分布式拒絕服務(wù)攻擊及防范研究

1、分布式回絕效勞攻擊及防范研究摘要隨著網(wǎng)絡(luò)應(yīng)用的日益廣泛，網(wǎng)絡(luò)構(gòu)造框架已經(jīng)暴露在眾多網(wǎng)絡(luò)平安的威脅之下，DDS攻擊隨處可見(jiàn)，人們?yōu)榭酥艱DS攻擊進(jìn)展了大量研究，提出了多種解決方案。本文系統(tǒng)分析了DDS攻擊的原理和方法，在分析詳細(xì)的攻擊工具的根底上給出防御方法。關(guān)鍵詞回絕效勞攻擊；分布式回絕效勞攻擊；掃描；黑客1引言隨著網(wǎng)絡(luò)應(yīng)用的日益廣泛，網(wǎng)絡(luò)構(gòu)造框架已經(jīng)暴露在眾多網(wǎng)絡(luò)平安的威脅之下，其中回絕效勞(DS)攻擊和基于DS的分布式回絕效勞(DDS)攻擊最為常見(jiàn)。例如，2000年黑客們使用DDS連續(xù)攻擊了Yah、ebay、Aazn等許多知名網(wǎng)站，致使一些站點(diǎn)中斷效勞長(zhǎng)達(dá)數(shù)小時(shí)甚至幾天，國(guó)內(nèi)的新浪、163

2、等站點(diǎn)也遭到類(lèi)似的攻擊。2001年5月對(duì)ERT-rdinatinenter的攻擊，2002年5月對(duì)edNET的攻擊都造成了很大的損失1。在2001年4月的中美黑客大戰(zhàn)中，DDS也被廣泛使用。隨著高速網(wǎng)絡(luò)的不斷普及，尤其是隨著近年來(lái)網(wǎng)絡(luò)蠕蟲(chóng)的不斷開(kāi)展，更大規(guī)模DDS攻擊的威脅也越來(lái)越大。2分布式回絕效勞(DDS)攻擊DS是指攻擊者在一定時(shí)間內(nèi)向網(wǎng)絡(luò)發(fā)送大量的效勞懇求，消耗系統(tǒng)資源或網(wǎng)絡(luò)帶寬，占用及超越被攻擊主機(jī)的處理才能，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷，停頓對(duì)合法用戶(hù)提供正常的網(wǎng)絡(luò)效勞；DDS是在DS的根底上引入了lient/Server機(jī)制，使得攻擊強(qiáng)度更大，隱藏性更高。2.1DDS攻擊原理DDS采用

3、多層的客戶(hù)/效勞器形式，一個(gè)完好的DDS攻擊體系一般包含四個(gè)部分：攻擊控制臺(tái)、攻擊效勞器、攻擊傀儡機(jī)和攻擊目的，其攻擊體系構(gòu)造如圖1所示。攻擊控制臺(tái)。攻擊者利用它來(lái)操縱整個(gè)攻擊過(guò)程，它向攻擊效勞器下達(dá)攻擊命令。攻擊效勞器也叫主控端，它是攻擊者非法入侵并且安裝特定程序的一些主機(jī)。它接收從攻擊控制臺(tái)發(fā)過(guò)來(lái)的各種命令。同時(shí)，它也控制了大量的攻擊傀儡機(jī)，并向它們轉(zhuǎn)發(fā)攻擊控制臺(tái)的攻擊指令。攻擊傀儡機(jī)也叫代理端，它也是攻擊者非法入侵并且安裝特定程序的一些主機(jī)。它們上面運(yùn)行攻擊程序，用于對(duì)目的發(fā)起攻擊。它受控于主控端，從主控端接收攻擊命令，是攻擊的執(zhí)行者。2.2DDS攻擊的特點(diǎn)DDS攻擊作為一種特殊的DS攻

4、擊方式，相對(duì)于傳統(tǒng)的回絕效勞攻擊有自己很多的特點(diǎn)：首先，分布式回絕效勞的攻擊效果更加明顯。使用分布式回絕效勞，可以從多個(gè)傀儡主機(jī)同時(shí)向攻擊目的發(fā)送攻擊數(shù)據(jù)，可以在很短的時(shí)間內(nèi)發(fā)送大量的數(shù)據(jù)包，使攻擊目的的系統(tǒng)無(wú)法提供正常的效勞。另外，由于采用了多層客戶(hù)機(jī)/效勞器形式，減少了由攻擊者下達(dá)攻擊命令時(shí)可能存在的擁塞，也增加了攻擊的緊湊性。即使攻擊目的探測(cè)到攻擊，也可能來(lái)不及采取有效措施來(lái)應(yīng)對(duì)攻擊。其次，分布式回絕效勞攻擊更加難以防范。因?yàn)榉植际交亟^效勞的攻擊數(shù)據(jù)流來(lái)自很多個(gè)源且攻擊工具多使用隨機(jī)IP技術(shù)，增加了與合法訪(fǎng)問(wèn)數(shù)據(jù)流的相似性，這使得對(duì)攻擊更加難以判斷和防范。最后，分布式回絕效勞對(duì)于攻擊者來(lái)

