DDos攻擊原理以及實(shí)現(xiàn)

1、DDoS攻擊概念DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源,從而使合法用戶無法得到服務(wù)的響應(yīng)。DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的,當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)的處理能力迅速增長,內(nèi)存大大增加,同時(shí)也出現(xiàn)了千兆級別的網(wǎng)絡(luò),這使得DoS攻擊的困難程度加大了 - 目標(biāo)對惡意攻擊包的"消化能力"加強(qiáng)了不少,例如你的攻擊軟件每秒鐘可以發(fā)送3,000個(gè)攻擊包,但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以

2、處理10,000個(gè)攻擊包,這樣一來攻擊就不會產(chǎn)生什么效果。這時(shí)侯分布式的拒絕服務(wù)攻擊手段(DDoS就應(yīng)運(yùn)而生了。你理解了DoS攻擊的話,它的原理就很簡單。如果說計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了10 倍,用一臺攻擊機(jī)來攻擊不再能起作用的話,攻擊者使用10臺攻擊機(jī)同時(shí)攻擊呢?用100臺呢?DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻,以比從前更大的規(guī)模來進(jìn)攻受害者。高速廣泛連接的網(wǎng)絡(luò)給大家?guī)砹朔奖?也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時(shí)代時(shí),黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí),總是會優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器,因?yàn)榻?jīng)過路由器的跳數(shù)少,效果好。而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以G為級別的,大城市之間更

3、可以達(dá)到2.5G的連接,這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起,攻擊者的傀儡機(jī)位置可以在分布在更大的范圍,選擇起來更靈活了。被DDoS攻擊時(shí)的現(xiàn)象被攻擊主機(jī)上有大量等待的TCP連接網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包,源地址為假制造高流量無用數(shù)據(jù),造成網(wǎng)絡(luò)擁塞,使受害主機(jī)無法正常和外界通訊利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷,反復(fù)高速的發(fā)出特定的服務(wù)請求,使受害主機(jī)無法及時(shí)處理所有正常請求嚴(yán)重時(shí)會造成系統(tǒng)死機(jī)攻擊運(yùn)行原理 如圖一,一個(gè)比較完善的DDoS攻擊體系分成四大部分,先來看一下最重要的第2和第3部分:它們分別用做控制和實(shí)際發(fā)起攻擊。請注意控制機(jī)與攻擊機(jī)的區(qū)別,對第4部分的受害者來說,D

4、DoS的實(shí)際攻擊包是從第3部分攻擊傀儡機(jī)上發(fā)出的,第2部分的控制機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。對第2和第3部分計(jì)算機(jī),黑客有控制權(quán)或者是部分的控制權(quán),并把相應(yīng)的DDoS程序上傳到這些平臺上,這些程序與正常的程序一樣運(yùn)行并等待來自黑客的指令,通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時(shí),這些傀儡機(jī)器并沒有什么異常,只是一旦黑客連接到它們進(jìn)行控制,并發(fā)出指令的時(shí)候,攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。有的朋友也許會問道:"為什么黑客不直接去控制攻擊傀儡機(jī),而要從控制傀儡機(jī)上轉(zhuǎn)一下呢?"。這就是導(dǎo)致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說,肯定不愿意被捉到(

5、我在小時(shí)候向別人家的雞窩扔石頭的時(shí)候也曉得在第一時(shí)間逃掉,呵呵,而攻擊者使用的傀儡機(jī)越多,他實(shí)際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺機(jī)器后,高水平的攻擊者會首先做兩件事:1. 考慮如何留好后門(我以后還要回來的哦!2. 如何清理日志。這就是擦掉腳印,不讓自己做的事被別人查覺到。比較不敬業(yè)的黑客會不管三七二十一把日志全都刪掉,但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒了就會知道有人干了壞事了,頂多無法再從日志發(fā)現(xiàn)是誰干的而已。相反,真正的好手會挑有關(guān)自己的日志項(xiàng)目刪掉,讓人看不到異常的情況。這樣可以長時(shí)間地利用傀儡機(jī)。但是在第3部分攻擊傀儡機(jī)上清理日志實(shí)在是一項(xiàng)龐大的工程,即使在有很好的日志清理工具的幫

