DDoS攻擊原理及防護方法論

DDoS攻擊原理及防護方法論（１)從07年的愛沙尼亞DDoS信息戰(zhàn)，到今年廣西南寧30個網(wǎng)吧患病到DＤoS勒索，再到新浪網(wǎng)患病DDoS攻擊無法供應(yīng)對外服務(wù)５０0多分鐘。DDｏＳ愈演愈烈，攻擊大事明顯增多，攻擊流量也明顯增大,形勢十分嚴峻，超過1Ｇ的攻擊流量頻頻消滅,ＣNCＥRT/CＣ掌握的數(shù)據(jù)表明,最高時達到了12G，這樣流量，甚至連專業(yè)的機房都無法抵抗。更為嚴峻的是：利用DDoS攻擊手段敲詐勒索已經(jīng)形成了一條完整的產(chǎn)業(yè)鏈！并且，攻擊者實施成本極低,在網(wǎng)上可以隨便搜尋到一大堆攻擊腳本、工具工具,對攻擊者的技術(shù)要求也越來越低。相反的是，專業(yè)抗DDｏS設(shè)備的價格十分昂貴，而且對于攻擊源的追查難度極大，防護成本遠遠大于攻擊成本。本文將對ＤＤｏS攻擊的原理做一個剖析，并供應(yīng)一些解決方法.一．ＤDｏS攻擊什么是DDoＳ?DDoS是英文DｉｓtｒiｂuｔeｄＤeｎｉalofService的縮寫,意即"分布式拒絕服務(wù)”，ＤDoＳ的中文名叫分布式拒絕服務(wù)攻擊，俗稱洪水攻擊。首先，我們來了解一下相關(guān)定義。服務(wù)：系統(tǒng)供應(yīng)的,用戶在對其使用中會受益的功能拒絕服務(wù):任何對服務(wù)的干涉如果使其可用性降低或者失去可用性均稱為拒絕服務(wù).拒絕服務(wù)攻擊：是指攻擊者通過某種手段,有意地造成計算機或網(wǎng)絡(luò)不能正常運轉(zhuǎn)從而不能向合法用戶供應(yīng)所需要的服務(wù)或者使得服務(wù)質(zhì)量降低分布式拒絕服務(wù)攻擊：處于不同位置的多個攻擊者同時向一個或者數(shù)個目標發(fā)起攻擊，或者一個或多個攻擊者掌握了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊，由于攻擊的發(fā)出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務(wù)攻擊。您所在的位置：ＨYPERLINK"ｈttｐ:/／wwｗ.5１cto.cｏm"\ｔ"_ｂｌaｎk”首頁〉ＨYPＥRLINK"htｔｐ:/／netｓecｕｒitｙ．51cto．coｍ"網(wǎng)絡(luò)平安＞HYPＥRＬＩＮK"htｔp：/／ｎeｔｓecuriｔy．5１cto．com/coｌ/13３1/＂專家專欄〉DＤｏS攻擊原理及防護方法論（２）HＹPERLINＫ”htｔp：/／neｔsｅcuｒｉtｙ.51cｔｏ。ｃom＂ｈtｔp://ｎetsｅcｕriｔy。51ｃｔｏ。cｏm

2００9-0３－1613：４3

戴鵬飛

51CＴO(shè)。coｍ

ＨＹＰERLＩNK”htｔｐ:／/www.５1cto．com/ｐhp/ｆｅeｄbackｔ。ｐhｐ?id=11496９"我要評論(０)摘要:本文將對ＤDoS攻擊的原理做一個剖析，并供應(yīng)一些解決方法。標簽：ＨYPＥRLＩNK”hｔtp：//www。51ｃtｏ。coｍ/phｐ/seaｒｃｈ。pｈｐ?keyworｄ＝ＤＤｏS％B9％A5％BＢ％Ｆ7”＼t＂＿blaｎｋ”ＤＤoS攻擊

HYPERＬINK＂ｈｔtp:/／ｗww.51cto.ｃoｍ/ｐｈｐ/seａｒch。php？kｅywｏrd=％D4％AD％Ｃ0％ED”\t"_bｌank"原理

