DDoS攻击
DDoS(Distributed DoS)攻击是DoS攻击的一种延伸,它威力巨大是因为其协同攻击能力。黑客使用DDoS攻击工具,可同时控制众多傀儡机,向单点目标发动攻击,并结合使用各种传统DoS攻击。 对DDoS攻击,至今没有一个很好的防御方法。
DDoS攻击模型的四种角色:
- 黑客(Intruder/Attacker/Client) 黑客操作主机的接口,向Master发送各种命令。
- 主控端(Master/Handler) 监听Intruder的命令,向各个Daemon发送攻击命令。
- 守护进程端(Daemon/Slave/Agent/Zombie/Bot/Server) 接收和响应来自Master的攻击命令,是真正攻击前锋。
- 受害者(Victim)被攻击的目标主机。
DDoS攻击有两个步骤:构造攻击网络和发起攻击。事实上,构造网络需要几个月的时间,而发起攻击后很短时间内就需要瓦解网络。
DDoS攻击的特点:
- 用于通信的ICMP消息不需要明确的端口号,避免被IDS检测到——TFN2K。
- 哪里阻止DDoS,哪里就受到攻击——防火墙。
- 源IP地址可以伪装,但攻击路径不能伪装——防火墙过滤进出的伪造源IP地址的数据包。所以攻击一旦进行之后,要立即瓦解网络,防止追踪。
- IP溯源技术只能追踪到攻击者所在的网关。
DDoS攻击有多种模式
反射式DDoS攻击模型:
反弹端口型DDoS攻击
攻击网络的构建依赖于能否与服务器建立连接请求。
1)防火墙禁止局域网主机开放端口监听,严格限制进入局域网的数据,使用IP过滤拦截数据包——构建DDoS网络越来越难。 2)本身没有固定的公有IP地址的机器通过代理网关上网,黑客无法入侵这些机器。
反弹端口技术有:
1)控制主机要与被控主机建立连接时,先将自己IP地址写入某个Web/FTP服务器可写区域中的文件。
2)被控主机定期读取该文件,主动向控制主机80端口发送连接请求,控制主机立刻与之建立连接。
蠕虫型DDoS攻击:
攻击者在扫描和捕获Zombie的过程中使用蠕虫技术。
蠕虫软件扫描有漏洞主机并入侵成功后,给该主机发送的蠕虫软件开始运行并入侵其它主机。
蠕虫优先扫描自身网段,只要一台主机被入侵,就会迅速蔓延全网。 使
用蠕虫布置DDoS的Zombie: • 数量更大、分布面更广 • 构建攻击网络快,防止被发现,被破坏可能小
IRC Bot
Bot:秘密运行在被他人控制的计算机中,接收预定义命令和执行预定义功能——傀儡主机。 IRC Bot是利用IRC协议通信和控制的Bot,连接到预设的IRC服务器并加入预设频道,接收经过认证的控制者命令,完成相应动作。 运用IRC协议实现Bot,服务器和攻击者之间的通信和控制有很多优势,是目前绝大多数Bot的类型。
DDoS的检测方法
• DNS服务器会收到大量反向解析目标IP主机名的PTR查询请求;
• 出现明显超出网络正常工作时极限的通信流量的现象;
• 检测特大型的ICMP和UDP数据包(含有加密后的目标地址和一些命令选项的控制信息);
• 检测不属于正常连接通信的TCP和UDP数据包(如对高于1024端口的连接请求)。
对策
• 解决OS/网络服务和应用的漏洞问题。
• 监视网络流量及通信过程,严格设置过滤规则。
• 优化网络结构和路由表,减少受攻击的影响。
• 使用负载均衡和蜜罐技术抵御这种攻击。
• 使用find_ddos/Zombie Zapper/DDoSPing发现系统是否被种植DDoS工具。
• 攻击发生时能迅速检测攻击并实施过滤,攻击进行时或结束后能追踪攻击源。