DDOS拒绝服务攻击的原理Word文档格式.docx
《DDOS拒绝服务攻击的原理Word文档格式.docx》由会员分享,可在线阅读,更多相关《DDOS拒绝服务攻击的原理Word文档格式.docx(20页珍藏版)》请在冰豆网上搜索。
(1)服务——是指系统提供的,用户在对其使用中会受益的功能。
(2)拒绝服务(DoS)——任何对服务的干涉如果使得其可用性降低或者失去可用性均称为拒绝服务。
如果一个计算机系统崩溃或其带宽耗尽或其硬盘被填满,导致其不能提供正常的服务,就构成拒绝服务。
(3)拒绝服务(DoS)攻击——是指攻击者通过某种手段,有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低。
传统的计算机安全包括三个属性:
保密性、完整性和可用性。
对于保密性和完整性的攻击可以通过攻击一个东西即密码而获得成功。
而对可用性的攻击,则有很多种途径。
例如,攻击者可以通过发送大量的数据到受害者,达到拒绝服务攻击的目的,这种攻击在2000年2月针对Yahoo、Amazon、eBay等以后受到广泛的关注。
而如果攻击者可以介入到受害者及相应的服务之间,攻击者无须发送数据风暴即可实施DoS攻击。
(4)分布式拒绝服务(DDoS)攻击——如果处于不同位置的多个攻击者同时向一个或数个目标发起攻击,或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。
图3.1所示为典型的DDoS的示意图,其中的攻击者可以有多个。
一般而言,除了规模以外,DDoS攻击与DoS攻击没有本质上的区别,严格而言,DDoS攻击也是DoS攻击,只是把多个攻击主机(一个或者数个攻击者控制下的分处于不同网络位置的多个攻击主机)发起的协同攻击特称为DDoS攻击。
(5)DDoS网络——指DDoS攻击中牵涉的各方,它由攻击者(Attacker、Client)、控制台(Master、Handler)、攻击主机(傀儡机、Bot、Zombie)和受害者组成,如图3.1所示。
一个攻击者可以控制多个控制台,一个控制台一般控制多个攻击主机。
图3.1
典型的DDoS攻击示意图
为了攻击效果的缘故,受害者通常只有一个或是有紧密联系的多个(如同一个组织机构的数个网络或数台服务器)。
比如,美国商务部拥有的全球根域名服务器(RootServer)共有13个,从美国东部时间2002年10月21日下午5点左右起,攻击者就同时对这13个域名服务器进行了持续1小时的DDoS攻击,结果只有4到5个服务器经受住了攻击并能继续提供服务,其余的服务器都瘫痪了。
在这次攻击中,普通的网络用户的服务却没有受到影响[McGuire02]。
在此次事件中,攻击者很清楚,他们只有同时使得这13个服务器均不能使用,才能造成最严重的危害,单纯地瘫痪其中少数几个,意义不大,因为这些服务器相互间是冗余的。
在此次攻击中,如果单独来看,每个根域名服务器都是一个受害者,从而就有13个受害者;
如果因为这13个服务器提供的是同样的服务而把它们看做一个整体,则只有一个受害者。
2.DoS攻击与DDoS攻击的比较
广义而言,DDoS攻击属于DoS攻击,狭义而言,DoS指的是单一攻击者针对单一受害者的攻击,如图3.2所示,这是传统的拒绝服务攻击。
而DDoS攻击则是多个攻击者向同一个受害者发起攻击,其具有攻击来源的分散性和攻击力度的汇聚性,而攻击力度比单一的DoS攻击大很多,这是相对较新型的拒绝服务攻击。
DDoS攻击力度的汇聚性如图3.3所示。
DDoS攻击一般都是用于一些需要靠规模才能奏效的攻击种类,如SYN风暴、UDP风暴等,对于只需少数几个数据包即可奏效的攻击(即后面将要讨论的剧毒包攻击),虽然也可以采用分布式,这时候的“分布式”却没有什么实质的意义,因为这是一个主机就可以轻松完成的工作,自然无须多个主机协同进行。
