论文部分内容阅读
摘要:伴随着信息技术发展, “黑客”越来越成为网络上最流行的一个词语。“熊猫”刚走,“灰鸽子”又来。对黑客攻击防御的研究也是一项长抓不懈的任务。分布式拒绝服务攻击是黑客经常使用且很难防御的攻击方式。
关键词:黑客;拒绝服务攻击;分布式拒绝服务攻击
一、黑客攻击技术
在网络攻击的早期,用户往往要与感染有活性病毒的媒介相互作用才能受到病毒的攻击。这些旧攻击技术往往凭借终端用户的疏忽而得手,从而招致感染其计算机和网络。可现在,终端用户无需做任何错事就可能被黑客捕获,其主要手段有:
1、获取口令 :网络安全技术的发展使这类方法有一定的局限性,如果用户再有足够的安全意识的话这种方法很难奏效,但黑客一旦取得口令危害性极大。
2、放置特洛伊木马程序:被入侵的前提是你的个人电脑中有并隐藏的很好特洛伊木马程序,这样才可以为入侵者服务。
3、WWW的欺骗技术 :如果人们不登陆莫名网站,就不会被虚假的信息欺骗而被遭受黑客的攻击。
4、电子邮件攻击:早期网络攻击中令人头痛的的攻击方式,但现如今电子邮件本身的反垃圾邮件就可以使其“英雄无用武之地”。
5、通过一个节点来攻击其他节点:这类攻击很狡猾,但由于某些技术很难掌握,如IP欺骗,因此较少被黑客使用。
6、寻找系统漏洞:许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的,还有一些漏洞是由于系统管理员配置错误引起的。
二、最新的拒绝服务攻击---DDoS1
DDoS攻击体系
如图,一个比较完善的DDoS攻击体系分成四大部分,最重要的是2和3部分:它们分别用做控制和实际发起攻击。对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。
在占领一台机器后,攻击者会首先做两件事:1. 考虑如何留好后门!2. 如何清理日志。这就是擦掉痕迹,不让自己做的事被别人查觉到。一般的黑客会把日志全都删掉,但这样的话网管员发现日志都没了就会知道被入侵了,会及时修补漏洞。而真正的好手会挑有关自己的日志项目删掉,让人看不到异常的情况,这样可以长时间地利用傀儡机。
2、DDos攻击工具
目前,所知道的对网络进行DDoS攻击所使用的工具有:Trinoo、Tribe Flood Network(TFN)、TFN2k和Stacheldraht等。
1.Trinoo:它是基于UDP flood的攻击软件。
2.TFN:它是利用ICMP给代理服务器下命令,它可以发动SYN flood、UDP flood、ICMP flood及Smurf(利用多台服务器发出海量数据包,实施DoS攻击)等攻击。
3.Stacheldraht:对命令来源做假。
三、黑客拒绝服务攻击的一般步骤
1、目标情报搜集
情报搜集过程中攻击者一般对下列的信息感兴趣:
? 被攻击目标主机数目、地址情况
? 目标主机的配置、性能
? 目标的带宽
对于DDoS攻击者来说,攻击互联网上的某个站点,如http://www.mytarget.com,有一个重点就是确定到底有多少台主机在支持这个站点,一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例,一般会有下列地址都是提供http://www.yahoo.com服务的:
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86
如果要进行DDoS攻击的话,想让别人访问不到http://www.yahoo.com的话,要所有这些IP地址的机器都瘫掉才行。在实际的应用中,一个IP地址往往还代表着数台机器:网站维护者使用了四层或七层交换机来做负载均衡,把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。
2、占领傀儡机
黑客一般最感兴趣的是有下列情况的主机:
? 链路状态好的主机
? 性能好的主机
? 安全管理水平差的主机
这一部分实际上是使用了另一大类的攻击手段:利用形攻击。这是和DDoS并列的攻击方式。简单地说,就是占领和控制被攻击的主机,取得最高的管理权限,或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说,准备好一定数量的傀儡机是一个必要的条件,下面说一下是如何占领它们的。
首先,是一般的扫描,随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器,象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…,都是黑客希望看到的扫描结果。随后就是尝试入侵了,他会把DDoS攻击用的程序上载过去,一般是利用ftp。在攻击机上,会有一个DDoS的發包程序,黑客就是利用它来向受害目标发送恶意攻击包的。
经过前两个阶段的精心准备之后,黑客就开始对目标准备攻击了。前面的准备做得好的话,实际攻击过程反而是比较简单的,向所有的攻击机发出攻击命令。这时埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令,一起向受害主机以高速度发送大量的数据包,导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击。 四、DDoS的防范
