分布式拒绝服务攻击与防范措施
王麦玲
(渭南师范学院计算机科学系
渭南
714000)
摘要分布式拒绝服务攻击是目前严重影响网络安全和威胁网站服务质量的一种攻击手段。文章中讨论分布式拒绝服务攻击的产生过程和特点,在分析具体的攻击工具的基础上给出防御方法。关键词拒绝服务攻击分布式拒绝服务攻击防范黑客中图分类号TP393.08
文献标识码A
文章编号080跎1—1679
DistributedDeniaIofServiceAttacksandtheDefenseMeasures
WangMailing
(DepartmentofComputer
Abstract
DistributedDenialof
Science
Weinan
one
teachersUniversity
Weinan
714000)
Service(DDoS)is
ofthemostseriousattacksagainstnetworksecurityandQualityof
Service(QoS)of
Keywords
theISP.ThispaperdiscussestheProcessesandcharacteristicsofDDoS.Itanalysesmeasuresof
protectionagainstthespecificattacktools.
DenimofService
DistributedDenialofService
Defense
Hacker
一、引言
随着网络技术和网络应用的发展,网络安全问题显得越来越重要。分布式拒绝服务攻击由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题之一,这种攻击方法的可怕之处是会造成用户无法对外进行提供服务,时间一长将会影响到网络流量,造成用户经济上的严重损失。从实际情况来说DDoS是不可能完全防范的,不过用户必须要从最大程度上做好防范DDoS攻击的措施,使用户在遭受DDoS攻击后的损失减至最低。因此,研究拒绝服务攻击及其防范措施是极为重要的。
通过Modem连接的PC机去轰炸(flooding)--个大型网站(当然,如果该网站有一些漏洞使得剧毒包型攻击也能奏效的话,用一台PC机通过剧毒包攻击大型网站奏效的情况也是存在的)为了使得攻击奏效,攻击者需要了解受害者许多的信息如被攻击目标主机数目、配置、性能、操作系统、地址情况以及目标网络的带宽等。因此,在攻击发生前。攻击者需要先对目标进行侦察,如利用扫描工具对目标进行扫描。
(2)占领傀儡机和控制台
在DDoS中,攻击者可以通过自己的机器直接对目标发起攻击,这样攻击者可能会冒着被发现的风险。通常,为了掩蔽自己不被发现,攻击者需要占领一些傀儡机,用来实施攻击。另外,为了达到需要的攻击力度,攻击者也需要大量的傀儡机器用于增强攻击的”火力”。这些傀儡机器最好具有良好的性能和充足的资源,如强的计算能力、大的带宽等等,这样攻击者会获得较
Denimof
二、分布式拒绝服务攻击
1、DDoS攻击概念
DD05攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。
分布式拒绝服务攻击(英文意思是Distributed
Se卜
大的攻击力。当然,如果这些机器的管理水平、安全程度低,则更是攻击者的最佳选择,因为这样的机器更容易被攻击者攻破。并且,攻击者还需要向傀儡机发送命令的控制台,因此攻击者还需利用某些被其攻破的机器或者其拥有访问权限的机器作为控制台。攻击者占领这些傀儡机的一般方法是先通过扫描,得到一些容易攻破的机器,然后采用一些较为简单的方法予以攻破。此外,由于新的软件越来越多,必然的,整个系统的漏洞也越来越多;软件的漏洞使得恶意程序可以自动地攻破大量的主机,然后提供给攻击者作为傀儡机(攻击机)使用。
