(呼伦贝尔学院信息科学分院,内蒙古 海拉尔 021008)
摘 要:21世纪以来,黑客们采用了一种新的十分难以防范的分布式拒绝服务攻击(DDoS),给很多知名网站和internet带来巨大的损失。本文从概念、攻击原理、攻击现象、攻击方式介绍了这种攻击方法,以及防御DDoS的措施。
关键词:DDoS;UDP;ICMP;ACL
中图分类号:TP309.5 文献标识码:A 文章编号:1007—6921(2007)06—0083—02
1 攻击的原理
分布式拒绝服务攻击(DDoS)是在dos(黑客用一台计算机对被攻击的服务器发送大量的信息,这些信息导致服务器消耗大量的系统资源,浪费大量的CPU 时间及阻塞通讯线路,使得正常的服务请求无法得到响应,外界看来,服务器如同瘫痪。)基础上发展而来的。黑客首先利用一台计算机控制一群计算机,这群计算机对一个目标或多个目标实施dos攻击,因而更加具有攻击力,并且很难查出黑客的行踪。
2 被DDoS攻击时的现象
2.1 数据段内容只包含文字和数字字符(例如,没有空格、标点和控制字符)的数据包
这往往是数据经过BASE64编码后而只会含有base64字符集字符的特征。TFN2K发送的控制信息数据包就是这种类型的数据包。TFN2K(及其变种)的特征模式是在数据段中有一串A字符(AAA……),这是经过调整数据段大小和加密算法后的结果。如果没有使用BASE64编码,对于使用了加密算法数据包,这个连续的字符就是“\ 0”。
2.2 不属于正常连接通讯的TCP和UDP数据包
最隐蔽的DDoS工具随机使用多种通讯协议(包括基于连接的协议)通过基于无连接通道发送数据。优秀的防火墙和路由规则能够发现这些数据包。另外,那些连接到高于1024而且不属于常用网络服务的目标端口的数据包也是非常值得怀疑的。
2.3 特大型的ICMP和UDP数据包
正常的UDP会话一般都使用小的UDP包,通常有效数据内容不超过10字节。正常的ICMP消息也不会超过64~128字节。那些大小明显大得多的数据包很有可能就是控制信息通讯用的,主要含有加密后的目标地址和一些命令选项。一旦捕获到(没有经过伪造的)控制信息通讯,DDoS服务器的位置就无所遁形了,因为控制信息通讯数据包的目标地址是没有伪造的。
2.4 当DDoS攻击一个站点时,会出现明显超出该网络正常工作时的极限通讯流量的现象
现在的技术能够分别对不同的源地址计算出对应的极限值。当明显超出此极限值时就表明存在DDoS攻击的通讯。因此可以在主干路由器端建立ACL访问控制规则以监测和过滤这些通讯。
2.5 虽然这不是真正的“DDoS”通讯,但却能够用来确定DDoS攻击的来源
根据分析,攻击者在进行DDoS攻击前总要解析目标的主机名。BIND域名服务器能够记录这些请求。由于每台攻击服务器在进行一个攻击前会发出PTR反向查询请求,也就是说在DDoS攻击前域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求。
3 攻击方法,常见方法有UDP洪流和ICMP洪流两种
.jpg)
3.1 UDP洪流攻击
在UDP洪流供给方法中,黑客向计算机A1发送一修改了返回地址的UDP包,该UDP包的返回地址指向了另一台计算机B,且使A1的chargen(character-generating)服务与B的echo服务联系在一起。于是A1的chargen服务与B的服务不断地产生字符并发向B,而Bde echo服务不断地把发过来的字符反弹给A1(如图1)。这种UDP流量阻塞了网络交通,使B无法响应正常请求。如黑客供给B,则把上述修改了返回地址的UDP包同时发往N台计算机,每台计算机均与B形成洪流,则B被击垮。