ＨＹPＥRLINK"ｈttp:/／ｗｗw。５1ctｏ．ｃom/php/ｓｅａｒｃｈ.php？ｋeywｏｒｄ=％B7％C0％ＢB％A4＂＼t"_blaｎｋ”防護HＹPＥRLIＮK＂http:/／aｄ.ｃn。dｏｕbｌ／clk；２02９３0３７２;２701２１68；u"＼ｔ"_blaｎk”Ｏｒａｃlｅ幫您精準洞察各個物流環(huán)節(jié)二.數(shù)據(jù)包結(jié)構(gòu)要了解ＤDｏS的攻擊原理，就要首先了解一下數(shù)據(jù)包的結(jié)構(gòu)，才能知根知底，追本溯源。首先來回顧一下數(shù)據(jù)包的結(jié)構(gòu)。2．１IP報文結(jié)構(gòu)ＨＹPＥRLＩNＫ”http://neｗ.51cｔo．cｏm／ｆiｌes/uｐｌoaｄｉmｇ/200７102９／17310１１15．gif"\t”_blank"圖2.2TＣＰ報文結(jié)構(gòu)HYPERＬＩNK”htｔｐ:／/new．51cto．cｏm/fiｌes/ｕplｏadｉmg/20071０29/１7310１1１５．gif”＼t"＿ｂlank＂圖一個TCP報頭的標識(ｃodｅbｉts）字段包含6個標志位：ＳＹＮ:標志位用來建立連接，讓連接雙方同步序列號。如果SＹＮ=１而ＡＣK=0,則表示該數(shù)據(jù)包為連接懇求，如果ＳYＮ=1而ACK=1則表示接受連接FIN：表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要求傳輸了,盼望釋放連接。RSＴ：用來復位一個連接。RＳT標志置位的數(shù)據(jù)包稱為復位包。一般情況下,如果TCP收到的一個分段明顯不是屬于該主機上的任何一個連接,則向遠端發(fā)送一個復位包。ＵRG：為緊急數(shù)據(jù)標志。如果它為１，表示本數(shù)據(jù)包中包含緊急數(shù)據(jù).此時緊急數(shù)據(jù)指針有效.ACK：為確認標志位。如果為1，表示包中的確認號時有效的。否則，包中的確認號無效。PSＨ:如果置位，接收端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用層,不必等緩沖區(qū)滿再發(fā)送。2.3UＤP報文結(jié)構(gòu)HYＰＥＲLＩNＫ"hｔtｐ：//new.5１ｃ/ｆiｌes/uploaｄｉmg/200７１０２9/17３10111５。gif”＼t"_blaｎｋ”圖2。4ICＭP報文結(jié)構(gòu)HYＰＥRLINK"ｈttp：//neｗ．5１ｃｔｏ。com/fｉlｅｓ/uplｏadｉmg／200710２9/173１01１15。ｇiｆ”\ｔ＂＿ｂlank"圖ＨYPＥＲLIＮK"hｔｔp：//ｎｅw。5１ｃto．com／files／uploａdimg/200７1０2９/1７3１01１15。gif＂＼ｔ"_blank＂圖三．ＤDｏS攻擊方式3．1SＹNFｌoｏd攻擊SYN－Ｆｌooｄ攻擊是當前網(wǎng)絡(luò)上最為常見的DＤｏS攻擊,也是最為經(jīng)典的拒絕服務(wù)攻擊,它利用了ＴCP協(xié)議實現(xiàn)上的一個缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報文,就可能造成目標服務(wù)器中的半開連接隊列被占滿，從而阻止其他合法用戶進行訪問。這種攻擊早在１9９６年就被發(fā)現(xiàn),但至今仍然顯示出強大的生命力。很多操作系統(tǒng)，甚至防火墻、路由器都無法有效地防御這種攻擊,而且由于它可以便利地偽造源地址，追查起來格外困難。它的數(shù)據(jù)包特征通常是,源發(fā)送了大量的ＳYN包,并且缺少三次握手的最后一步握手ＡCK回復。3．１。1原理例如,攻擊者首先偽造地址對服務(wù)器發(fā)起SYN懇求(我可以建立連接嗎？)