5、說(shuō)更加平安。由于采用了多層客戶(hù)機(jī)/效勞器形式，增大了回溯查找攻擊者的難度，從而可以更加有效地保護(hù)攻擊者。另外，采用多層客戶(hù)機(jī)/效勞器形式，使得下達(dá)攻擊指令的數(shù)據(jù)流更加分散，不容易被監(jiān)控系統(tǒng)覺(jué)察，從而暴露攻擊者的位置與意圖。3攻擊策略及防范目前，隨著多種DDS攻擊工具如TFN、TFN2K、Staheldraht、Trin等的廣泛傳播，所面臨DDS攻擊的風(fēng)險(xiǎn)更是急劇增長(zhǎng)2。所以，如何有效的防御DDS攻擊成為當(dāng)前一個(gè)亟待解決的問(wèn)題。下面，本文針對(duì)這幾種常用的攻擊工具給出詳細(xì)的防范措施。3.1TFN(TribeFldNetrk)攻擊及防范TFN是德國(guó)著名黑客ixter編寫(xiě)的，與Trin相似，都是在互聯(lián)

6、網(wǎng)的大量UNIX系統(tǒng)中開(kāi)發(fā)和測(cè)試的。它由客戶(hù)端程序和守護(hù)程序組成，通過(guò)綁定到TP端口的RtShell控制，施行IPFld，SYNFld，UDPFld等多種回絕效勞的分布式網(wǎng)絡(luò)攻擊。TFN客戶(hù)端、主控端和代理端主機(jī)互相間通信時(shí)使用I-PEh和IpEhReply數(shù)據(jù)包。針對(duì)TFN攻擊的根本特性可采用如下抵御策略：發(fā)動(dòng)TFN時(shí)，攻擊者要訪(fǎng)問(wèn)aster程序并向它發(fā)送一個(gè)或多個(gè)目的IP地址，然后aster程序與所有代理程序通信，指示它們發(fā)動(dòng)攻擊。aster程序與代理程序之間的通信使用IP回音/應(yīng)答信息包，實(shí)際要執(zhí)行的指示以二進(jìn)制形式包含在16位ID域中。IP使信息包協(xié)議過(guò)濾成為可能，通過(guò)配置路由器或入侵

7、檢測(cè)系統(tǒng)，不允許所有的IP回音或回音/應(yīng)答信息包進(jìn)入網(wǎng)絡(luò)就可以到達(dá)挫敗TFN代理的目的，但是這樣會(huì)影響所有使用這些功能的Internet程序，如Ping。aster程序讀取一個(gè)IP地址列表，其中包含代理程序的位置。這個(gè)列表可能使用如“Blfish的加密程序進(jìn)展加密，假如沒(méi)有加密，就可以從這個(gè)列表方便地識(shí)別出代理信息。用于發(fā)現(xiàn)系統(tǒng)上TFN代理程序的是程序td，發(fā)現(xiàn)系統(tǒng)上aster程序的是程序TFN。代理并不查看IP回音/應(yīng)答信息包來(lái)自哪里，因此使用假裝IP信息包沖刷掉這些過(guò)程是可能的9。3.2TFN2k攻擊及防范TFN2k代表TFN2000版，是ixter編寫(xiě)的TFN后續(xù)版本。這個(gè)新的DDS工具

8、已在原有的根底上大大前進(jìn)了一步，它也是由兩部分組成，即客戶(hù)端程序和在代理端主機(jī)上的守護(hù)進(jìn)程?？蛻?hù)端向守護(hù)進(jìn)程發(fā)送攻擊指定的目的主機(jī)列表，代理端守護(hù)進(jìn)程據(jù)此對(duì)目的進(jìn)展回絕效勞攻擊。由一個(gè)客戶(hù)端程序控制的多個(gè)代理端主機(jī)，可以在攻擊過(guò)程中互相協(xié)同，保證攻擊的連續(xù)性?？蛻?hù)端程序和代理端的網(wǎng)絡(luò)通信是經(jīng)過(guò)加密的，還可能混雜許多虛假數(shù)據(jù)包。整個(gè)TFN2k網(wǎng)絡(luò)可能使用不同的TP，UDP或IP包進(jìn)展通信，而且客戶(hù)端還能偽造其IP地址。所有這些特性都使開(kāi)展防御TFN2k攻擊的策略和技術(shù)非常困難或效率低下。TFN2k非常隱蔽，這些手段使得它很難被檢測(cè)到。因?yàn)闆](méi)有端口號(hào)，所以很難探測(cè)，即使在正常的根底上使用端口掃描程

9、序也無(wú)法探測(cè)到用戶(hù)的系統(tǒng)正被用作TFN2k效勞器10。目前仍沒(méi)有能有效防御TFN2k回絕效勞攻擊的方法，最有效的策略是防止網(wǎng)絡(luò)資源被用作客戶(hù)端或代理端。根據(jù)TFN2k的根本特性，可采用的預(yù)防手段有以下幾種：只使用應(yīng)用代理型防火墻，這可以有效地阻止所有的TFN2k通信。但只使用應(yīng)用代理效勞器通常是不實(shí)在際的，因此只能盡可能地使用最少的非代理效勞。制止不必要的IP，TP和UDP通信，特別是對(duì)于IP數(shù)據(jù)，可只允許IP類(lèi)型3(DestinatinUnreahable，目的不可到達(dá))數(shù)據(jù)包通過(guò)。假如不能制止IP協(xié)議，那就制止主動(dòng)提供或所有的IPEhReply包。制止不在允許端口列表中的所有UDP和TP包。配置防火墻過(guò)濾所有可能的偽造數(shù)據(jù)包。對(duì)系統(tǒng)進(jìn)展補(bǔ)丁和平安配置，以防止攻擊者入侵并安裝TFN2k。3.3Trin攻擊及防范Trin是發(fā)布最早的主流工具，因此功能沒(méi)有TFN2k那么強(qiáng)大。因?yàn)門(mén)FN2k使用IP所以非常隱蔽，在被攻擊的計(jì)算機(jī)上沒(méi)有端口可以檢測(cè)。Trin使