vice。简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。图一是典型的DDoS的示意图,其中的攻击者可以有多个。
2、DDoS攻击的典型过程(1)准备阶段,收集目标信息
通常,攻击者的攻击并非盲目地胡乱进行的,他不会用一台
・42・
办公自动化杂志
万方数据
(3)攻击的实施在前面的准备工作完成之后,实际的攻击过程却相对比较简单,攻击者只需通过控制台向傀儡机发出指令,令其立即或在某个时间向指定的受害者大量发送特定的攻击数据包即可。或者,攻击者可以在傀儡机上
图1分布式拒绝服务攻击体系结构作一定时设置,时间一到,这些傀儡机就自行对既定目标发起攻击。
我们这里描述的是分布式拒绝服务攻击的一个典型过程。实际上,并非每一次攻击都要遵循这样—个过程的。
3、DDoS攻击的特点
(1)分布式拒绝服务的攻击效果更加明显。使用分布式拒绝服务,可以从多个傀儡主机同时向攻击目标发送攻击数据,可以在很短的时间内发送大量的数据包,使攻击目标的系统无法提供正常的服务。另外,由于采用了多层客户机,服务器模式,减少了由攻击者下达攻击命令时可能存在的拥塞,也增加了攻击的紧凑性。
(2)分布式拒绝服务攻击更加难以防范。因为分布式拒绝服务的攻击数据流来自很多个源且攻击工具多使用随机IP技术,增加了与合法访问数据流的相似性,这使得对攻击更加难以判断和防范。
(3)分布式拒绝服务对于攻击者来说更加安全。由于DDoS采用了多层客户机/服务器模式,增大了回溯查找攻击者的难度,从而可以更加有效地保护攻击者。另外,采用多层客户机,服务器模式,使得下达攻击指令的数据流更加分散,不容易被监控系统察觉。
三、DDoS的防范
1、攻击策略及防范
目前,随着多种DDoS攻击工具如rI'F'N、TFN2K、Tdnoo等的广泛传播,下面针对这几种常用的攻击工具给出具体的防范措施。
(1)TFN(TribeRoodNetwork)攻击及防范
TFN由客户端程序和守护程序组成,通过绑定到TCP端口的RootShen控制,实施ICMPHood.SYNHood,UDPHood等多种拒绝服务的分布式网络攻击。TFN客户端、主控端和代理端主机相互间通信时使用IC—MPEcho和IcmpEchoReply数据包。
针对1硎攻击的基本特性可采用如下抵御策略:发动TFN
时,攻击者要访问Master程序并向它发送—个或多个目标IP地址,然后Master程序与所有代理程序通信,指示它们发动攻击。Master程序与代理程序之间的通信使用ICMP回音/应答信息包,ICMP使信息包协议过滤成为可能,通过配置路由器或入侵检测系统,不允许所有的ICMP回音或回音,应答信息包进入网络就可以达到挫败TFN代理的目的,但是这样会影响所有使用这些功能的Internet程序,可以通过加密,就不能方便地识别出代理信息。
(2)7rFN2k攻击及防范
TFN2k也是由两部分组成,即客户端程序和在代理端主机上的守护进程。客户端向守护进程发送攻击指定的目标主机列表,代理端守护进程据此对目标进行拒绝服务攻击。由一个客户端程序控制的多个代理端主机,能够在攻击过程中相互协同,保证攻击的连续性。客户端程序和代理端的网络通信是经过加密的,还可能混杂许多虚假数据包。
万方数据
TFN2k非常隐蔽,因为没有端口号,所以很难探测,即使在正常的基础上使用端口扫描程序也无法探测到用户的系统正被用作TFN2k服务器。目前仍没有能有效防御TFN2k拒绝服务攻击的方法,最有效的策略是防止网络资源被用作客户端或代理端。
根据TFN2k的基本特性,可采用的预防手段有以下几种:①只使用应用代理型防火墙,这能够有效地阻止所有的TFN2k通信。
②禁止不必要的ICMP,代P和UDP通信,特别是对于
ICMP数据,可只允许ICMP类型3(DestinationUnreachable,目标不可到达)数据包通过。