，服務(wù)器就會回應(yīng)一個ACＫ+SYＮ(可以＋請確認)。而真實的IP會認為,我沒有發(fā)送懇求，不作回應(yīng)。服務(wù)器沒有收到回應(yīng),會重試3—5次并且等待一個SYNTimｅ（一般30秒－2分鐘）后,丟棄這個連接。如果攻擊者大量發(fā)送這種偽造源地址的SＹN懇求，服務(wù)器端將會消耗格外多的資源來處理這種半連接，保存遍歷會消耗格外多的CＰＵ時間和內(nèi)存，何況還要不斷對這個列表中的IＰ進行ＳＹN+AＣＫ的重試。最后的結(jié)果是服務(wù)器無暇理睬正常的連接懇求-拒絕服務(wù)。在服務(wù)器上用ｎｅtｓｔaｔ–ａn命令查看SＹN_RＥＣV狀態(tài)的話,就可以看到：HYPERＬINK＂httｐ：/／ｎew．51ｃto．com／ｆileｓ/ｕplｏaｄimｇ/２０07１029/１731０１1１5。ｇｉf"\t"_blａnk＂圖如果我們抓包來看：HYPＥＲLIＮK"ｈｔtp：/／neｗ．51cｔ/fｉｌｅs/uploadimg/2００71029/173１０1115。gｉｆ"\t＂_ｂlａnｋ”圖可以看到大量的SYＮ包沒有ＡＣＫ回應(yīng)。3。1。2SＹNFｌｏod防護目前市面上有些防火墻具有SYNProxy功能，這種方法一般是定每秒通過指定對象(目標地址和端口、僅目標地址或僅源地址)的SＹN片段數(shù)的閥值，當來自相同源地址或發(fā)往相同目標地址的SＹN片段數(shù)達到這些閥值之一時,防火墻就開頭截取連接懇求和代理回復SＹＮ/ACK片段,并將不完全的連接懇求存儲到連接隊列中直到連接完成或懇求超時.當防火墻中代理連接的隊列被填滿時，防火墻拒絕來自相同平安區(qū)域(zonｅ）中全部地址的新ＳＹN片段,避開網(wǎng)絡(luò)主機患病不完整的三次握手的攻擊.但是,這種方法在攻擊流量較大的時候，連接消滅較大的延遲,網(wǎng)絡(luò)的負載較高，很多情況下反而成為整個網(wǎng)絡(luò)的瓶頸；RanｄｏmＤrｏｐ：隨機丟包的方式雖然可以減輕服務(wù)器的負載,但是正常連接的成功率也會降低很多；特征匹配：ＩＰS上會常用的手段，在攻擊發(fā)生的當時統(tǒng)計攻擊報文的特征，定義特征庫,例如過濾不帶ＴCPOptｉｏns的ｓｙｎ包等;早期攻擊工具(例如sｙnkiｌｌｅｒ,xｄoｓ，ｈｇod等）通常是發(fā)送６４字節(jié)的TCPＳYＮ報文,而主機操作系統(tǒng)在發(fā)起TCP連接懇求時發(fā)送ＳYN報文是大于64字節(jié)的.因此可以在關(guān)鍵節(jié)點上設(shè)置策略過濾64字節(jié)的ＴＣＰＳYN報文，某些宣揚具有防護SYＮFｌｏod攻擊的產(chǎn)品就是這么做的。隨著工具的改進，發(fā)出的ＴCPSＹN報文完全模擬常見的通用操作系統(tǒng)，并且ＩＰ頭和TＣＰ頭的字段完全隨機，這時就無法在設(shè)備上依據(jù)特定的規(guī)章來過濾攻擊報文。這時就需要依據(jù)閱歷推斷ＩP包頭里TＴL值不合理的數(shù)據(jù)包并阻斷,但這種手工的方法成本高、效率低。圖是某攻擊工具屬性設(shè)置。HYPERＬINK”htｔp：/／ｎeｗ。51ｃto．coｍ/ｆilｅs/uplｏaｄｉmg/2０07102９/17310111５．giｆ"＼t"_blank”圖SYNＣookie：就是給每一個懇求連接的IP地址安排一個Ｃｏｏkie，如果短時間內(nèi)連續(xù)受到某個IP的重復SYＮ報文，就認定是受到了攻擊，以后從這個ＩＰ地址來的包會被丟棄。但ＳYＮCooｋｉｅ依靠于對方使用真實的IＰ地址,如果攻擊者利用SOCK＿RＡW隨機改寫IP報文中的源地址，這個方法就沒效果了.3．１。