DDoS攻擊的研究

摘 要:本文首先介紹了DDoS攻擊定義及原理，對(duì)DDoS攻擊常用工具進(jìn)行了深入的分析，總結(jié)出每種攻擊工具的實(shí)現(xiàn)原理及特點(diǎn)，如通信信道是否加密，攻擊端口及發(fā)起攻擊時(shí)的網(wǎng)絡(luò)特征等，為防御者在制定防御措施時(shí)提供了幫助;最后，從不同角度對(duì)DDoS攻擊和DDoS攻擊的防御進(jìn)行了分類，并分析和研究了每種類型的DDoS攻擊特點(diǎn)，以便于選擇合適的防御措施。

關(guān)鍵詞:DdoS攻擊防御

中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1674-098X(2011)05(a)-0022-02

1 DDoS定義及攻擊原理

1.1 DDoS攻擊的定義

2000年2月，美國(guó)著名網(wǎng)站Yahoo！，eBay，Buy，CNN和ZDNet等相繼遭到黑客大規(guī)模的DDoS攻擊，導(dǎo)致這些網(wǎng)站系統(tǒng)癱瘓，服務(wù)中斷。DDoS攻擊通過(guò)組織和操縱更多的機(jī)器來(lái)發(fā)起進(jìn)攻。

對(duì)于DDoS攻擊，W3 Security FAQ給出如下定義[3，4]:“分布式拒絕服務(wù)攻擊(DDoS)使用多臺(tái)計(jì)算機(jī)針對(duì)單個(gè)目標(biāo)或者多個(gè)目標(biāo)發(fā)動(dòng)協(xié)同的拒絕服務(wù)攻擊(DoS)，利用客戶端/服務(wù)器技術(shù)，攻擊者能夠利用多個(gè)不知情的‘同謀計(jì)算機(jī)’作為攻擊平臺(tái)，這大就大增加了拒絕服務(wù)攻擊成功的可能性。典型地，一個(gè)DDoS主程序以一個(gè)竊取的賬號(hào)安裝到一臺(tái)計(jì)算機(jī)上后，在一個(gè)指定的時(shí)間點(diǎn)，與許多成為‘代理’程序進(jìn)行通信，這些代理程序安裝在Internet中被攻擊者控制的機(jī)器上，這些代理在接收到開(kāi)始攻擊的指令后就開(kāi)始對(duì)指定指定站點(diǎn)發(fā)起攻擊。利用客戶端/服務(wù)器技術(shù)，主程序可在數(shù)秒內(nèi)激發(fā)成百上千的代理程序一同進(jìn)行攻擊。”

DDoS攻擊是目前最先進(jìn)的DoS攻擊形式。它采用了比較特別的體系結(jié)構(gòu)，通過(guò)在主控主機(jī)上的客戶端和在代理主機(jī)上的守護(hù)進(jìn)程兩部分組成攻擊程序。從許多分布的主機(jī)同時(shí)攻擊一個(gè)目標(biāo)，由一個(gè)主控端控制的多個(gè)代理端能夠在攻擊過(guò)程中相互協(xié)同，保證攻擊的連續(xù)性，從而導(dǎo)致目標(biāo)癱瘓。

1.2 DDoS攻擊的原理

與DoS不同的是，DDoS攻擊通常并不使用攻擊者本身的計(jì)算機(jī)或者一組主機(jī)進(jìn)行攻擊，而是使用對(duì)攻擊活動(dòng)毫不知情的第三方主機(jī)。因此，它的危害性和破壞性更大，涉及范圍更廣，也更難發(fā)現(xiàn)攻擊者。

DDoS攻擊由四部分組成:

(1)攻擊者。它可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)，在整個(gè)攻擊過(guò)程中作為攻擊主控臺(tái)向主控端發(fā)送攻擊命令。