对付DDOS是一个系统工程,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施可以抵御绝大多数的DDOS攻击。
1、修改注册表防范DDoS攻击
该设置的性能取决于服务器的配置,尤其是CPU的处理能力,采用双路至强2.4G的服务器配置,经过测试,可承受大约1万个包的攻击量。
2、其他防御措施
(1)采用高性能的网络设备
要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。
(2)尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,采用此技术会较大降低网络通信能力,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算。
(3)充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,最好是挂在1000M的主干上了。
(4)升级主机服务器硬件
尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。
(5)把网站做成静态页面
把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,如新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器,此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于恶意行为。
(6)增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个。
(7)安装专业抗DDOS防火墙
国内有一款可全功能免费试用的“冰盾防火墙”,是专门针对DDOS攻击和黑客入侵而设计的专业级防火墙,据测试可有效对抗每秒数十万的SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等DDOS攻击,而且可识别2000多种黑客行为的入侵检测模块,能够有效防范端口扫描、SQL注入、木马上传等攻击。
参考文献:
[1]蔡永 钱兆丰 何正宏《防毒反黑就这么几招》中国电力出版社 2006/06 126-138页.
[2]甘冀平《典型DoS攻击原理及抵御措施》http://www.51cto.com 2005-11-23出處:Yesky.
[3]刘听.吴秋峰,袁萌.分布式拒绝服务研究与探讨[J].计算机工程与应用,2005, 5: 131-133.
[4]谢希仁.《计算机网络》电子工业出版社.2005.2
关键词:黑客;拒绝服务攻击;分布式拒绝服务攻击
一、黑客攻击技术
在网络攻击的早期,用户往往要与感染有活性病毒的媒介相互作用才能受到病毒的攻击。这些旧攻击技术往往凭借终端用户的疏忽而得手,从而招致感染其计算机和网络。可现在,终端用户无需做任何错事就可能被黑客捕获,其主要手段有:
1、获取口令 :网络安全技术的发展使这类方法有一定的局限性,如果用户再有足够的安全意识的话这种方法很难奏效,但黑客一旦取得口令危害性极大。
2、放置特洛伊木马程序:被入侵的前提是你的个人电脑中有并隐藏的很好特洛伊木马程序,这样才可以为入侵者服务。
3、WWW的欺骗技术 :如果人们不登陆莫名网站,就不会被虚假的信息欺骗而被遭受黑客的攻击。
4、电子邮件攻击:早期网络攻击中令人头痛的的攻击方式,但现如今电子邮件本身的反垃圾邮件就可以使其“英雄无用武之地”。
5、通过一个节点来攻击其他节点:这类攻击很狡猾,但由于某些技术很难掌握,如IP欺骗,因此较少被黑客使用。
6、寻找系统漏洞:许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的,还有一些漏洞是由于系统管理员配置错误引起的。
二、最新的拒绝服务攻击---DDoS1
DDoS攻击体系
如图,一个比较完善的DDoS攻击体系分成四大部分,最重要的是2和3部分:它们分别用做控制和实际发起攻击。对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。
在占领一台机器后,攻击者会首先做两件事:1. 考虑如何留好后门!2. 如何清理日志。这就是擦掉痕迹,不让自己做的事被别人查觉到。一般的黑客会把日志全都删掉,但这样的话网管员发现日志都没了就会知道被入侵了,会及时修补漏洞。而真正的好手会挑有关自己的日志项目删掉,让人看不到异常的情况,这样可以长时间地利用傀儡机。
2、DDos攻击工具
目前,所知道的对网络进行DDoS攻击所使用的工具有:Trinoo、Tribe Flood Network(TFN)、TFN2k和Stacheldraht等。
1.Trinoo:它是基于UDP flood的攻击软件。
2.TFN:它是利用ICMP给代理服务器下命令,它可以发动SYN flood、UDP flood、ICMP flood及Smurf(利用多台服务器发出海量数据包,实施DoS攻击)等攻击。
3.Stacheldraht:对命令来源做假。
三、黑客拒绝服务攻击的一般步骤
1、目标情报搜集