3商業(yè)產(chǎn)品的防護算法sｙnｃｏｏkiｅ／ｓyｎpｒoxy類防護算法：這種算法對全部的ｓｙn包均主動回應(yīng),探測發(fā)起syｎ包的源IP地址是否真實存在;如果該IP地址真實存在，則該IP會回應(yīng)防護設(shè)備的探測包,從而建立TCＰ連接;大多數(shù)的國內(nèi)外抗拒絕服務(wù)產(chǎn)品采納此類算法。sａｆeｒeset算法：此算法對全部的syｎ包均主動回應(yīng)，探測包特意構(gòu)造錯誤的字段，真實存在的ＩＰ地址會發(fā)送ｒsｔ包給防護設(shè)備,然后發(fā)起第2次連接，從而建立ＴCP連接；部分國外產(chǎn)品采納了這樣的防護算法。syn重傳算法:該算法利用了TＣＰ／IＰ協(xié)議的重傳特性，來自某個源IP的第一個sｙn包到達時被直接丟棄并記錄狀態(tài),在該源IＰ的第2個syn包到達時進行驗證，然后放行。綜合防護算法:結(jié)合了以上算法的優(yōu)點，并引入了IP信譽機制。當來自某個源IＰ的第一個sｙn包到達時，如果該IP的信譽值較高，則采納synｃooｋie算法;而對于信譽值較低的源IＰ，則基于協(xié)議棧行為模式,如果syn包得到驗證,則對該連接進入sｙｎcooｋie校驗,一旦該IＰ的連接得到驗證則提高其信譽值。有些設(shè)備還采納了表結(jié)構(gòu)來存放協(xié)議棧行為模式特征值,大大削減了存儲量。HYPERＬINＫ”http:／/ｎew.５1cｔ/ｆｉｌes/upｌｏａｄｉｍｇ/２00７1029／1731０１11５.gif＂\ｔ”＿ｂlank＂圖如圖所示，DＤoS攻擊將造成網(wǎng)絡(luò)資源浪費、鏈路帶寬堵塞、服務(wù)器資源耗盡而業(yè)務(wù)中斷.這種攻擊大多數(shù)是由黑客非法掌握的電腦實施的.黑客非法掌握一些電腦之后，把這些電腦轉(zhuǎn)變?yōu)橛傻叵戮W(wǎng)絡(luò)遠程掌握的“bｏｔｓ",然后用這些電腦實施DＤoS攻擊.黑客還以每臺為單位，低價出租這些用于攻擊的電腦,真正擁有這些電腦的主人并不知道自己的計算機已經(jīng)被用來攻擊別人。由于有數(shù)百萬臺電腦現(xiàn)在已經(jīng)被黑客變成了“ｂotｓ”，因此這種攻擊將格外猛烈。被DＤｏS攻擊時的現(xiàn)象：網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包；制造高流量無用數(shù)據(jù),造成網(wǎng)絡(luò)擁塞，使受害主機無法正常和外界通訊；利用受害主機供應(yīng)的服務(wù)或傳輸協(xié)議上的缺陷,反復高速的發(fā)出特定的服務(wù)懇求,使受害主機無法準時處理全部正常懇求；嚴重時會造成系統(tǒng)死機。由于網(wǎng)絡(luò)層的拒絕服務(wù)攻擊有的利用了網(wǎng)絡(luò)協(xié)議的漏洞，有的則搶占網(wǎng)絡(luò)或者設(shè)備有限的處理能力,使得對拒絕服務(wù)攻擊的防治成為了一個令管理員格外頭痛的問題。尤其是目前在大多數(shù)的網(wǎng)絡(luò)環(huán)境骨干線路上普遍使用的防火墻、負載均衡等設(shè)備，在發(fā)生ＤDoＳ攻擊的時候往往成為整個網(wǎng)絡(luò)的瓶頸,造成全網(wǎng)的癱瘓。三．DDoS攻擊方式3。1ＳYＮFlood攻擊SYＮ—Fｌｏod攻擊是當前網(wǎng)絡(luò)上最為常見的DDoS攻擊,也是最為經(jīng)典的拒絕服務(wù)攻擊,它利用了ＴCP協(xié)議實現(xiàn)上的一個缺陷,通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報文,就可能造成目標服務(wù)器中的半開連接隊列被占滿，從而阻止其他合法用戶進行訪問.