3.2 ICMP洪流攻击
如图1,假设计算机B为黑客攻击的目标,黑客向一组计算机广播ICMP的回应请求(ping),但这一请求的返回地址经过修改指向了B。N台计算机的回应地址信息同时发向B,导致B超负荷而无法提供正常服务。
4 防御手段
4.1 安装系统补丁程序关闭不必要的服务
管理员账号要经常改变并尽量设的复杂些,要做好服务器的备份工作。
4.2 如果系统正在遭受攻击的过程中
立即关闭系统并投入精力进行调查。假如您在您的内部网络里发现有一台攻击发起点或者与网络正在连接着,那么您最好立即切断与其他网络的连接,假如进行攻击的主机就是您自己的主机,也就是说您的主机已经被攻击者完全控制了,那么您就应当对您的系统做一下仔细地检查了,最好重新安装一遍,而且您还应当与安全组织或公司取得联系来紧急响应。
4.3 与您的网络服务提供商协作
能否与您上一级的网络主干服务提供商进行良好的合作也是一件非常重要的事情。DDoS攻击对带宽的使用是非常严格的,无论您使用什么方法都无法使您自己的网络对它的上一级进行控制。最好能够与您的网络服务供应商进行协商,请求他们帮助您实现路由的访问控制,以实现对带宽总量的限制以及不同的访问地址在同一时间对带宽的占有率。如果还有可能的话,最好请求您的服务提供商帮您监视网络流量,并在遭受攻击时允许您访问他们的路由器。
4.4 优化对外提供服务的主机
不仅仅对于网络设备,对于潜在的有可能遭受攻击的主机也要同样进行设置保护。在服务器上禁止一切不必要的服务,此外,如果使用多宿主机的话也会给攻击者带来相当大的麻烦。笔者还建议您将网站分布在多个不同的物理主机上,这样每一台主机只包含了网站的一部分,防止了网站在遭受攻击时全部瘫痪。
4.5 当攻击正在进行时,立即启动您的应付策略
尽可能快的向回追踪攻击包,如果发现攻击并非来自内部应当立即与您的服务提供商取得联系。由于攻击包的源地址很有可能是被攻击者伪装的,因此不必过分的相信该地址。您应当迅速的判断是否遭到了拒绝服务攻击,因为在攻击停止后,只有很短的一段时间您可以向回追踪攻击包。
4.6 审核您的系统规则
一个合格的网管应当对自己的系统负责任,并时刻注意本系统的运转,应当清楚地明白您的系统和应用软件是如何运作的以及它们的原理,回顾您经常采取的安全措施以及系统配置。检查著名的安全网站时刻关心最新揭露的安全漏洞,并注意他们是否将会在您的系统中发生。
4.7 使用密码检查
如果您正在检查的系统尚未遭受攻击,您应当尽量使用密码签名来加密您的系统文件和应用程序,并周期性的检查这些文件的变化。除此之外,我们还强烈建议您应当在攻击者所不能访问的其他机器上或在磁带机等媒体上存储校验后的数据,您可以
在很多的网络安全站点上找到相关的备份工具。
4.8 核实您的主机没有被攻击并依然安全
最近又有许多的系统漏洞被发现,而且与之相
关的一些黑客工具也被开发出来了。您应当通过检查漏洞数据库来核实您所正在使用的系统软件没有发现新的漏洞。切记,攻击者只有利用以发现的漏洞才能进入您的系统并安装他们自己的程序。您还应当回顾您的系统配置,查找其中的安全故障,最好使用最新的软件版本,并且尽量少的开启系统中的服务。如果您已经这样做了,那么您应当充分相信自己的系统已经做出了最大的努力来减小网络安全风险。
4.9 加固网络安全
利用软件防火墙如瑞星等软件来加固网络的安全性,配置好安全规则,过滤掉所有的可能的伪造数据包。
[参考文献]
[1] FrannkJ.Derifer.Jr[美].联网技术使用手册[M]:北京:电子工业出版社.
[2] Ericde[美].黑客供给透析与防范[M]:北京电子工业出版社.
[3] [ZK(]http://www.keynote.com.