情报搜集过程中攻击者一般对下列的信息感兴趣:
? 被攻击目标主机数目、地址情况
? 目标主机的配置、性能
? 目标的带宽
对于DDoS攻击者来说,攻击互联网上的某个站点,如http://www.mytarget.com,有一个重点就是确定到底有多少台主机在支持这个站点,一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例,一般会有下列地址都是提供http://www.yahoo.com服务的:
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86
如果要进行DDoS攻击的话,想让别人访问不到http://www.yahoo.com的话,要所有这些IP地址的机器都瘫掉才行。在实际的应用中,一个IP地址往往还代表着数台机器:网站维护者使用了四层或七层交换机来做负载均衡,把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。
2、占领傀儡机
黑客一般最感兴趣的是有下列情况的主机:
? 链路状态好的主机
? 性能好的主机
? 安全管理水平差的主机
这一部分实际上是使用了另一大类的攻击手段:利用形攻击。这是和DDoS并列的攻击方式。简单地说,就是占领和控制被攻击的主机,取得最高的管理权限,或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说,准备好一定数量的傀儡机是一个必要的条件,下面说一下是如何占领它们的。
首先,是一般的扫描,随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器,象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…,都是黑客希望看到的扫描结果。随后就是尝试入侵了,他会把DDoS攻击用的程序上载过去,一般是利用ftp。在攻击机上,会有一个DDoS的發包程序,黑客就是利用它来向受害目标发送恶意攻击包的。
经过前两个阶段的精心准备之后,黑客就开始对目标准备攻击了。前面的准备做得好的话,实际攻击过程反而是比较简单的,向所有的攻击机发出攻击命令。这时埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令,一起向受害主机以高速度发送大量的数据包,导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击。 四、DDoS的防范
对付DDOS是一个系统工程,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施可以抵御绝大多数的DDOS攻击。
1、修改注册表防范DDoS攻击
该设置的性能取决于服务器的配置,尤其是CPU的处理能力,采用双路至强2.4G的服务器配置,经过测试,可承受大约1万个包的攻击量。
2、其他防御措施
(1)采用高性能的网络设备
要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。
(2)尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,采用此技术会较大降低网络通信能力,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算。
(3)充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,最好是挂在1000M的主干上了。
(4)升级主机服务器硬件
尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。
(5)把网站做成静态页面
把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,如新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器,此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于恶意行为。
(6)增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个。
(7)安装专业抗DDOS防火墙
国内有一款可全功能免费试用的“冰盾防火墙”,是专门针对DDOS攻击和黑客入侵而设计的专业级防火墙,据测试可有效对抗每秒数十万的SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等DDOS攻击,而且可识别2000多种黑客行为的入侵检测模块,能够有效防范端口扫描、SQL注入、木马上传等攻击。
参考文献:
[1]蔡永 钱兆丰 何正宏《防毒反黑就这么几招》中国电力出版社 2006/06 126-138页.
[2]甘冀平《典型DoS攻击原理及抵御措施》http://www.51cto.com 2005-11-23出處:Yesky.
[3]刘听.吴秋峰,袁萌.分布式拒绝服务研究与探讨[J].计算机工程与应用,2005, 5: 131-133.
[4]谢希仁.《计算机网络》电子工业出版社.2005.2