会使得服务器的资源被耗尽,导致系统出现崩溃的情况。
2.分布式拒绝服务攻击的特点
分布式拒绝服务攻击采取的攻击手段就是分布式的,在攻击的模式改变了传统的点对点的攻击模式,使攻击方式出现了没有规律的情况,而且在进行攻击的时候,通常使用的也是常见的协议和服务,这样只是从协议和服务的类型上是很难对攻击进行区分的。在进行攻击的时候,攻击数据包都是经过伪装的,在源IP地址上也是进行伪造的,这样就很难对攻击进行地址的确定,在查找方面也是很难的。这样就导致了分布式拒绝服务攻击在检验方法上是很难做到的。
3.分布式攻击会出现的现象
计算机在遭受到分布式拒绝服务攻击以后会出现特定的现象,主要表现就是被攻击的主机会出现大量的TCP连接等待,这时在网络中就会出现大量的没有用处的数据包,这些无用的数据包出现会导致网络在运行的过程中出现堵塞的情况。被攻击的主机在受到攻击以后是无法同外界进行联系的,同时主机在提供服务和传输协议上是存在缺陷的,这样就会导致主机在不断反复的进行服务请求的发出,使得主机无法对请求进行处理,进而会出现系统瘫痪的情况。
4.分布式拒绝服务攻击的特性
对分布式攻击进行必要的分析,就可以得到这种攻击的特性。分布式拒绝服务在进行攻击的时候,要对攻击目标的流量地址进行集中,然后在攻击的时候不会出现拥塞控制。在进行攻击的时候会选择使用随机的端口来进行攻击,会通过数千端口对攻击的目标发送大量的数据包,使用固定的端口进行攻击的时候,会向同一个端口发送大量的数据包。
5.分布式拒绝服务攻击的程序
在进行网络攻击的时候,分布式拒绝服务攻击主要有几种攻击的程序。第一种是Trinoo,这种程序是出现最早的攻击程序,在进行攻击的时候主要是通过远程控制程序和主控通讯,对服务器程序发动攻击。服务器程序是存在于系统中的,在进行攻击的时候,攻击者要控制多台计算机,在这些计算机上进行分布式拒绝服务软件的安装,然后建立起来相应的网络,这样就可以随时对攻击的目标进行攻击。第二种是TFN,它由客户端程序和守护程序组成。通过绑定到TCP端口的Root Shell控制,实施ICMP Flood,SYN Flood,UDPFlood和Smuff等多种拒绝服务的分布式网络攻击。TFN客户端、主控端和代理端主机相互间通信时使用ICMP Echo和Icmp EchoReply数据包。第三种是Stacbeldraht,它结合了Tfinoo与TFN的特点,并添加了一些补充特征,如加密组件之间的通信和自动更新守护进程。Stachd—draht使用TCP和ICMP通信,攻击者与主控端交互,同时主控端控制代理端。Stacheldraht在功能上与Trlnoo和TFN相近。最后一种是TFN2k,TFN2k代表TFN 2000版。它允许端口上随机通信及加密,这样就绕过了边界路由器上端口阻挡的防护措施和入侵检测软件。TFN2k攻击不但可以与SYN、UDP、ICMP和Smud攻击相配合。而且还可以在不同的攻击方式之间随机切换。
按照TCP/MP协议的层次可将DDOS攻击分为基于ARP的攻击、基于ICMP的攻击、基于IP的攻击、基于UDP的攻击、基于TCP的攻击和基于应用层的攻击。
1.基于ARP的攻击
ARP是无连接的协议,当收到攻击者发送来的ARP应答时。它将接收ARP应答包中所提供的信息。更新ARP缓存。因此,含有错误源地址信息的ARP请求和含有错误目标地址信息的ARP应答均会使上层应用忙于处理这种异常而无法响应外来请求,使得目标主机丧失网络通信能力。产生拒绝服务,如ARP重定向攻击。
2.基于ICMP的攻击
攻击者向一个子网的广播地址发送多个ICMP Echo请求数据包。并将源地址伪装成想要攻击的目标主机的地址。这样,该子网上的所有主机均对此ICMP Echo请求包作出答复,向被攻击的目标主机发送数据包,使该主机受到攻击,导致网络阻塞。
3.基于IP的攻击
TCP/IP中的IP数据包在网络传递时,数据包可以分成更小的片段。到达目的地后再进行合并重装。在实现分段重新组装的进程中存在漏洞,缺乏必要的检查。利用IP报文分片后重组的重叠现象攻击服务器,进而引起服务器内核崩溃。如Teardrop是基于IP的攻击。
4.基于应用层的攻击
应用层包括SMTP,HTTP,DNS等各种应用协议。其中SMTP定义了如何在两个主机问传输邮件的过程,基于标准SMTP的邮件服务器,在客户端请求发送邮件时,是不对其身份进行验证的。另外,许多邮件服务器都允许邮件中继。攻击者利用邮件服务器持续不断地向攻击目标发送垃圾邮件大量侵占服务器资源。