③禁止不在允许端口列表中的所有UDP和TEP包。
③配置防火墙过滤所有可能的伪造数据包。
⑤对系统进行补丁和安全配置,以防止攻击者入侵并安装
’11州2k。
(3)Trinoo攻击及防范
Trinoo是发布最早的主流工具,因而功能没有TFN2k那么强大。Trinoo使用TCP和UDP,因而如果在正常的基础上用扫描程序检测端口,攻击程序很容易被检测到。
针对Trinoo攻击的基本特性可采用如下抵御策略:
①使用入侵检测软件寻找使用UDP的数据流偻型17)。
②Master程序的监听端口是27655,攻击者一般借助Tehet
通过TCP连接到Master程序所在的计算机。入侵检测软件能够搜索到使用TCP(类型6)并连接到端口27655的数据流。
③所有从Master程序到代理程序的通信都包含字符串“144”,并且被引导到代理的UDP端口27444。入侵检测软件检查到UDP端口27444的连接,如果有包含字符串144的信息包被发送过去,那么接受这个信息包的计算机可能就是DDoS代理。
(2)其他防范措施
①采用高性能的网络设备;
②尽量避免NAT的使用;③充足的网络带宽保证;③升级主机服务器硬件;⑤把网站做成静态页面。
四、结语
DDoS由于具有攻击方式简单、易于实现、防范困难和不易追查的特点,已成为当今网络中最常见、危害最大的攻击方式,但任何攻击行为都有他们自身的弱点,只要理解了DDoS攻击原理及实现过程,即可制定出行之有效的防范策略。另外努力提高网络用户的安全意识和基本防范技巧对提高整个网络安全性有着十分重要的意义。—一参考文献
【l】刘昕,吴秋峰等.分布式拒绝服务研究与探讨叨.计算机工程与应用,2000,36(5):131—133.
【2】J.Scambrary
et
al,HackingExposed:NetworkSecuritySe-
crets&Solutions.McGraw—Hill,2001.中译本《黑客大曝光》【蜘,清华大学出版社,2002,pp527.
p】李德全.拒绝服务攻击对策及网络追踪的研究【q:(学位论文).北京:中国科学院软件研究所2004,15~25.
【4】吴虎,云超.对DDOS攻击防范策略的研究及若干实现叨.计算机应用研究,2002,3801):24—26.作者简介
王麦玲(1978一)女陕西渭南人,陕西渭南师范学院计算机科学系教师。
办公自动化杂志
・43・
分布式拒绝服务攻击与防范措施
王麦玲
(渭南师范学院计算机科学系
渭南
714000)
摘要分布式拒绝服务攻击是目前严重影响网络安全和威胁网站服务质量的一种攻击手段。文章中讨论分布式拒绝服务攻击的产生过程和特点,在分析具体的攻击工具的基础上给出防御方法。关键词拒绝服务攻击分布式拒绝服务攻击防范黑客中图分类号TP393.08
文献标识码A
文章编号080跎1—1679
DistributedDeniaIofServiceAttacksandtheDefenseMeasures
WangMailing
(DepartmentofComputer
Abstract
DistributedDenialof
Science
Weinan
one
teachersUniversity
Weinan
714000)
Service(DDoS)is
ofthemostseriousattacksagainstnetworksecurityandQualityof
Service(QoS)of
Keywords
theISP.ThispaperdiscussestheProcessesandcharacteristicsofDDoS.Itanalysesmeasuresof
protectionagainstthespecificattacktools.