這種攻擊早在１９96年就被發(fā)現(xiàn)，但至今仍然顯示出強大的生命力。很多操作系統(tǒng),甚至防火墻、路由器都無法有效地防御這種攻擊，而且由于它可以便利地偽造源地址，追查起來格外困難.它的數(shù)據(jù)包特征通常是,源發(fā)送了大量的SＹN包,并且缺少三次握手的最后一步握手AＣＫ回復。3。１．１原理例如，攻擊者首先偽造地址對服務(wù)器發(fā)起SYN懇求（我可以建立連接嗎?)，服務(wù)器就會回應(yīng)一個ＡCＫ＋ＳYN（可以+請確認)。而真實的IＰ會認為，我沒有發(fā)送懇求，不作回應(yīng).服務(wù)器沒有收到回應(yīng)，會重試3—5次并且等待一個SＹNＴime（一般３0秒-２分鐘)后，丟棄這個連接。如果攻擊者大量發(fā)送這種偽造源地址的ＳYN懇求,服務(wù)器端將會消耗格外多的資源來處理這種半連接,保存遍歷會消耗格外多的CPU時間和內(nèi)存,何況還要不斷對這個列表中的ＩP進行ＳＹN+ACK的重試.最后的結(jié)果是服務(wù)器無暇理睬正常的連接懇求—拒絕服務(wù).在服務(wù)器上用ｎeｔsｔａt(yī)–aｎ命令查看ＳYN_RECＶ狀態(tài)的話，就可以看到:＼t"＿blank"圖如果我們抓包來看：ＨYＰEＲLINK”htｔｐ：／／new.５１cto．cｏｍ/ｆiｌｅs／uｐloａｄｉｍｇ/2007１029/1７31０1115。gif"＼t”_ｂlaｎｋ"圖可以看到大量的ＳYＮ包沒有AＣK回應(yīng)。3.１.2SYＮFlｏod防護目前市面上有些防火墻具有SYＮProxy功能，這種方法一般是定每秒通過指定對象(目標地址和端口、僅目標地址或僅源地址）的ＳＹN片段數(shù)的閥值，當來自相同源地址或發(fā)往相同目標地址的SＹN片段數(shù)達到這些閥值之一時，防火墻就開頭截取連接懇求和代理回復ＳＹN／ＡＣK片段,并將不完全的連接懇求存儲到連接隊列中直到連接完成或懇求超時。當防火墻中代理連接的隊列被填滿時,防火墻拒絕來自相同平安區(qū)域（ｚoｎe)中全部地址的新SＹＮ片段，避開網(wǎng)絡(luò)主機患病不完整的三次握手的攻擊。但是，這種方法在攻擊流量較大的時候,連接消滅較大的延遲，網(wǎng)絡(luò)的負載較高，很多情況下反而成為整個網(wǎng)絡(luò)的瓶頸；RaｎdoｍDrｏp：隨機丟包的方式雖然可以減輕服務(wù)器的負載，但是正常連接的成功率也會降低很多；特征匹配：ＩＰS上會常用的手段,在攻擊發(fā)生的當時統(tǒng)計攻擊報文的特征，定義特征庫,例如過濾不帶TＣPＯpｔionｓ的syn包等;早期攻擊工具（例如sｙnkilｌｅr，ｘdoｓ，hｇod等）通常是發(fā)送６4字節(jié)的ＴＣPSＹN報文,而主機操作系統(tǒng)在發(fā)起TCP連接懇求時發(fā)送SYN報文是大于6４字節(jié)的。因此可以在關(guān)鍵節(jié)點上設(shè)置策略過濾6４字節(jié)的TCPSYＮ報文，某些宣揚具有防護ＳＹNＦｌooｄ攻擊的產(chǎn)品就是這么做的.隨著工具的改進，發(fā)出的ＴCＰＳＹＮ報文完全模擬常見的通用操作系統(tǒng),并且IP頭和TCP頭的字段完全隨機,這時就無法在設(shè)備上依據(jù)特定的規(guī)章來過濾攻擊報文。這時就需要依據(jù)閱歷推斷IP包頭里ＴＴL值不合理的數(shù)據(jù)包并阻斷,但這種手工的方法成本高、效率低。圖是某攻擊工具屬性設(shè)置。ＨYPEＲＬIＮK＂http：//new。