论文部分内容阅读
随着Internet的发展和多种DDOS工具的不断发布,DDOS拒绝服务攻击的实施越来越容易。DDOS攻击随处可见,人们为克服DDOS攻击进行了大量研究。
1 DDOS攻击原理
1.1 产生根源
1)Internet自身的设计缺陷。Internet设计的首要目标是:网络在遭到外来或内部损坏时仍然保证可靠的数据传输和可达。网络中复杂和智能的部分都集中到网络的边缘,中间网络设计除了保存一些必要的状态(如路由)外,基本做到“无状态”。因此,Internet的承载协议IP协议也被设计成无连接的。中间网络的无状态和IP协议的无连接直接导致网络管理者很难监督网络行为,使DDOS攻击成为可能。
2)系统安全依赖于外部网络的安全。在DDOS攻击中,攻击者利用大量的傀儡主机来协助其发动攻击。这些傀儡主机大多是由于种种原因没有及时安装安全补丁的具有安全漏洞的主机。Internet上存在大量这样的主机,这就构成DDOS攻击滋生和蔓延的土壤。
3)资源受限。常见的DDOS攻击以消耗服務资源为攻击模式。经常攻击目标的服务资源包括网络带宽、系统CPU处理能力、内存容量、缓存区、操作系统数据结构(如系统堆栈等)、硬盘存储空间,甚至并发接入用户数等。在DDOS攻击中,攻击者可以调动上千上万台傀儡主机同时发起大规模的攻击,再多的资源也会被消耗殆尽。
1.2 攻击的一般过程
在DDOS攻击中,攻击者通过控制一批傀儡主机达成分布式攻击的目的。攻击模型如图1所示。
1)扫描探测网络。攻击者(Attacker)一般直接控制一台攻击主机,并通过该主机运行扫描程序来扫描(scanning)网络中的主机,搜集相关信息,确定不同主机的安全防护强弱程度,找出有安全漏洞的主机作为下一步的入侵目标。
2)构建攻击网。利用系统安全漏洞入侵上一步确定的目标,并植入像特洛伊木马(Trojan)这样的后门程序以便后续控制。这些被攻击者控制的主机称为傀儡主机(ZombieHost)。傀儡主机又能继续以上过程继续扫描并入侵其他主机,不断扩大攻击网的规模。近几年网络蠕虫病毒的肆虐大大加速了傀儡主机的繁衍。
傀儡主机又分为控制傀儡机(Handler)和攻击傀儡机(Agent),两者在职能上有所区别。攻击者一般只直接控制少量的控制傀儡机,再通过控制傀儡机间接控制一大批攻击傀儡机。控制傀儡机并不直接参与攻击,主要负责从攻击者那里接受攻击命令,并按预定程序向其控制的攻击傀儡机下达攻击命令。攻击傀儡机才是直接攻击源,负责向被攻击者发送攻击报文。攻击主机、控制傀儡机和攻击傀儡机构成分层的协同攻击网。
攻击网分层设置的好处有两种:一种是由控制傀儡机代替攻击者对攻击傀儡机发布攻击命令,这样攻击者在向控制傀儡机发布完预设的攻击命令后,就可以脱离网络以免在攻击过程中被追踪;另一种是分层的控制结构可以避免由单一控制系统发布攻击命令带来的网络拥塞问题,以避免暴露攻击者的位置和意图,且可以保证攻击的突然性和协同性。
而且,攻击网内部的通信方式也在不断发展,目前主要有2种方式。第一种是直接通信方式:控制傀儡机和攻击傀儡机之间采用客户机/服务器(Client/Server,CS)通信模式。这种通信模式必然要求知道对方的确切IP地址,并在特定的端口进行监听。因此,一旦有一台傀儡机被发现,那么整个攻击网将可能会暴露无遗。第二种是间接通信方式:利用IRC(Internet Relay Chat)网络实现攻击网的匿名通信。采用这种通信方式,有以下几点好处:IRC信道为攻击网的通信提供足够的匿名性,攻击者可以利用合法的IRC通信端口服务来发送攻击命令,而不易暴露;攻击网通信隐藏在大量的正常通信中,不易被发现;攻击者不需要保留傀儡主机列表,随时通过登录IRC服务器获取;IRC网络还能提供方便的文件共享服务,这也为攻击程序的发布和更新提供了渠道。
3)安装攻击程序。当攻击网构建完成后,攻击主机可以向控制傀儡机下达攻击命令,攻击命令包括被攻击者的IP地址、攻击周期和攻击方法等内容。
4)发动攻击。在接到攻击命令后,控制傀儡机通知攻击傀儡机展开攻击。攻击傀儡机在接到攻击命令后同时向被攻击者(Victim)发送攻击报文,使得受害主机或网络无法提供正常服务,从而达到拒绝服务攻击的目的。
2 DDOS攻击的特点
1)分布式:DDOS攻击中攻击者是通过操控一个精心组织的攻击网来发起协同攻击。
2)使用欺骗技术:攻击者经常采用IP欺骗等手段来达到隐蔽攻击源头的目的。
3)发起攻击容易:DDOS攻击工具在网络上肆意泛滥,易用性不断提高。
4)攻击特征不明显:DDOS攻击采用貌似合法的攻击报文,报文没有明显的特征,很难被防御系统辨别。
5)威力强大,破坏严重:DDOS攻击由于借助大量的傀儡主机同时发起攻击,所以经过汇聚后到达受害者的攻击流可能非常庞大,不仅造成的危害严重,而且很难防御。
3 小结