注:
分布式攻击不一定是拒绝服务攻击,其他类型的分布式攻击也是存在的。
分布式攻击通常有两类,即资源消耗型和隐蔽型,当然,对于其他的非资源消耗型或者无意隐蔽攻击者的一些攻击,也可以以分布式的方式进行,不过,这时候是否采用分布式,没有多大的区别。
资源消耗型分布式攻击会消耗攻击者大量的资源,这样分布式就有了充分的意义,当一个攻击点的力量不足时,由多个点同时发起攻击,分布式起到将多方资源集中利用的作用。
有的分布式攻击还会消耗受害者资源,如DDoS攻击。
隐蔽型分布式攻击中,分布式起到掩盖攻击行为和隐藏攻击来源的作用,如结合慢速扫描的分布式扫描攻击以及以分布式进行的对认证(口令)的攻击,这时候,分布式的目的有:
逃避入侵检测,加快速度,隐藏攻击来源等。
但是,使用分布式的方式对一个口令文件的破解则不完全是分布式攻击,严格地说,这是一种分布式计算,分布式攻击的一个重要特征是协同,而在把口令文件分为几个独立的部分分别在几个平台上计算的过程中,各平台间没有充分体现协同的意义。
慢速扫描有时能够逃避入侵检测,但是单个的慢速扫描效率很低,结合分布式以后,既可逃避检测,又能达到需要的扫描速度。
在分布式的口令攻击中,由于口令认证系统通常会设置失败口令的输入次数,当从一个客户端的口令输入的出错次数在一定时间内达到预定阈值以后,认证系统会暂停该客户端的服务并报警①,这样,攻击者必须使得一定时间内从一个攻击点进行的口令猜测次数小于既定阈值,以分布式的方式,从多个攻击点协同地进行口令攻击可以达到攻击者需要的单位时间内口令猜测的次数。
2005年2月15日,在美国SanFrancisco举行的RSA2005会议上,美国在线(AmericaonLine,AOL)公司的DanielRussell以“DefendYourApplicationsAgainstDistributedAttacks:
SuccessStoriesfromAOL”为题讲述了一个采用分布式方式攻击AOL的认证系统的例子。
通常,为了抵抗口令猜测等攻击,认证服务器在收到来自于同一个主机(IP)的数次认证失败以后,会暂时停止对该主机(IP)的服务,这样通过一台主机对认证系统攻击的有效性是有限的。
Russell的例子中,在认证系统的审计记录中发现短时间内出现了来自于数百个IP的登录失败记录,而对于每一个IP的登录失败次数又都很少。
这显然是攻击者通过分布式的方式攻击认证系统,以期能够登录,获得应用系统提供的服务。
这样,由于每个IP的登录失败次数较少,攻击者既绕过了失败次数的限制,提高了攻击的成功率,同时,其攻击行为也可能不会被一些监控系统如入侵检测系统所注意,因为这些系统通常是对同一个IP设置门限值作为判断标准的。
小结
本章从拒绝服务攻击的目的开始,介绍了拒绝服务攻击的一些基本知识,包括一些定义等,然后研究了拒绝服务攻击的运行机制以及拒绝服务攻击的分类,分布式拒绝服务攻击的典型过程等。
图3.2
一对一的DoS攻击
图3.3
DsDoS攻击力度的汇聚性
3.3
拒绝服务攻击的分类
近些年来,随着人们不断加强对DoS的防御,设计出应对DoS攻击的各种技术手段,同时,DoS攻击的手段也在不断地变化、增多,即使是同一种攻击方式,攻击者改变某些攻击特征,就可以躲过某些防御措施,从而衍生出了各种各样的DoS攻击模式。
这些问题,一方面阻碍了研究者对攻击现象与特征的深入理解,另一方面,也对人们根据攻击特征的异同来实施不同的防御手段、并对防御措施的有效性进行评估带来了困难。
如果了解了攻击者可以采取的攻击类型,就可以有针对性地应对这些攻击。
而对拒绝服务攻击的分类研究则是深入了解拒绝服务攻击的有效途径。
