论文部分内容阅读
中科院高能所计算中心
分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是一种崭露头角的攻击方法,最早出现于1999年夏天。当时还只是在黑客站点上进行的一种理论上的探讨。从2000年2月开始,这种攻击方法开始大行其道。在2月7日到11日的短短几天内,黑客连续攻击了包括Yahoo、Buy.com、eBay、Amazon、CNN等许多知名网站,致使有的站点停止服务达几个小时甚至几十个小时之久。国内的新浪等站点也遭到同样的攻击,这次的攻击浪潮在媒体上造成了巨大的影响,以至于美国总统都不得不亲自过问。
分布式拒绝服务攻击采用了一种比较特别的体系结构,从许多分布的主机同时攻击一个目标。从而导致目标瘫痪。目前所使用的入侵监测和过滤方法对这种类型的入侵都不起作用。所以,对这种攻击还无计可施。为了找出这种攻击的漏洞,从而有效地监测和捕获这种入侵,必须对其所用的工具进行具体分析。
DDoS的体系结构
DDoS采用一种三层客户服务器结构。如图所示:
最下层是攻击的执行者。这一层由许多网络主机构成,其中包括Unix、Linux、Mac等各种各样的操作系统。攻击者通过各种办法获得主机的登录权限,并在上面安装攻击器程序。这些攻击器程序中一般内置了上面一层的某一个或某几个攻击服务器的地址,其攻击行为受到攻击服务器的直接控制。
攻击服务器。攻击服务器的主要任务是将控制台的命令发布到攻击执行器上。这些服务器与攻击执行器一样,安装在一些被侵入的无关主机上。
攻击主控台。攻击主控台可以是网络上的任何一台主机,甚至可以是一个活动的便携机。它的作用就是向第二层的攻击服务器发布攻击命令。
DDoS的工作原理分析
有许多无关主机可以支配是整个攻击的前提。当然,这些主机与目标主机之间的联系越紧密,网络带宽越宽,攻击效果越好。通常来说,至少要有数百台甚至上千台主机才能达到满意的效果。例如,据估计,攻击Yahoo!站点的主机数目达到了3000台以上,而网络攻击数据流量达到了1GB/秒。
通常来说,攻击者是通过常规方法,例如系统服务的漏洞或者管理员的配置错误等方法来进入这些主机的。一些安全措施较差的小型站点以及单位中的服务器往往是攻击者的首选目标。这些主机上的系统或服务程序往往得不到及时更新,从而将系统暴露在攻击者面前。在成功侵入后,攻击者照例要安装一些特殊的后门程序,以便自己以后可以轻易进入系统,随着越来越多的主机被侵入,攻击者也就有了更大的舞台。他们可以通过网络监听等蚕食的方法进一步扩充被侵入的主机群。
黑客所作的第二步是在所侵入的主机上安装攻击软件。这里,攻击软件包括攻击服务器和攻击执行器。其中攻击服务器仅占总数的很小一部分,一般只有几台到几十台左右。设置攻击服务器的目的是隔离网络联系,保护攻击者,使其不会在攻击进行时受到监控系统的跟踪,同时也能够更好的协调进攻。因为攻击执行器的数目太多,同时由一个系统来发布命令会造成控制系统的网络阻塞,影响攻击的突然性和协同性。而且,流量的突然增大也容易暴露攻击者的位置和意图。
剩下的主机都被用来充当攻击执行器。执行器都是一些相对简单的程序,它们可以连续向目标发出大量的连接请求而不作任何回答。现在已知的能够执行这种任务的程序主要包括trin00、TFN(Tribe Flood Network)、randomizer以及它们的一些改进版本,如TFN2k等。
黑客所作的最后一步,就是从攻击控制台向各个攻击服务器发出对特定目标的攻击命令。由于攻击主控台的位置非常灵活,而且发布命令的时间很短,所以非常隐蔽,难以定位。一旦攻击的命令传送到服务器,主控台就可以关闭或脱离网络,以逃避追踪。接着,攻击服务器将命令发布到各个攻击器。
在攻击器接到攻击命令后,就开始每一个攻击器都会向目标主机发出大量的服务请求数据包。这些数据包经过伪装,无法识别它的来源。而且,这些包所请求的服务往往要消耗较大的系统资源,如CPU或网络带宽。如果数百台甚至上千台攻击器同时攻击一个目标,就会导致目标主机网络和系统资源的耗尽,从而停止服务。有时,甚至会导致系统崩溃。另外,这样还可以阻塞目标网络的防火墙和路由器等网络设备,进一步加重网络拥塞状况。这样,目标主机根本无法为用户提供任何服务。