(2)主控端。在受控制主機(jī)上安裝了特殊的程序之后，就能夠控制數(shù)十個(gè)代理端。在攻擊者與代理端之間設(shè)置主控端，是為了隔絕攻擊者和代理端的作用，這樣攻擊者就能處于更加隱秘的位置。通常在路由器或者大型網(wǎng)絡(luò)服務(wù)器上安裝主控端軟件，因?yàn)檫@些位置的大數(shù)據(jù)流量能有效的掩蓋攻擊者與主控端、主控端與代理端之間的通信。

(3)代理端。代理端是真正進(jìn)行攻擊的機(jī)器。在代理端上面運(yùn)行一個(gè)特殊的程序后，它們就負(fù)責(zé)向目標(biāo)主機(jī)發(fā)送大量的數(shù)據(jù)包。這些機(jī)器通常是目標(biāo)主機(jī)網(wǎng)絡(luò)和真正攻擊者所在網(wǎng)絡(luò)以外的機(jī)器，這樣可以在攻擊被追蹤時(shí)躲避責(zé)任。每一個(gè)代理程序用到的資源(包括存儲(chǔ)空間和帶寬)是很少的，以至于在執(zhí)行攻擊時(shí)，代理端用戶不會(huì)感覺(jué)到系統(tǒng)有任何異常。

(4)受害主機(jī)。它們可以是路由器、交換機(jī)、主機(jī)等。在遭受攻擊時(shí)，它們的資源或者帶寬被耗盡。

攻擊者首先掃描和尋找Internet中有安全漏洞的主機(jī)，并將這些主機(jī)有效地組織起來(lái)，構(gòu)成一個(gè)很強(qiáng)大的攻擊網(wǎng)絡(luò)。再利用該攻擊網(wǎng)絡(luò)中的主機(jī)向目標(biāo)主機(jī)(即受害主機(jī))發(fā)起大規(guī)模的DoS攻擊，耗盡目標(biāo)主機(jī)的可用資源，致使目標(biāo)主機(jī)過(guò)載而崩潰。DDoS攻擊過(guò)程如下:

(1)攻擊者使用漏洞掃描工具和其他方法在Internet中尋找和發(fā)現(xiàn)脆弱主機(jī)，并且要達(dá)到一定數(shù)量級(jí)。

(2)攻擊者基于攻擊策略為脆弱主機(jī)分配適當(dāng)角色，如作為主控端還是代理端，建立起攻擊視圖。

(3)攻擊者根據(jù)分布攻擊視圖對(duì)脆弱主機(jī)進(jìn)行攻擊，獲得對(duì)脆弱主機(jī)的控制權(quán)限，再在脆弱主機(jī)上安裝主控或者代理程序。

(4)在所有脆弱主機(jī)上安裝了主控或者代理程序后，就建立起一個(gè)分布式DDoS攻擊系統(tǒng)。

(5)攻擊者利用該分布式DDoS攻擊系統(tǒng)對(duì)目標(biāo)主機(jī)實(shí)施各種DoS攻擊。

從DDoS攻擊過(guò)程可以看出，DDoS攻擊主要有兩個(gè)階段構(gòu)成:脆弱主機(jī)攻擊和目標(biāo)主機(jī)攻擊。這兩個(gè)階段的攻擊目的和攻擊手段又都是不同的。對(duì)脆弱主機(jī)的攻擊是通過(guò)系統(tǒng)漏洞掃描技術(shù)和系統(tǒng)控制權(quán)獲取技術(shù)來(lái)獲取脆弱主機(jī)的控制權(quán)，在上面安裝主控程序或代理程序，以構(gòu)成DDoS系統(tǒng);對(duì)目標(biāo)主機(jī)攻擊是通過(guò)ICMP flood、TCP SYN flood等攻擊手段使目標(biāo)主機(jī)陷于崩潰和癱瘓，以阻止其為合法用戶提供服務(wù)。