本文对分布式拒绝服务攻击的原理进行系统地介绍和分析,为以后有针对性地提出更加有效的安全措施提供信息服务平台。
1 DDOS攻击原理
1.1 产生根源
1)Internet自身的设计缺陷。Internet设计的首要目标是:网络在遭到外来或内部损坏时仍然保证可靠的数据传输和可达。网络中复杂和智能的部分都集中到网络的边缘,中间网络设计除了保存一些必要的状态(如路由)外,基本做到“无状态”。因此,Internet的承载协议IP协议也被设计成无连接的。中间网络的无状态和IP协议的无连接直接导致网络管理者很难监督网络行为,使DDOS攻击成为可能。
2)系统安全依赖于外部网络的安全。在DDOS攻击中,攻击者利用大量的傀儡主机来协助其发动攻击。这些傀儡主机大多是由于种种原因没有及时安装安全补丁的具有安全漏洞的主机。Internet上存在大量这样的主机,这就构成DDOS攻击滋生和蔓延的土壤。
3)资源受限。常见的DDOS攻击以消耗服務资源为攻击模式。经常攻击目标的服务资源包括网络带宽、系统CPU处理能力、内存容量、缓存区、操作系统数据结构(如系统堆栈等)、硬盘存储空间,甚至并发接入用户数等。在DDOS攻击中,攻击者可以调动上千上万台傀儡主机同时发起大规模的攻击,再多的资源也会被消耗殆尽。
1.2 攻击的一般过程
在DDOS攻击中,攻击者通过控制一批傀儡主机达成分布式攻击的目的。攻击模型如图1所示。
1)扫描探测网络。攻击者(Attacker)一般直接控制一台攻击主机,并通过该主机运行扫描程序来扫描(scanning)网络中的主机,搜集相关信息,确定不同主机的安全防护强弱程度,找出有安全漏洞的主机作为下一步的入侵目标。
2)构建攻击网。利用系统安全漏洞入侵上一步确定的目标,并植入像特洛伊木马(Trojan)这样的后门程序以便后续控制。这些被攻击者控制的主机称为傀儡主机(ZombieHost)。傀儡主机又能继续以上过程继续扫描并入侵其他主机,不断扩大攻击网的规模。近几年网络蠕虫病毒的肆虐大大加速了傀儡主机的繁衍。
傀儡主机又分为控制傀儡机(Handler)和攻击傀儡机(Agent),两者在职能上有所区别。攻击者一般只直接控制少量的控制傀儡机,再通过控制傀儡机间接控制一大批攻击傀儡机。控制傀儡机并不直接参与攻击,主要负责从攻击者那里接受攻击命令,并按预定程序向其控制的攻击傀儡机下达攻击命令。攻击傀儡机才是直接攻击源,负责向被攻击者发送攻击报文。攻击主机、控制傀儡机和攻击傀儡机构成分层的协同攻击网。
攻击网分层设置的好处有两种:一种是由控制傀儡机代替攻击者对攻击傀儡机发布攻击命令,这样攻击者在向控制傀儡机发布完预设的攻击命令后,就可以脱离网络以免在攻击过程中被追踪;另一种是分层的控制结构可以避免由单一控制系统发布攻击命令带来的网络拥塞问题,以避免暴露攻击者的位置和意图,且可以保证攻击的突然性和协同性。
而且,攻击网内部的通信方式也在不断发展,目前主要有2种方式。第一种是直接通信方式:控制傀儡机和攻击傀儡机之间采用客户机/服务器(Client/Server,CS)通信模式。这种通信模式必然要求知道对方的确切IP地址,并在特定的端口进行监听。因此,一旦有一台傀儡机被发现,那么整个攻击网将可能会暴露无遗。第二种是间接通信方式:利用IRC(Internet Relay Chat)网络实现攻击网的匿名通信。采用这种通信方式,有以下几点好处:IRC信道为攻击网的通信提供足够的匿名性,攻击者可以利用合法的IRC通信端口服务来发送攻击命令,而不易暴露;攻击网通信隐藏在大量的正常通信中,不易被发现;攻击者不需要保留傀儡主机列表,随时通过登录IRC服务器获取;IRC网络还能提供方便的文件共享服务,这也为攻击程序的发布和更新提供了渠道。
3)安装攻击程序。当攻击网构建完成后,攻击主机可以向控制傀儡机下达攻击命令,攻击命令包括被攻击者的IP地址、攻击周期和攻击方法等内容。
4)发动攻击。在接到攻击命令后,控制傀儡机通知攻击傀儡机展开攻击。攻击傀儡机在接到攻击命令后同时向被攻击者(Victim)发送攻击报文,使得受害主机或网络无法提供正常服务,从而达到拒绝服务攻击的目的。
2 DDOS攻击的特点
1)分布式:DDOS攻击中攻击者是通过操控一个精心组织的攻击网来发起协同攻击。
2)使用欺骗技术:攻击者经常采用IP欺骗等手段来达到隐蔽攻击源头的目的。
3)发起攻击容易:DDOS攻击工具在网络上肆意泛滥,易用性不断提高。
4)攻击特征不明显:DDOS攻击采用貌似合法的攻击报文,报文没有明显的特征,很难被防御系统辨别。
5)威力强大,破坏严重:DDOS攻击由于借助大量的傀儡主机同时发起攻击,所以经过汇聚后到达受害者的攻击流可能非常庞大,不仅造成的危害严重,而且很难防御。
3 小结
本文对分布式拒绝服务攻击的原理进行系统地介绍和分析,为以后有针对性地提出更加有效的安全措施提供信息服务平台。