51ｃｔ/fｉleｓ/ｕploaｄiｍｇ/200７1029／17310１１１5.ｇif＂\t"_blanｋ"圖SYＮCoｏkie：就是給每一個懇求連接的IP地址安排一個Cookie，如果短時間內(nèi)連續(xù)受到某個ＩP的重復SＹＮ報文,就認定是受到了攻擊，以后從這個IＰ地址來的包會被丟棄。但SYNCoｏkiｅ依靠于對方使用真實的ＩP地址,如果攻擊者利用ＳＯＣK＿RAW隨機改寫IP報文中的源地址，這個方法就沒效果了。３。１．３商業(yè)產(chǎn)品的防護算法ｓｙｎｃoｏkie／syｎｐｒoxｙ類防護算法：這種算法對全部的syｎ包均主動回應(yīng),探測發(fā)起syn包的源IP地址是否真實存在；如果該IP地址真實存在，則該IP會回應(yīng)防護設(shè)備的探測包，從而建立TCＰ連接；大多數(shù)的國內(nèi)外抗拒絕服務(wù)產(chǎn)品采納此類算法。ｓafeｒeset算法:此算法對全部的syｎ包均主動回應(yīng),探測包特意構(gòu)造錯誤的字段,真實存在的ＩP地址會發(fā)送ｒｓt包給防護設(shè)備，然后發(fā)起第２次連接,從而建立TCＰ連接;部分國外產(chǎn)品采納了這樣的防護算法。ｓｙｎ重傳算法：該算法利用了TＣP/IP協(xié)議的重傳特性，來自某個源ＩＰ的第一個syn包到達時被直接丟棄并記錄狀態(tài)，在該源IP的第2個ｓyn包到達時進行驗證,然后放行。綜合防護算法：結(jié)合了以上算法的優(yōu)點,并引入了IP信譽機制.當來自某個源IP的第一個syｎ包到達時，如果該IP的信譽值較高，則采納ｓｙnｃooｋie算法;而對于信譽值較低的源IP，則基于協(xié)議棧行為模式,如果syn包得到驗證,則對該連接進入syncookiｅ校驗，一旦該ＩP的連接得到驗證則提高其信譽值.有些設(shè)備還采納了表結(jié)構(gòu)來存放協(xié)議棧行為模式特征值,大大削減了存儲量。3。2AＣＫFlｏoｄ攻擊３.2.1原理ACKFlｏod攻擊是在TCP連接建立之后，全部的數(shù)據(jù)傳輸TＣＰ報文都是帶有ＡCK標志位的，主機在接收到一個帶有AＣＫ標志位的數(shù)據(jù)包的時候，需要檢查該數(shù)據(jù)包所表示的連接四元組是否存在,如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法，然后再向應(yīng)用層傳遞該數(shù)據(jù)包。如果在檢查中發(fā)現(xiàn)該數(shù)據(jù)包不合法，例如該數(shù)據(jù)包所指向的目的端口在本機并未開放,則主機操作系統(tǒng)協(xié)議棧會回應(yīng)RSＴ包告知對方此端口不存在.這里,服務(wù)器要做兩個動作：查表、回應(yīng)ACＫ/RＳT。這種攻擊方式顯然沒有SYNFｌood給服務(wù)器帶來的沖擊大，因此攻擊者肯定要用大流量ACＫ小包沖擊才會對服務(wù)器造成影響。依據(jù)我們對TＣP協(xié)議的理解，隨機源IP的ACK小包應(yīng)該會被Ｓeｒｖer很快丟棄,由于在服務(wù)器的TCP堆棧中沒有這些AＣK包的狀態(tài)信息.但是實際上通過測試,發(fā)現(xiàn)有一些TCP服務(wù)會對ACＫＦlｏod比較敏感，比如說ＪＳPＳerveｒ，在數(shù)量并不多的ＡCK小包的打擊下,JSPServeｒ就很難處理正常的連接懇求。對于Aｐａchｅ或者ＩIS來說,１0kｐｐs的ＡCKFlｏoｄ不構(gòu)成危脅，但是更高數(shù)量的ＡＣKＦｌooｄ會造成服務(wù)器網(wǎng)卡中斷頻率過高,負載過重而停止響應(yīng).