2 DDoS攻擊常用工具介紹

目前，DDoS攻擊工具主要有Trin00、TFN、TFN2K、Stacheldraht和Naptha。

2.1 Trin00

Trin00是第一個(gè)廣為人知的DDoS攻擊工具，由三部分組成，包括主控端、客戶端和廣播。攻擊者向主控端的TCP 27665號(hào)端口發(fā)送命令，主控端然后通過(guò)向所有的客戶端UDP 27444端口發(fā)送消息，然后客戶端啟動(dòng)“廣播”程序，同時(shí)向目標(biāo)發(fā)送UDP炸彈。Trin00守護(hù)進(jìn)程的二進(jìn)制代碼包最初是在一些Solaris 2.x主機(jī)中發(fā)現(xiàn)的，這些主機(jī)是被攻擊者利用RPC服務(wù)安全漏洞“statd”、“cmsd”和“ttdbserverd”入侵的。Trin00本質(zhì)上是一個(gè)主/從程序形成的網(wǎng)絡(luò)，這些程序彼此協(xié)作向受害主機(jī)發(fā)起UDP DoS洪泛攻擊。

一般情況下，Trin00的攻擊過(guò)程如下:

(1)入侵大量的遠(yuǎn)程主機(jī)，并在系統(tǒng)中安裝主控或代理程序。用一個(gè)盜取來(lái)的帳號(hào)來(lái)編譯各種掃描工具、攻擊工具(如緩沖區(qū)溢出程序)、rootkit和sniffer、trin00守護(hù)程序、主服務(wù)器、入侵主機(jī)、目標(biāo)主機(jī)清單等等。這個(gè)系統(tǒng)往往是一些擁有很多用戶、存在管理漏洞和具有高速連接速率(以進(jìn)行文件傳輸)的大型主機(jī)系統(tǒng)。

(2)掃描網(wǎng)絡(luò)以確定潛在的入侵目標(biāo)。最有可能的是那些可能存在各種遠(yuǎn)程緩沖區(qū)溢出漏洞的主機(jī)，如wu-ftpd、RPC服務(wù)(cmsd， statd，ttdbserverd，amd)等。這些主機(jī)的操作系統(tǒng)最好是Sun Solaris 2.x和Linux，以便充分地利用各種已有的rootkits和后門程序等。

(3)在得到入侵主機(jī)清單后，編寫(xiě)實(shí)現(xiàn)入侵攻擊、監(jiān)聽(tīng)TCP端口(通常為1524“ingreslock”)和連接到該端口以確定入侵成功的腳本程序。或者通過(guò)發(fā)送電子郵件到一個(gè)免費(fèi)WEB郵箱以確認(rèn)已入侵該主機(jī)。入侵完成后將產(chǎn)生一個(gè)“被控制”主機(jī)清單，這些主機(jī)將被用于放置后門、sniffer或Trin00守護(hù)程序。

(4)從已入侵系統(tǒng)清單中選出滿足建立trin00網(wǎng)絡(luò)需要的主機(jī)，放置已編譯好的trin00守護(hù)程序。

(5)運(yùn)行DoS攻擊腳本，該腳本根據(jù)上面建立的被入侵主機(jī)清單，生成另外的腳本程序，在后臺(tái)以最快的速度自動(dòng)安裝。腳本使用“netcat”將shell腳本發(fā)送到被入侵主機(jī)的1524/TCP端口。

Rootkit是Trin00網(wǎng)絡(luò)的核心部分，常常被安裝到系統(tǒng)中以隱藏攻擊程序、文件和網(wǎng)絡(luò)連接。在許多情況下，主服務(wù)器往往被安裝在互聯(lián)網(wǎng)服務(wù)供應(yīng)商的域名服務(wù)器上，DNS服務(wù)器大量的通訊流量、大量的TCP/UDP連接，將為隱蔽Trin00的網(wǎng)絡(luò)連接、攻擊過(guò)程和文件存放提供非常有利的幫助。

2.2 TFN

TFN和Trin00一樣，本質(zhì)也是一個(gè)主/從程序構(gòu)成的網(wǎng)絡(luò)，這些程序彼此協(xié)作向受害主機(jī)發(fā)起UDP DoS洪泛攻擊。不過(guò)，TFN端口程序可以進(jìn)行大量的不同類型的攻擊，包括ICMP洪泛，SYN洪泛和Smurf攻擊。

一般情況下，TFN的攻擊過(guò)程如下:

(1)和Trin00一樣，攻擊者會(huì)使用一個(gè)通常是不安全的賬號(hào)搜集到一組安全性較差的主機(jī)。這臺(tái)主機(jī)上存儲(chǔ)著大量的信息，包括如何尋找到其他安全性較差的主機(jī)以及使用什么瀏覽器程序來(lái)危及其他主機(jī)的安全。

(2)搜集到這樣的一組主機(jī)后，攻擊者就會(huì)運(yùn)行腳本程序?qū)ζ浒l(fā)起攻擊并將它們轉(zhuǎn)換成FTN主控端或者代理端。TFN客戶端用來(lái)控制代理端序。一個(gè)主控端能夠控制多個(gè)代理端。代理端在接收到TFN客戶端提供的受攻擊主機(jī)的IP地址之后，才真正向目標(biāo)主機(jī)發(fā)送大量的DoS分組。

(3)攻擊者在主控端上發(fā)出一個(gè)命令后，也就是發(fā)起了DDoS攻擊，后果是主控端控制代理端對(duì)命令中指定的IP地址進(jìn)行DoS攻擊。

2.3 TFN2K

TFN2K在原有的TFN工具上有所改進(jìn)，它在TFN的特性上，又增加了一些新的特性。TFN2K不像TFN那樣只是簡(jiǎn)單的分組洪泛，它可以利用操作系統(tǒng)的脆弱性，使用畸形的或者不合法的分組進(jìn)行攻擊。

2.4 Stacheldraht

Stacheldraht是另外一種DDoS攻擊工具，其代碼和Trin00以及TFN工具的代碼非常相似，但加密攻擊者、Stacheldraht操縱器和可自動(dòng)升級(jí)的代理程序間網(wǎng)絡(luò)通訊等功能使得它變成了一種更加“安全”的威脅。

3 DDoS攻擊的防御

目前對(duì)于防御DDoS攻擊還沒(méi)有簡(jiǎn)單的解決方案，主要原因有以下幾點(diǎn):

(1)網(wǎng)絡(luò)上存在安全漏洞，如沒(méi)有禁止對(duì)入網(wǎng)廣播帶寬的檢測(cè)和沒(méi)有在邊界服務(wù)器上成功設(shè)定對(duì)出入口數(shù)據(jù)的過(guò)濾屬性等，都給DDoS攻擊者可乘之機(jī)

(2)攻擊者可以很容易獲得DDoS攻擊工具，這就使得DDoS攻擊比其他攻擊有更高的發(fā)生率。

(3)攻擊者可以通過(guò)偽造IP地址來(lái)隱藏他們的真實(shí)身份，加上DDoS攻擊的分布性特性，使得對(duì)DDoS攻擊源的追蹤更加困難。

(4)DDoS攻擊流沒(méi)有通用的特征可以用來(lái)檢測(cè)，對(duì)及時(shí)防御DDoS攻擊帶來(lái)了難度。

參考文獻(xiàn)

[1]王寶生，朱培棟，白建軍，譯.網(wǎng)絡(luò)安全原理與實(shí)踐[M].人民郵電出版社，2008.

[2]孫海峰，宋麗麗.淺議TCP SYN Flooding攻擊[J].計(jì)算機(jī)業(yè)現(xiàn)代化，2004，6:28.

[3]曹天杰，張永平，蘇成編著.計(jì)算機(jī)系統(tǒng)安全[M].高等教育出版社，2003.

[4]蔣平.基于小波神經(jīng)網(wǎng)絡(luò)的DDoS攻擊檢測(cè)及防范[J].計(jì)算機(jī)工程與應(yīng)用，2006，3:116.

[5]蘇衡等.MDCI一個(gè)分布式檢測(cè)DDoS攻擊的方法[J].小微型計(jì)算機(jī)系統(tǒng)27(1):58-61.

[6]孫曉峰，等．DRDoS攻擊原理及其防御技術(shù)的分析與實(shí)現(xiàn)[J]．科技創(chuàng)新導(dǎo)報(bào)，2008，2:27．