DenimofService
DistributedDenialofService
Defense
Hacker
一、引言
随着网络技术和网络应用的发展,网络安全问题显得越来越重要。分布式拒绝服务攻击由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题之一,这种攻击方法的可怕之处是会造成用户无法对外进行提供服务,时间一长将会影响到网络流量,造成用户经济上的严重损失。从实际情况来说DDoS是不可能完全防范的,不过用户必须要从最大程度上做好防范DDoS攻击的措施,使用户在遭受DDoS攻击后的损失减至最低。因此,研究拒绝服务攻击及其防范措施是极为重要的。
通过Modem连接的PC机去轰炸(flooding)--个大型网站(当然,如果该网站有一些漏洞使得剧毒包型攻击也能奏效的话,用一台PC机通过剧毒包攻击大型网站奏效的情况也是存在的)为了使得攻击奏效,攻击者需要了解受害者许多的信息如被攻击目标主机数目、配置、性能、操作系统、地址情况以及目标网络的带宽等。因此,在攻击发生前。攻击者需要先对目标进行侦察,如利用扫描工具对目标进行扫描。
(2)占领傀儡机和控制台
在DDoS中,攻击者可以通过自己的机器直接对目标发起攻击,这样攻击者可能会冒着被发现的风险。通常,为了掩蔽自己不被发现,攻击者需要占领一些傀儡机,用来实施攻击。另外,为了达到需要的攻击力度,攻击者也需要大量的傀儡机器用于增强攻击的”火力”。这些傀儡机器最好具有良好的性能和充足的资源,如强的计算能力、大的带宽等等,这样攻击者会获得较
Denimof
二、分布式拒绝服务攻击
1、DDoS攻击概念
DD05攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。
分布式拒绝服务攻击(英文意思是Distributed
Se卜
大的攻击力。当然,如果这些机器的管理水平、安全程度低,则更是攻击者的最佳选择,因为这样的机器更容易被攻击者攻破。并且,攻击者还需要向傀儡机发送命令的控制台,因此攻击者还需利用某些被其攻破的机器或者其拥有访问权限的机器作为控制台。攻击者占领这些傀儡机的一般方法是先通过扫描,得到一些容易攻破的机器,然后采用一些较为简单的方法予以攻破。此外,由于新的软件越来越多,必然的,整个系统的漏洞也越来越多;软件的漏洞使得恶意程序可以自动地攻破大量的主机,然后提供给攻击者作为傀儡机(攻击机)使用。
vice。简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。图一是典型的DDoS的示意图,其中的攻击者可以有多个。
2、DDoS攻击的典型过程(1)准备阶段,收集目标信息
通常,攻击者的攻击并非盲目地胡乱进行的,他不会用一台
・42・
办公自动化杂志
万方数据
(3)攻击的实施在前面的准备工作完成之后,实际的攻击过程却相对比较简单,攻击者只需通过控制台向傀儡机发出指令,令其立即或在某个时间向指定的受害者大量发送特定的攻击数据包即可。或者,攻击者可以在傀儡机上
图1分布式拒绝服务攻击体系结构作一定时设置,时间一到,这些傀儡机就自行对既定目标发起攻击。
我们这里描述的是分布式拒绝服务攻击的一个典型过程。实际上,并非每一次攻击都要遵循这样—个过程的。
3、DDoS攻击的特点
(1)分布式拒绝服务的攻击效果更加明显。使用分布式拒绝服务,可以从多个傀儡主机同时向攻击目标发送攻击数据,可以在很短的时间内发送大量的数据包,使攻击目标的系统无法提供正常的服务。另外,由于采用了多层客户机,服务器模式,减少了由攻击者下达攻击命令时可能存在的拥塞,也增加了攻击的紧凑性。
(2)分布式拒绝服务攻击更加难以防范。因为分布式拒绝服务的攻击数据流来自很多个源且攻击工具多使用随机IP技术,增加了与合法访问数据流的相似性,这使得对攻击更加难以判断和防范。
(3)分布式拒绝服务对于攻击者来说更加安全。由于DDoS采用了多层客户机/服务器模式,增大了回溯查找攻击者的难度,从而可以更加有效地保护攻击者。另外,采用多层客户机,服务器模式,使得下达攻击指令的数据流更加分散,不容易被监控系统察觉。
三、DDoS的防范
1、攻击策略及防范
目前,随着多种DDoS攻击工具如rI'F'N、TFN2K、Tdnoo等的广泛传播,下面针对这几种常用的攻击工具给出具体的防范措施。