因此,本节讨论对拒绝服务攻击的分类。
拒绝服务攻击的分类方法有很多种,从不同的角度可以进行不同的分类,而不同的应用场合需要采用不同的分类。
拒绝服务攻击可以是物理的(硬件的),也可以是逻辑的(LogicAttack),也称为软件的(SoftwareAttack)。
物理形式的攻击如偷窃、破坏物理设备,破坏电源等。
物理攻击属于物理安全的范围,不在本书的讨论之列。
本书中只讨论后一种形式的攻击。
按攻击的目标又可分为节点型和网络连接型,前者旨在消耗节点(主机Host)资源,后者旨在消耗网络连接和带宽。
而节点型又可以进一步细分为主机型和应用型,主机型攻击的目标主要是主机中的公共资源如CPU、磁盘等,使得主机对所有的服务都不能响应;
而应用型则是攻击特定的应用,如邮件服务、DNS服务、Web服务等。
受攻击时,受害者上的其他服务可能不受影响或者受影响的程度较小(与受攻击的服务相比而言)。
按照攻击方式来分可以分为:
资源消耗、服务中止和物理破坏。
资源消耗指攻击者试图消耗目标的合法资源,例如网络带宽、内存和磁盘空间、CPU使用率等。
服务中止则是指攻击者利用服务中的某些缺陷导致服务崩溃或中止。
物理破坏则是指雷击、电流、水火等物理接触的方式导致的拒绝服务攻击。
按受害者类型可以分为服务器端拒绝服务攻击和客户端拒绝服务攻击。
前者是指攻击的目标是特定的服务器,使之不能提供服务(或者不能向某些客户端提供某种服务),例如攻击一个Web服务器使之不能访问;
后者是针对特定的客户端即用户,使之不能使用某种服务,例如游戏、聊天室中的“踢人”,即不让某个特定的用户登录游戏系统或聊天室中,使之不能使用系统的服务。
大多数的拒绝服务攻击(无论从种类还是发生的频率角度)是针对服务器的,针对客户端的攻击一般发生得少些,同时因为涉及面小,其危害也会小很多。
按攻击是否直接针对受害者,可以分为直接拒绝服务攻击和间接拒绝服务攻击,如要对某个E-mail账号实施拒绝服务攻击,直接对该账号用邮件炸弹攻击就属于直接攻击。
为了使某个邮件账号不可用,攻击邮件服务器而使整个邮件服务器不可用就是间接攻击。
按攻击地点可以分为本地攻击和远程(网络)攻击,本地攻击是指不通过网络,直接对本地主机的攻击,远程攻击则必须通过网络连接。
由于本地攻击要求攻击者与受害者处于同一地,这对攻击者的要求太高,通常只有内部人员能够做到。
同时,由于本地攻击通常可以通过物理安全措施以及对内部人员的严格控制予以解决,因此本书中主要研究基于网络的拒绝服务攻击。
以上简要介绍了对拒绝服务攻击的常用分类,下面介绍研究人员提出的两种分类方法。
3.3.1
拒绝服务攻击的属性分类法
J.Mirkovic和P.Reiher[Mirkovic04]提出了拒绝服务攻击的属性分类法,即将攻击属性分为攻击静态属性、攻击动态属性和攻击交互属性三类,根据DoS攻击的这些属性的不同,就可以对攻击进行详细的分类。
凡是在攻击开始前就已经确定,在一次连续的攻击中通常不会再发生改变的属性,称为攻击静态属性。
攻击静态属性是由攻击者和攻击本身所确定的,是攻击基本的属性。
那些在攻击过程中可以进行动态改变的属性,如攻击的目标选取、时间选择、使用源地址的方式,称为攻击动态属性。
而那些不仅与攻击者相关而且与具体受害者的配置、检测与服务能力也有关系的属性,称为攻击交互属性。
1.攻击静态属性(Static)
攻击静态属性主要包括攻击控制模式、攻击通信模式、攻击技术原理、攻击协议和攻击协议层等。
(1)攻击控制方式(ControlMode)
攻击控制方式直接关系到攻击源的隐蔽程度。
根据攻击者控制攻击机的方式可以分为以下三个等级:
直接控制方式(Direct)、间接控制方式(Indirect)和自动控制方式(Auto)。
最早的拒绝服务攻击通常是
升级会员 