可以肯定的是,ACKFlｏｏｄ不但可以危害路由器等網(wǎng)絡(luò)設(shè)備,而且對服務(wù)器上的應(yīng)用有不小的影響.抓包:HYPＥRＬINＫ”ｈｔtp：／/ｎeｗ。51ｃto．cｏm/ｆilｅs／uｐloadiｍg／２00710２9/１7３1011１5．giｆ"\t"_ｂlａｎｋ＂圖如果沒有開放端口,服務(wù)器將直接丟棄，這將會耗費服務(wù)器的CPＵ資源。如果端口開放，服務(wù)器回應(yīng)ＲST。３．2．2AＣKFlｏod防護利用對稱性推斷來分析出是否有攻擊存在.所謂對稱型推斷,就是收包特別大于發(fā)包，由于攻擊者通常會采納大量ACK包，并且為了提高攻擊速度，一般采納內(nèi)容基本全都的小包發(fā)送。這可以作為推斷是否發(fā)生ＡCKＦlｏｏd的依據(jù),但是目前已知情況來看，很少有單純使用ACKFlｏｏd攻擊，都會和其他攻擊方法混合使用,因此,很容易產(chǎn)生誤判。一些防火墻應(yīng)對的方法是：建立一個haｓｈ表，用來存放TCＰ連接“狀態(tài)”,相對于主機的TCPstacｋ實現(xiàn)來說,狀態(tài)檢查的過程相對簡化。例如，不作seｑｕencenumｂｅr的檢查，不作包亂序的處理，只是統(tǒng)計肯定時間內(nèi)是否有ＡＣＫ包在該“連接"(即四元組）上通過,從而“大致”確定該“連接”是否是“活動的”。３.3UDPFloｏd攻擊３.3．1原理UDPＦlooｄ是日漸猖厥的流量型DoS攻擊,原理也很簡潔。常見的情況是利用大量ＵDP小包沖擊DNS服務(wù)器或Raｄiｕs認證服務(wù)器、流媒體視頻服務(wù)器。１00ｋpｐs的UＤPFloｏd常常將線路上的骨干設(shè)備例如防火墻打癱,造成整個網(wǎng)段的癱瘓。由于UDＰ協(xié)議是一種無連接的服務(wù)，在ＵDPＦＬOＯD攻擊中,攻擊者可發(fā)送大量偽造源IＰ地址的?。誅P包。但是,由于UDP協(xié)議是無連接性的,所以只要開了一個UDＰ的端口供應(yīng)相關(guān)服務(wù)的話，那么就可針對相關(guān)的服務(wù)進行攻擊。正常應(yīng)用情況下，UDＰ包雙向流量會基本相等,而且大小和內(nèi)容都是隨機的,變化很大。消滅UDPＦlood的情況下，針對同一目標IP的ＵDＰ包在一側(cè)大量消滅,并且內(nèi)容和大小都比較固定。攻擊工具:ＨYPＥRLＩＮK”httｐ：／/neｗ．51ctｏ．com/filｅs/ｕｐloadiｍg/2００７1029/１73101115.gｉf”＼ｔ＂＿blａnｋ＂圖5３端口的UDPFlood攻擊抓圖:ＨＹPERLINＫ"ｈttp：//ｎew.5１ｃｔ/fｉｌes／upｌoａdｉmg／２０07102９／1７３10１１1５.gｉf＂\t＂＿ｂlａｎk＂圖UDＰFｌoｏd大包攻擊(占帶寬,分片）：HＹＰEＲLIＮK”http：／/new.51cｔo。ｃｏm／ｆilｅs／uplｏａdiｍｇ／20071０29/17３１０1１1５．gｉf"\ｔ”＿blaｎk"圖3。3.2UＤＰFlｏod防護ＵDＰ協(xié)議與ＴＣＰ協(xié)議不同，是無連接狀態(tài)的協(xié)議,并且ＵDＰ應(yīng)用協(xié)議五花八門，差異極大,因此針對ＵＤPＦlｏoｄ的防護格外困難。其防護要依據(jù)簡略情況對待:推斷包大小,如果是大包攻擊則使用防止UDP碎片方法：依據(jù)攻擊包大小設(shè)定包碎片重組大小,通常不小于１５00。在極端情況下,可以考慮丟棄全部UDＰ碎片。攻擊端口為業(yè)務(wù)端口:依據(jù)該業(yè)務(wù)UDP最大包長設(shè)置ＵDＰ最大包大小以過濾特別流量。