攻击者所用的协议都是一些非常常见的协议和服务。这样,系统管理员就难于区分恶意请求和正常连接请求,从而无法有效分离出攻击数据包。
可能的解决措施
从目前现有的技术角度来讲,还没有一项解决办法针对DDoS非常有效。所以,防止DDoS攻击的最佳手段就是防患于未然。也就是说,首先要保证一般的外围主机和服务器的安全,使攻击者无法获得大量的无关主机,从而无法发动有效攻击。一旦单位内部的主机或临近网络的主机被黑客侵入,那么其他的主机被侵入的危险会变得很大。同时,如果网络内部或邻近的主机被用来对本机进行DDoS攻击,攻击的效果会更明显。所以,必须保证这些外围主机和网络的安全。尤其是那些拥有高带宽和高性能服务器的网络,往往是黑客的首选目标。
保护这些主机最好的办法就是及时了解有关本操作系统的安全漏洞以及相应的安全措施。及时安装补丁程序并注意定期升级系统软件,以免给黑客以可乘之机。
另外,应该定期使用漏洞扫描软件对内部网络进行检查。这类软件可以全面检查网络中现有的和潜在的漏洞,有效提高系统安全性能。中科网威公司的火眼2.0网络扫描器可以有效地扫描内部网络和主机,检查网络服务和主机系统中的漏洞。并且为管理员提供相关的解决办法。
第二点就是要设置好单位内部的网络设备。最重要的就是路由器和防火墙。首先,要保证这些设备本身的安全。并对这些设备进行正确配置,使得无论是进入还是送出防火墙的数据都经过严格过滤。这样,不仅使得经过伪装的数据包难以进入网络,加强系统坚固性,而且还可以防止自己的系统被黑客利用。另外,如果仅有具有真实地址的数据包可以进入网络,就可以很容易根据这些数据的来源进行逆向跟踪,从而抓获攻击者。
最后,根据情况使用有针对性的反黑客工具。目前已经有一些工具软件可以检查特定系统是否已经被安装了DDoS的攻击器和攻击服务器,例如FBI的find_ddos工具(foia.fbi.gov/nipc)等。它们可以扫描系统,找出安装的攻击程序。利用它们可以防止自己的机器被黑客所利用。
当攻击发生后,如何检验出来哪些是攻击数据呢?虽然攻击者在传达攻击命令时或发送攻击数据时,都加入了伪装甚至加密,但是其数据包还是有一定特征可循的。最常见的办法是在数据流中搜寻特征字符串。例如在攻击服务器向攻击器发布的攻击命令中,会有特定的命令字符串。搜寻到这些字符串,则可以确定攻击服务器和攻击者的位置。
管理员还可以通过监视端口使用情况的办法来进行入侵监测。常见的DDoS工具一般都会有自己特定的通讯方式。例如trin00程序通讯时,经常会用到一些特定端口,例如UDP 31335、UDP 27444、TCP 27665等。本地机中这些端口处于监听状态,则系统很可能已经受到了侵袭。即使黑客已经对端口的位置进行了一定的修改,但如果外部的主机主动向网络内部的高标号端口发起连接请求,则系统很有可能已经受到侵入。这种过程可以通过对防火墙进行设置来加以监测和过滤。
另外,攻击时使用的数据包一般会有一些特征。例如,超长或畸形的ICMP或UDP包等。一般来说,这种包往往是用来进行拒绝服务攻击时才会产生。另外,如果发现数据包本身比较正常,但其中的数据比较特异,例如存在某种加密特性时,很可能是攻击控制器向攻击器所发布的攻击命令。
最后,可通过一些统计的方法来得到攻击来源。例如,在攻击之前,目标网络的域名服务器往往会接到远远超出正常数量的反向和正向的地址查询。这些查询往往意味着攻击的到来。还可以通过数据流量来判断。比如,在攻击时,攻击数据的来源地址会发出超出正常极限的数据量。这样,对通讯数据量进行统计也可以得到有关攻击系统的位置和数量的信息。
结论
从技术上来讲分布式拒绝服务攻击是一种比较先进的攻击方法。但是,任何攻击方法都有它本身的弱点。只要掌握这些弱点,就可以对其加以监控和控制,从而降低它对网络安全所造成的影响。
我们的世界正在演变为一个电子化的世界(E-World),所有的信息正在全面数字化,电子世界中四通八达的网络把人们联系在一起。然而,网络拥有较为复杂的设备和协议,保证复杂的系统没有缺陷和漏洞是不可能的。同时,网络的地域分布使得安全管理难于顾及网络连接的各个角落,没有人能证明网络是安全的,这便使网络安全变成一个严重的问题。合理地增加安全投资,增加正确的安全设备,改善安全管理无疑可以提高网络的可信度,提高其应用价值。