(1)TFN(TribeRoodNetwork)攻击及防范
TFN由客户端程序和守护程序组成,通过绑定到TCP端口的RootShen控制,实施ICMPHood.SYNHood,UDPHood等多种拒绝服务的分布式网络攻击。TFN客户端、主控端和代理端主机相互间通信时使用IC—MPEcho和IcmpEchoReply数据包。
针对1硎攻击的基本特性可采用如下抵御策略:发动TFN
时,攻击者要访问Master程序并向它发送—个或多个目标IP地址,然后Master程序与所有代理程序通信,指示它们发动攻击。Master程序与代理程序之间的通信使用ICMP回音/应答信息包,ICMP使信息包协议过滤成为可能,通过配置路由器或入侵检测系统,不允许所有的ICMP回音或回音,应答信息包进入网络就可以达到挫败TFN代理的目的,但是这样会影响所有使用这些功能的Internet程序,可以通过加密,就不能方便地识别出代理信息。
(2)7rFN2k攻击及防范
TFN2k也是由两部分组成,即客户端程序和在代理端主机上的守护进程。客户端向守护进程发送攻击指定的目标主机列表,代理端守护进程据此对目标进行拒绝服务攻击。由一个客户端程序控制的多个代理端主机,能够在攻击过程中相互协同,保证攻击的连续性。客户端程序和代理端的网络通信是经过加密的,还可能混杂许多虚假数据包。
万方数据
TFN2k非常隐蔽,因为没有端口号,所以很难探测,即使在正常的基础上使用端口扫描程序也无法探测到用户的系统正被用作TFN2k服务器。目前仍没有能有效防御TFN2k拒绝服务攻击的方法,最有效的策略是防止网络资源被用作客户端或代理端。
根据TFN2k的基本特性,可采用的预防手段有以下几种:①只使用应用代理型防火墙,这能够有效地阻止所有的TFN2k通信。
②禁止不必要的ICMP,代P和UDP通信,特别是对于
ICMP数据,可只允许ICMP类型3(DestinationUnreachable,目标不可到达)数据包通过。
③禁止不在允许端口列表中的所有UDP和TEP包。
③配置防火墙过滤所有可能的伪造数据包。
⑤对系统进行补丁和安全配置,以防止攻击者入侵并安装
’11州2k。
(3)Trinoo攻击及防范
Trinoo是发布最早的主流工具,因而功能没有TFN2k那么强大。Trinoo使用TCP和UDP,因而如果在正常的基础上用扫描程序检测端口,攻击程序很容易被检测到。
针对Trinoo攻击的基本特性可采用如下抵御策略:
①使用入侵检测软件寻找使用UDP的数据流偻型17)。
②Master程序的监听端口是27655,攻击者一般借助Tehet
通过TCP连接到Master程序所在的计算机。入侵检测软件能够搜索到使用TCP(类型6)并连接到端口27655的数据流。
③所有从Master程序到代理程序的通信都包含字符串“144”,并且被引导到代理的UDP端口27444。入侵检测软件检查到UDP端口27444的连接,如果有包含字符串144的信息包被发送过去,那么接受这个信息包的计算机可能就是DDoS代理。
(2)其他防范措施
①采用高性能的网络设备;
②尽量避免NAT的使用;③充足的网络带宽保证;③升级主机服务器硬件;⑤把网站做成静态页面。
四、结语
DDoS由于具有攻击方式简单、易于实现、防范困难和不易追查的特点,已成为当今网络中最常见、危害最大的攻击方式,但任何攻击行为都有他们自身的弱点,只要理解了DDoS攻击原理及实现过程,即可制定出行之有效的防范策略。另外努力提高网络用户的安全意识和基本防范技巧对提高整个网络安全性有着十分重要的意义。—一参考文献
【l】刘昕,吴秋峰等.分布式拒绝服务研究与探讨叨.计算机工程与应用,2000,36(5):131—133.
【2】J.Scambrary
et
al,HackingExposed:NetworkSecuritySe-
crets&Solutions.McGraw—Hill,2001.中译本《黑客大曝光》【蜘,清华大学出版社,2002,pp527.
p】李德全.拒绝服务攻击对策及网络追踪的研究【q:(学位论文).北京:中国科学院软件研究所2004,15~25.
【4】吴虎,云超.对DDOS攻击防范策略的研究及若干实现叨.计算机应用研究,2002,3801):24—26.作者简介
王麦玲(1978一)女陕西渭南人,陕西渭南师范学院计算机科学系教师。
办公自动化杂志
・43・