攻擊端口為非業(yè)務(wù)端口:一個是丟棄全部UDＰ包,可能會誤傷正常業(yè)務(wù)；一個是建立UDP連接規(guī)章,要求全部去往該端口的UDP包,必須首先與TCP端口建立ＴCP連接.不過這種方法需要很專業(yè)的防火墻或其他防護設(shè)備支持。IＣＭPFlood的攻擊原理和ＡCKＦlood原理類似，屬于流量型的攻擊方式,也是利用大的流量給服務(wù)器帶來較大的負載,影響服務(wù)器的正常服務(wù)。由于目前很多防火墻直接過濾ICMＰ報文,因此IＣＭPFloｏd消滅的頻度較低。比較下面兩幅圖,就應(yīng)該可以看出是否有IＣＭPFｌoｏd攻擊。正常ICMP包:ＨYPＥRLIＮK"hｔｔp：／/nｅｗ。５1cｔ/fｉleｓ/ｕｐｌｏadimg／2０071０２9/1７310１115．ｇiｆ”＼t”_blank"圖大包攻擊的時候:＿bｌank"圖存在大量連接狀態(tài)，來自少數(shù)的幾個源.如果統(tǒng)計的話,可以看到連接數(shù)對比平常消滅特別.并且增長到某一值之后開頭波動,說明此時可能已經(jīng)接近性能極限。因此，對這種攻擊的推斷：在流量上體現(xiàn)并不大，甚至可能會很??；大量的ESTAＢLISH狀態(tài)；新建的ＥSＴABＬISH狀態(tài)總數(shù)有波動.3.5．2CoｎnｅｃtionＦloｏd防護主動清除殘余連接。對惡意連接的IＰ進行封禁。限制每個源ＩP的連接數(shù)?？梢詫μ囟ǖ腢RL進行防護。反查Proxy后面發(fā)起HTTPＧetFlooｄ的源。3。6HＴTＰＧｅt攻擊3。６．1原理這種攻擊主要是針對存在ASP、ＪSＰ、PＨP、CGＩ等腳本程序,并調(diào)用ＭＳＳＱＬSeｒver、MySQLServeｒ、Ｏraｃle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計的,特征是和服務(wù)器建立正常的TＣＰ連接，并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用,典型的以小博大的攻擊方法。一般來說,提交一個GET或ＰOST指令對客戶端的耗費和帶寬的占用是幾乎可以忽視的,而服務(wù)器為處理此懇求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的數(shù)據(jù)庫服務(wù)器很少能支持數(shù)百個查詢指令同時執(zhí)行,而這對于客戶端來說卻是輕而易舉的，因此攻擊者只需通過Prｏxy代理向主機服務(wù)器大量遞交查詢指令，只需數(shù)分鐘就會把服務(wù)器資源消耗掉而導致拒絕服務(wù),常見的現(xiàn)象就是網(wǎng)站慢如蝸牛、ＡSＰ程序失效、PHＰ連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用ＣPＵ偏高。這種攻擊的特點是可以完全繞過一般的防火墻防護，輕松找一些Pｒoxy代理就可實施攻擊，缺點是應(yīng)付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣,并且有些Ｐroxy會暴露攻擊者的IP地址.攻擊工具：HYPＥRLＩＮK”hｔｔp：/／new。5１ｃtｏ。cｏm／ｆiｌｅｓ/ｕploadｉmg/20071029/17３１0１１15.giｆ"\t＂_ｂｌａｎｋ＂圖在患病攻擊的服務(wù)器上抓包，大量不同IP在懇求資源.在實際情況中，也有可能使用代理地址連接.ＨＹＰERLINK＂http：／/neｗ.５１ｃto．cｏm/filｅs／ｕｐloadiｍｇ/２0071029／17310１1１５。ｇif＂\ｔ"_ｂlａnｋ”３。6.2ＨTＴPGｅt防護對是否H