分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是一种崭露头角的攻击方法,最早出现于1999年夏天。当时还只是在黑客站点上进行的一种理论上的探讨。从2000年2月开始,这种攻击方法开始大行其道。在2月7日到11日的短短几天内,黑客连续攻击了包括Yahoo、Buy.com、eBay、Amazon、CNN等许多知名网站,致使有的站点停止服务达几个小时甚至几十个小时之久。国内的新浪等站点也遭到同样的攻击,这次的攻击浪潮在媒体上造成了巨大的影响,以至于美国总统都不得不亲自过问。
分布式拒绝服务攻击采用了一种比较特别的体系结构,从许多分布的主机同时攻击一个目标。从而导致目标瘫痪。目前所使用的入侵监测和过滤方法对这种类型的入侵都不起作用。所以,对这种攻击还无计可施。为了找出这种攻击的漏洞,从而有效地监测和捕获这种入侵,必须对其所用的工具进行具体分析。
DDoS的体系结构
DDoS采用一种三层客户服务器结构。如图所示:
最下层是攻击的执行者。这一层由许多网络主机构成,其中包括Unix、Linux、Mac等各种各样的操作系统。攻击者通过各种办法获得主机的登录权限,并在上面安装攻击器程序。这些攻击器程序中一般内置了上面一层的某一个或某几个攻击服务器的地址,其攻击行为受到攻击服务器的直接控制。
攻击服务器。攻击服务器的主要任务是将控制台的命令发布到攻击执行器上。这些服务器与攻击执行器一样,安装在一些被侵入的无关主机上。
攻击主控台。攻击主控台可以是网络上的任何一台主机,甚至可以是一个活动的便携机。它的作用就是向第二层的攻击服务器发布攻击命令。
DDoS的工作原理分析
有许多无关主机可以支配是整个攻击的前提。当然,这些主机与目标主机之间的联系越紧密,网络带宽越宽,攻击效果越好。通常来说,至少要有数百台甚至上千台主机才能达到满意的效果。例如,据估计,攻击Yahoo!站点的主机数目达到了3000台以上,而网络攻击数据流量达到了1GB/秒。
通常来说,攻击者是通过常规方法,例如系统服务的漏洞或者管理员的配置错误等方法来进入这些主机的。一些安全措施较差的小型站点以及单位中的服务器往往是攻击者的首选目标。这些主机上的系统或服务程序往往得不到及时更新,从而将系统暴露在攻击者面前。在成功侵入后,攻击者照例要安装一些特殊的后门程序,以便自己以后可以轻易进入系统,随着越来越多的主机被侵入,攻击者也就有了更大的舞台。他们可以通过网络监听等蚕食的方法进一步扩充被侵入的主机群。
黑客所作的第二步是在所侵入的主机上安装攻击软件。这里,攻击软件包括攻击服务器和攻击执行器。其中攻击服务器仅占总数的很小一部分,一般只有几台到几十台左右。设置攻击服务器的目的是隔离网络联系,保护攻击者,使其不会在攻击进行时受到监控系统的跟踪,同时也能够更好的协调进攻。因为攻击执行器的数目太多,同时由一个系统来发布命令会造成控制系统的网络阻塞,影响攻击的突然性和协同性。而且,流量的突然增大也容易暴露攻击者的位置和意图。
剩下的主机都被用来充当攻击执行器。执行器都是一些相对简单的程序,它们可以连续向目标发出大量的连接请求而不作任何回答。现在已知的能够执行这种任务的程序主要包括trin00、TFN(Tribe Flood Network)、randomizer以及它们的一些改进版本,如TFN2k等。
黑客所作的最后一步,就是从攻击控制台向各个攻击服务器发出对特定目标的攻击命令。由于攻击主控台的位置非常灵活,而且发布命令的时间很短,所以非常隐蔽,难以定位。一旦攻击的命令传送到服务器,主控台就可以关闭或脱离网络,以逃避追踪。接着,攻击服务器将命令发布到各个攻击器。
在攻击器接到攻击命令后,就开始每一个攻击器都会向目标主机发出大量的服务请求数据包。这些数据包经过伪装,无法识别它的来源。而且,这些包所请求的服务往往要消耗较大的系统资源,如CPU或网络带宽。如果数百台甚至上千台攻击器同时攻击一个目标,就会导致目标主机网络和系统资源的耗尽,从而停止服务。有时,甚至会导致系统崩溃。另外,这样还可以阻塞目标网络的防火墙和路由器等网络设备,进一步加重网络拥塞状况。这样,目标主机根本无法为用户提供任何服务。
