变异DDOS攻击方式的攻击防范探析

2012 年 12 月 5 日6930

  本文首先介绍了网络攻击对目前网络安全的影响及分布式拒绝服务攻击的工作原理和现状,接着分析了分布式拒绝服务的攻击类型,并探析新型攻击类型的核心技术和防范对策。将新型的DDOS的3 类攻击方式:基于堵流量的攻击方式、基于网站脚本的攻击方式、另类攻击方式进行了探析,最后给出攻击方式相应的安全策略和防御对策。

  一、背景

  随着网络技术的发展,人们的生活和工作已经 同它密不可分,人们在享受信息技术所带来便捷的 同时,也遭受着各类网络信息被黑客恶意攻击、信息 被窃取等不同形式的网络攻击,并且这种攻击变得 越来越严重。网络上的恶意攻击实际上就是寻找一 切可能存在的网络安全缺陷来达到对系统及资源的 损害,从而达到恶意的目的。分布式拒绝服务攻击 (以下称 DDOS) 就是从1996 年出现,在中国 2002 年开始频繁出现的一种攻击方式。

  分布式拒绝服务攻击(DDOS 全名是 Distribut- ed Denial of service),DDOS 攻击手段是在传统的DoS 攻击基础之上产生的一类攻击方式。单一的DOS攻击一般是采用一对一方式的,当攻击目标 CPU 速度低、内存小或者网络带宽小等等各项性 能指标不高它的效果是明显的。

  随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存 大大增加,同时也出现了千兆级别的网络,这使得 DOS 攻击的困难程度加大了,目标对恶意攻击包的 " 消化能力 " 加强了不少,例如:你的攻击软件 每秒钟可以发送4000 个攻击包,但我的主机与网 络带宽每秒钟可以处理 20000 个攻击包,这样一来 攻击就不会产生什么效果。 分布式拒绝服务攻击使用了分布式客户服务器 功能,加密技术及其它类的功能,它能被用于控制任 意数量的远程机器,以产生随机匿名的拒绝服务攻 击和远程访问。为了有效防范网络入侵和攻击,就必 须熟悉网络入侵和攻击的手段和原理,在此基础上 才能制定行之有效的防范对策和防御措施,从而确 保网络信息的安全。

  二、DDOS攻击的现象及攻击方式

  目前防火墙技术、性能的提升、计算机安全检测方式的多样化、网络拓扑结构的不断优化,计算机网络系统的安全性能得到了一定程度的提升。传统的DOS攻击已经很难起到多大的效果。

  2011 年5月30日,美国政府表示,已经向全球最大军火商洛克希德 - 马丁公司(以下简称“洛马”)提供帮助,克服网络攻击带来的负面影响。洛马5 月21日宣布,该公司的计算机网络持续遭遇“猛烈攻击”。美国国土安全部的一名发言人称,该部及国防部已经了解洛马遭遇网络攻击,并向该公司提供帮助。网络安全使 们每时每刻都关心的问题,因为我们的生活已经与它有越来越多的交集。被DDOS攻击时的现象是能瞬间造成对方电脑死机或者假死,我曾经测试过,攻击不到1秒钟,电脑就已经死机和假死,鼠标图标不动了,系统发出滴滴滴滴的声音,主要攻击方式包括:TCP 全连接攻击、SYN 变种攻击、TCP混乱数据包攻击、针对用UDP协议的攻击、针对WEB Server的多连接攻击及变种攻击、针对游戏服务器的攻击。新型的DDOS攻击方式大致分为3类:基于堵流量的攻击方式、基于网站脚本的攻击方式、另类攻击方式。为便于说明, 以下特别以寄信者(攻击者)—邮局(硬件防火墙) —收信者(服务器)作为事例辅助说明。

  (一)基于堵流量的攻击方式

  这类攻击方式伤人先伤己,牺牲自己的带宽流 量去堵别人的带宽流量,造成他人无法访问。就好象 某个寄信者通过邮局给你寄了数量极其庞大的垃圾 信件,而收件者的信箱容量是有限的,从而导致收信 者的信箱被塞满,其他的正常信件无法投递过来。

  1.SYN 变种攻击模式

  这种攻击方式发送伪造源 IP 的 SYN 数据包,与传统的 SYN 攻击不同的是,它的数据包不是过去 的六十四字节,而是多达上千字节,这样的攻击方式 会造成一些防火墙处理错误进而导致锁死,在消耗 掉服务器 CPU 和内存的同时还会阻塞网络带宽。除 此之外,还可以通过发送伪造源 IP 的 TCP 数据包, 并且在 TCP 头的 TCP 标志位进行随机设置,造成其 标志位的混乱。而再强大的防火墙的数据吞吐量也 是有限的,因此在这样的攻击方式面前,防火墙常常无计可施。