6、助下,黑客也是對這個(gè)任務(wù)很頭痛的。這就導(dǎo)致了有些攻擊機(jī)弄得不是很干凈,通過它上面的線索找到了控制它的上一級計(jì)算機(jī),這上級的計(jì)算機(jī)如果是黑客自己的機(jī)器,那么他就會被揪出來了。但如果這是控制用的傀儡機(jī)的話,黑客自身還是安全的?？刂瓶軝C(jī)的數(shù)目相對很少,一般一臺就可以控制幾十臺攻擊機(jī),清理一臺計(jì)算機(jī)的日志對黑客來講就輕松多了,這樣從控制機(jī)再找到黑客的可能性也大大降低。黑客是如何組織一次DDoS攻擊的?這里用"組織"這個(gè)詞,是因?yàn)镈DoS并不象入侵一臺主機(jī)那樣簡單。一般來說,黑客進(jìn)行DDoS攻擊時(shí)會經(jīng)過這樣的步驟:1. 搜集了解目標(biāo)的情況下列情況是黑客非常關(guān)心的情報(bào):被攻擊目標(biāo)主機(jī)

7、數(shù)目、地址情況目標(biāo)主機(jī)的配置、性能目標(biāo)的帶寬對于DDoS攻擊者來說,攻擊互聯(lián)網(wǎng)上的某個(gè)站點(diǎn),如,有一個(gè)重點(diǎn)就是確定到底有多少臺主機(jī)在支持這個(gè)站點(diǎn),一個(gè)大的網(wǎng)站可能有很多臺主機(jī)利用負(fù)載均衡技術(shù)提供同一個(gè)網(wǎng)站的www服務(wù)。以yahoo為例,一般會有下列地址都是提供服務(wù)的:7890346如果要進(jìn)行DDoS攻擊的話,應(yīng)該攻擊哪一個(gè)地址呢?使7這臺機(jī)器癱掉,但其他的主機(jī)還是能向外提供www服務(wù),所以想讓別人

8、訪問不到的話,要所有這些IP地址的機(jī)器都癱掉才行。在實(shí)際的應(yīng)用中,一個(gè)IP地址往往還代表著數(shù)臺機(jī)器:網(wǎng)站維護(hù)者使用了四層或七層交換機(jī)來做負(fù)載均衡,把對一個(gè)IP地址的訪問以特定的算法分配到下屬的每個(gè)主機(jī)上去。這時(shí)對于DDoS攻擊者來說情況就更復(fù)雜了,他面對的任務(wù)可能是讓幾十臺主機(jī)的服務(wù)都不正常。所以說事先搜集情報(bào)對DDoS攻擊者來說是非常重要的,這關(guān)系到使用多少臺傀儡機(jī)才能達(dá)到效果的問題。簡單地考慮一下,在相同的條件下,攻擊同一站點(diǎn)的2臺主機(jī)需要2臺傀儡機(jī)的話,攻擊5臺主機(jī)可能就需要5臺以上的傀儡機(jī)。有人說做攻擊的傀儡機(jī)越多越好,不管你有多少臺主機(jī)我都用盡量多的傀儡機(jī)來攻就是了,反正傀儡機(jī)超過了

9、時(shí)候效果更好。但在實(shí)際過程中,有很多黑客并不進(jìn)行情報(bào)的搜集而直接進(jìn)行DDoS的攻擊,這時(shí)候攻擊的盲目性就很大了,效果如何也要靠運(yùn)氣。其實(shí)做黑客也象網(wǎng)管員一樣,是不能偷懶的。一件事做得好與壞,態(tài)度最重要,水平還在其次。2. 占領(lǐng)傀儡機(jī)黑客最感興趣的是有下列情況的主機(jī):鏈路狀態(tài)好的主機(jī)性能好的主機(jī)安全管理水平差的主機(jī)這一部分實(shí)際上是使用了另一大類的攻擊手段:利用形攻擊。這是和DDoS并列的攻擊方式。簡單地說,就是占領(lǐng)和控制被攻擊的主機(jī)。取得最高的管理權(quán)限,或者至少得到一個(gè)有權(quán)限完成DDoS攻擊任務(wù)的帳號。對于一個(gè)DDoS攻擊者來說,準(zhǔn)備好一定數(shù)量的傀儡機(jī)是一個(gè)必要的條件,下面說一下他是如何攻擊并占