攻击者所用的协议都是一些非常常见的协议和服务。这样,系统管理员就难于区分恶意请求和正常连接请求,从而无法有效分离出攻击数据包。
可能的解决措施
从目前现有的技术角度来讲,还没有一项解决办法针对DDoS非常有效。所以,防止DDoS攻击的最佳手段就是防患于未然。也就是说,首先要保证一般的外围主机和服务器的安全,使攻击者无法获得大量的无关主机,从而无法发动有效攻击。一旦单位内部的主机或临近网络的主机被黑客侵入,那么其他的主机被侵入的危险会变得很大。同时,如果网络内部或邻近的主机被用来对本机进行DDoS攻击,攻击的效果会更明显。所以,必须保证这些外围主机和网络的安全。尤其是那些拥有高带宽和高性能服务器的网络,往往是黑客的首选目标。
保护这些主机最好的办法就是及时了解有关本操作系统的安全漏洞以及相应的安全措施。及时安装补丁程序并注意定期升级系统软件,以免给黑客以可乘之机。
另外,应该定期使用漏洞扫描软件对内部网络进行检查。这类软件可以全面检查网络中现有的和潜在的漏洞,有效提高系统安全性能。中科网威公司的火眼2.0网络扫描器可以有效地扫描内部网络和主机,检查网络服务和主机系统中的漏洞。并且为管理员提供相关的解决办法。
第二点就是要设置好单位内部的网络设备。最重要的就是路由器和防火墙。首先,要保证这些设备本身的安全。并对这些设备进行正确配置,使得无论是进入还是送出防火墙的数据都经过严格过滤。这样,不仅使得经过伪装的数据包难以进入网络,加强系统坚固性,而且还可以防止自己的系统被黑客利用。另外,如果仅有具有真实地址的数据包可以进入网络,就可以很容易根据这些数据的来源进行逆向跟踪,从而抓获攻击者。
最后,根据情况使用有针对性的反黑客工具。目前已经有一些工具软件可以检查特定系统是否已经被安装了DDoS的攻击器和攻击服务器,例如FBI的find_ddos工具(foia.fbi.gov/nipc)等。它们可以扫描系统,找出安装的攻击程序。利用它们可以防止自己的机器被黑客所利用。
当攻击发生后,如何检验出来哪些是攻击数据呢?虽然攻击者在传达攻击命令时或发送攻击数据时,都加入了伪装甚至加密,但是其数据包还是有一定特征可循的。最常见的办法是在数据流中搜寻特征字符串。例如在攻击服务器向攻击器发布的攻击命令中,会有特定的命令字符串。搜寻到这些字符串,则可以确定攻击服务器和攻击者的位置。
管理员还可以通过监视端口使用情况的办法来进行入侵监测。常见的DDoS工具一般都会有自己特定的通讯方式。例如trin00程序通讯时,经常会用到一些特定端口,例如UDP 31335、UDP 27444、TCP 27665等。本地机中这些端口处于监听状态,则系统很可能已经受到了侵袭。即使黑客已经对端口的位置进行了一定的修改,但如果外部的主机主动向网络内部的高标号端口发起连接请求,则系统很有可能已经受到侵入。这种过程可以通过对防火墙进行设置来加以监测和过滤。
另外,攻击时使用的数据包一般会有一些特征。例如,超长或畸形的ICMP或UDP包等。一般来说,这种包往往是用来进行拒绝服务攻击时才会产生。另外,如果发现数据包本身比较正常,但其中的数据比较特异,例如存在某种加密特性时,很可能是攻击控制器向攻击器所发布的攻击命令。
最后,可通过一些统计的方法来得到攻击来源。例如,在攻击之前,目标网络的域名服务器往往会接到远远超出正常数量的反向和正向的地址查询。这些查询往往意味着攻击的到来。还可以通过数据流量来判断。比如,在攻击时,攻击数据的来源地址会发出超出正常极限的数据量。这样,对通讯数据量进行统计也可以得到有关攻击系统的位置和数量的信息。
结论
从技术上来讲分布式拒绝服务攻击是一种比较先进的攻击方法。但是,任何攻击方法都有它本身的弱点。只要掌握这些弱点,就可以对其加以监控和控制,从而降低它对网络安全所造成的影响。
我们的世界正在演变为一个电子化的世界(E-World),所有的信息正在全面数字化,电子世界中四通八达的网络把人们联系在一起。然而,网络拥有较为复杂的设备和协议,保证复杂的系统没有缺陷和漏洞是不可能的。同时,网络的地域分布使得安全管理难于顾及网络连接的各个角落,没有人能证明网络是安全的,这便使网络安全变成一个严重的问题。合理地增加安全投资,增加正确的安全设备,改善安全管理无疑可以提高网络的可信度,提高其应用价值。