  2.TCP 并发攻击模式

  每台电脑的套接字数量都是有限的,Windows 规定每个应用程序最大使用的套接字数量是 1024 个。这种攻击方式就是利用了Windows的这一特 性,在短时间内不断对目标主机的特定端口创建TCP 连接,消耗其套接字资源,直到其用尽为止。这样也就导致此端口无法正常提供服务了。这种攻击是为了绕过常规防火墙的检查而设计的,因为常规的防火墙大多具备如SYN、UDP、ICMP 等传统的DDOS 攻击的防御过滤功能,但对于正常的TCP连接是放过的。

  3.分布式反射拒绝服务攻击(DRDOS)

  DRDOS是英文“Distributed Reflection Denial of Servie Attack”的缩写。根据TCP三次握手的规则,一台主机向另外一台目标主机发送了 SYN 请求后,目标主机会根据 SYN 请求包的源地址发出SYN+ACK. 82. 包来响应这个请求。DRDOS就是利用了这个规则的 缺陷,将请求包的源地址伪造为被害机器的地址,那么目标服务器就会将 SYN+ACK 应答包发往被害机器。当然,以现在的硬件条件,这么点的数据包对于被害主机的影响微乎其微。可是,当被害者被多个网 络核心基础设施路由器攻击,而这些连接又都是完 全合法的SYN+ACK 连接应答包。路由器使用BGP (BGP 是中介路由器支持的“边界网关协议”Border Gateway Protocol) 与它们的邻居进行即时的信息交 流来交换它们的路由表,这是为了通知它们彼此路 由器可以在哪个 IP 范围内进行转交。BGP 自身规则 本没有问题,每个良好连接的中介器都会接受它们 179 端口上的连接。也就是说,任何一个SYN数据包到达一个网络路由器上后,都会引出一个该路由 的 SYN+ACK 应答包来,从而利用 BGP 的特性实现 了反射放大,形成洪水攻击,造成该主机忙于处理这 些回应而最终形成拒绝式服务攻击。这好比给某人 写信时,故意将寄信人的地址伪造为目标 A 的地 址,而收信人收到信后按照 A 的地址回信,从而造 成目标 A 的信箱被大量的“回信”所阻塞。

  4.针对游戏服务器的攻击

  网络游戏开发商通常为了吸引游戏玩家而设计 多种多样的游戏元素,其协议设计非常复杂,这便给攻击者提供了可乘之机,在提供丰富游戏元素的同 时也给攻击者提供了多种攻击手段。当前最流行的 一种攻击方式叫做“假人攻击”,这种攻击方式是通 过技术手段,完全模拟游戏客户端的注册、登陆、建立人物、进入游戏活动的整个过程协议数据,从数据协议层面模拟正常的游戏玩家。此攻击方式即使是在一台奔腾 3 的机器上也能轻易地模拟出数百个游 戏玩家,从而可以利用傀儡主机在极短时间内制造 出大量的虚假玩家来消耗游戏服务器资源,但这种 攻击方式是很难从游戏数据包来分析出哪些是攻击 者哪些是正常玩家,因为在服务端看来,二者的数据包是完全一样的。

  (二)基于网站脚本的攻击方式

  基于网站脚本的攻击方式主要是针对 ASP、 PHP、JSP 等脚本语言制作,并调用ACCESS、 MSSQL、MYSQL、ORACLE 等数据库的网页系统设计的。相比较于基于堵流量的攻击方式,此类方式主要是通过发送网页请求来消耗服务器系统资源(CPU、内存),形成拒绝式服务,它是通过自己极少 资源的消耗造成对方较大的资源消耗。

  1.CC 攻击

  CC 攻击全称是 ChallengeCollaPsar(cc 拒绝服务 攻击), CC 攻击的原理是,首先和服务器建立正常的TCP 连接,并通过多台主机(主要是 HTTP、SOCKS5 代理服务器)不断地向数据库提交注册、查询、刷新等消耗资源的命令,且保持连接,使得服务器无法释放资源,最终将服务器的资源消耗掉从而导致拒绝 服务。就象你找写手不断地给一个人写信,整个邮局 为你一个人的信件而奔波,无暇顾及其他人的信件, 导致对方无法收到其他人的信件了。这种攻击和正 常访问网站是一样的,只是瞬间访问量增加几十倍 甚至上百倍,有些防火墙可以通过限制每个连接过来的IP连接数来防护,但是这样会造成正常用户稍微多打开几次网站就会被防火墙封锁,而且 CC 攻 击往往是借助代理服务器的网页代理服务来发动攻 击的,这种封锁方式意义不大。

  2.变异CC攻击

  传统的CC攻击并非无懈可击,它的特征是很 明显的,攻击是建立在代理资源上,因此有很有针对 性的防御措施。所谓变异 CC,核心是在构造提交数 据的时候把一切可能被服务器支持的操作都加进 去,想办法让服务器多耗资源。当然,这其中针对防 御设备的安全策略,可以继续进行变异。比如不发送 GET 请求,而是发送乱七八糟的字符。这么做是因 为大部分防火墙分析攻击数据包前三个字节是 GET 字符,然后来进行 httP 协议的分析。这种攻击 不用发送 GET 请求就可以绕过防火墙到达服务器, 且同样可以消耗大量服务器资源。

  

0 0