10、領(lǐng)它們的。首先,黑客做的工作一般是掃描,隨機(jī)地或者是有針對性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機(jī)器,象程序的溢出漏洞、cgi、Unicode、 ftp、數(shù)據(jù)庫漏洞(簡直舉不勝舉啊,都是黑客希望看到的掃描結(jié)果。隨后就是嘗試入侵了,具體的手段就不在這里多說了,感興趣的話網(wǎng)上有很多關(guān)于這些內(nèi)容的文章。總之黑客現(xiàn)在占領(lǐng)了一臺傀儡機(jī)了!然后他做什么呢?除了上面說過留后門擦腳印這些基本工作之外,他會把DDoS攻擊用的程序上載過去,一般是利用ftp。在攻擊機(jī)上,會有一個(gè)DDoS的發(fā)包程序,黑客就是利用它來向受害目標(biāo)發(fā)送惡意攻擊包的。3. 實(shí)際攻擊經(jīng)過前2個(gè)階段的精心準(zhǔn)備之后,黑客就開始瞄準(zhǔn)目標(biāo)準(zhǔn)備發(fā)射了

11、。前面的準(zhǔn)備做得好的話,實(shí)際攻擊過程反而是比較簡單的。就象圖示里的那樣,黑客登錄到做為控制臺的傀儡機(jī),向所有的攻擊機(jī)發(fā)出命令:"預(yù)備 ,瞄準(zhǔn),開火!"。這時(shí)候埋伏在攻擊機(jī)中的DDoS攻擊程序就會響應(yīng)控制臺的命令,一起向受害主機(jī)以高速度發(fā)送大量的數(shù)據(jù)包,導(dǎo)致它死機(jī)或是無法響應(yīng)正常的請求。黑客一般會以遠(yuǎn)遠(yuǎn)超出受害方處理能力的速度進(jìn)行攻擊,他們不會"憐香惜玉"。老到的攻擊者一邊攻擊,還會用各種手段來監(jiān)視攻擊的效果,在需要的時(shí)候進(jìn)行一些調(diào)整。簡單些就是開個(gè)窗口不斷地ping目標(biāo)主機(jī),在能接到回應(yīng)的時(shí)候就再加大一些流量或是再命令更多的傀儡機(jī)來加入攻擊。DDoS攻擊

12、實(shí)例 - SYN Flood攻擊SYN-Flood是目前最流行的DDoS攻擊手段,早先的DoS的手段在向分布式這一階段發(fā)展的時(shí)候也經(jīng)歷了浪里淘沙的過程。SYN-Flood的攻擊效果最好,應(yīng)該是眾黑客不約而同選擇它的原因吧。那么我們一起來看看SYN-Flood的詳細(xì)情況。Syn Flood原理 - 三次握手Syn Flood利用了TCP/IP協(xié)議的固有漏洞。面向連接的TCP三次握手是Syn Flood 存在的基礎(chǔ)。TCP連接的三次握手 圖二 TCP三次握手如圖二,在第一步中,客戶端向服務(wù)端提出連接請求。這時(shí)TCP SYN標(biāo)志置位?？蛻舳烁嬖V服務(wù)端序列號區(qū)域合法,需要檢查。客戶端在TCP報(bào)頭的序列

13、號區(qū)中插入自己的ISN。服務(wù)端收到該TCP分段后,在第二步以自己的ISN回應(yīng)(SYN 標(biāo)志置位,同時(shí)確認(rèn)收到客戶端的第一個(gè)TCP分段(ACK標(biāo)志置位。在第三步中,客戶端確認(rèn)收到服務(wù)端的ISN(ACK標(biāo)志置位。到此為止建立完整的TCP連接,開始全雙工模式的數(shù)據(jù)傳輸過程。Syn Flood 攻擊者不會完成三次握手 圖三 Syn Flood 惡意地不完成三次握手 假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了 SYN 報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出 SYN+ACK 應(yīng)答報(bào)文后是無法收到客戶端的 ACK 報(bào)文的 （第三次握手無 法完成） ， 這種情況下服務(wù)器端一般會重試 （再次發(fā)送 SYN+ACK 給客戶端）并等待一段時(shí)間 后丟棄這個(gè)未完成的連接，這段時(shí)間的長度我們稱為 SYN Timeout，一般來說這 個(gè)時(shí)間是分鐘的數(shù)量級（大約為 30 秒-2 分鐘）；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器 的一個(gè)線程等待 1 分鐘并不是什么很大的問題，但如 果有一個(gè)惡意的攻擊者大 量模擬這種情況， 服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的 資源-數(shù)以萬計(jì)的半連接，即使是簡單的保存并遍歷 也會消耗非常多的 CPU 時(shí)間