拒绝服务攻击宝典

拒绝服务攻击宝典TT安全技术专题之“拒绝服务攻击宝典”第2页共35页拒绝服务攻击宝典我们所说的DoS(DenialofService)攻击其中文含义是拒绝服务攻击，这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。黑客不正当地采用标准协议或连接方法，向攻击的服务发出大量的讯息，占用及超越受攻击服务器所能处理的能力，使它当(Down)机或不能正常地为用户服务。“拒绝服务”是如何攻击的？有什么方法和措施可以防范此类攻击？在新时代云趋势的环境下，拒绝服务攻击又会如何发展？有什么新的趋势？本技术手册将从三个方面为您提供详细的安全策略，包括：拒绝服务攻击的原理，拒绝服务攻击的防范和拒绝攻击与云。教你认识拒绝服务攻击DoS即DenialOfService，拒绝服务的缩写。DoS是指故意攻击网络协议实现的缺陷，或直接通过野蛮手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。“拒绝服务”是如何攻击的？有哪些攻击方式？会造成什么后果？解析拒绝服务攻击的攻击技术分布式拒绝服务攻击(DDoS)原理及防范（一）分布式拒绝服务攻击(DDoS)原理及防范（二）TT安全技术专题之“拒绝服务攻击宝典”第3页共35页如何防范拒绝服务攻击只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。难道我们只能坐以待毙？没有什么方法可以防范拒绝服务攻击吗？拒绝式服务攻击袭来你采取防御措施了吗？如何防御网络拒绝服务攻击如何阻止分布式拒绝服务攻击如何防御网站上的分布式拒绝服务攻击四招打败僵尸网络的拒绝服务攻击风起“云”涌中的拒绝服务攻击拒绝服务攻击这一古老的网络犯罪在几年再次成为了数据中心运营者们的心头之患。随着公司越来越多地使用虚拟化数据中心和云服务，企业基础架构中新的薄弱环节也就渐渐浮出了水面。与此同时，拒绝服务攻击正在把目标从野蛮的数据洪潮中转向对应用基础架构更具技术性的攻击。当拒绝服务攻击遇到云，我门将遭遇什么？又该如何应对呢？当拒绝服务攻击遇到云云计算应对拒绝服务攻击的四个教训TT安全技术专题之“拒绝服务攻击宝典”第4页共35页解析拒绝服务攻击的攻击技术DoS即DenialOfService，拒绝服务的缩写。DoS是指故意攻击网络协议实现的缺陷，或直接通过野蛮手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者允许的连接。这种攻击会导致资源匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。事实上，任何事物都有一个极限，所以总能找到一个方法使请求的值大于该极限值，因此就会故意导致所提供的服务资源匮乏，导致服务资源无法满足需求的情况。所以，千万不要认为拥有了足够宽的带宽和足够快的服务器就有了一个不怕拒绝服务攻击的高性能网站，拒绝服务攻击会使所有的资源都变得非常渺小。其实，有个形象的比喻可以深入理解DoS。街头的餐馆是为大众提供餐饮服务，如果一群地痞流氓要对餐馆进行拒绝服务攻击的话，手段会很多，比如霸占着餐桌不结账，堵住餐馆的大门不让路，骚扰餐馆的服务员或厨子不能干活，甚至更恶劣……；相应地，计算机和网络系统是为互联网用户提供互联网资源的，如果有黑客要进行拒绝服务攻击的话，则同样有好多手段！今天最常见的拒绝服务攻击包括对计算机网络的带宽攻击和连通性攻击。带宽攻击是指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击是指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。传统上，攻击者所面临的主要问题是网络带宽，由于较小的网络规模和较慢的网络速度限制，攻击者无法发出过多的请求。虽然类似“thepingofdeath”的攻击类型只需要较少量的包就可以摧毁一个没有打过补丁的UNIX系统，但大多数的DoS攻击还是需要相当大带宽的，而以个人为单位的黑客们很难使用高带宽的资源。为了克服这个缺点，DoS攻击者开发了分布式的攻击。攻击者简单利用工具集合许多的网络带宽来同时对同一个目标发动大量的攻击请求，这就是DDoS攻击。TT安全技术专题之“拒绝服务攻击宝典”第5页共35页DDoS（DistributedDenialOfService），分布式拒绝服务攻击，又把DoS向前发展了一大步，这种分布式拒绝服务攻击是黑客利用在已经侵入并已控制的不同的高带宽主机（可能是数百，甚至成千上万台）上安装大量的DoS服务程序，它们等待来自中央攻击控制中心的命令，中央攻击控制中心在适时将启动全体受控主机的DoS服务进程，让它们对一个特定目标发送尽可能多的网络访问请求，形成一股DoS洪流冲击目标系统，猛烈的DoS攻击同一个网站。在寡不敌众的力量抗衡下，被攻击的目标网站会很快失去反应而不能及时处理正常的访问甚至系统瘫痪崩溃。可见DDoS与DoS的最大区别是人多力量大。DoS是一台机器攻击目标，DDoS是被中央攻击中心控制的很多台机器利用高带宽攻击目标，可更容易地将目标攻下。另外，DDoS攻击方式较为自动化，攻击者可以将程序安装到网络中的多台机器上，所采用的这种攻击方式很难被攻击对象察觉，直到攻击者发下统一的攻击命令，这些机器才同时发起进攻。可以说DDoS攻击是由黑客集中控制发动的一组DoS攻击的集合，现在这种方式被认为是最有效的攻击形式，并且非常难以抵挡。无论是DoS攻击还是DDoS攻击，简单地看，都只是一种破坏网络服务的黑客方式，虽然具体的实现方式千变万化，但都有一个共同点，就是其根本目的是使受害主机或网络无法及时接收并处理外界请求，或无法及时回应外界请求。其具体表现方式有以下几种：（1）制造大流量无用数据，造成通往被攻击主机的网络拥塞，使被攻击主机无法正常和外界通信；（2）利用被攻击主机提供服务或传输协议上处理重复连接的缺陷，反复高频地发出攻击性的重复服务请求，使被攻击主机无法及时处理其他正常的请求；（3）利用被攻击主机所提供服务程序或传输协议的本身缺陷，反复发送畸形的攻击数据引发系统错误地分配大量系统资源，使主机处于挂起状态甚至死机。(作者：人民网来源：TechTarget中国)TT安全技术专题之“拒绝服务攻击宝典”第6页共35页分布式拒绝服务攻击(DDoS)原理及防范（一）DDoS攻击概念DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的消化能力加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。被DDoS攻击时的现象被攻击主机上有大量等待的TCP连接网络中充斥着大量的无用的数据包，源地址为假制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求TT安全技术专题之“拒绝服务攻击宝典”第7页共35页严重时会造成系统死机攻击运行原理如图一，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。TT安全技术专题之“拒绝服务攻击宝典”第8页共35页有的朋友也许会问道：为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不愿意被捉到（我在小时候向别人家的鸡窝扔石头的时候也晓得在第一时间逃掉，呵呵），而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会首先做两件事：1.考虑如何留好后门（我以后还要回来的哦）！2.如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。黑客是如何组织一次DDoS攻击的？这里用组织这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过这样的步骤：1.搜集了解目标的情况下列情况是黑客非常关心的情报：被攻击目标主机数目、地址情况目标主机的配置、性能目标的带宽对于DDoS攻击者来说，攻击互联网上的某个站点，如，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的服务。以yahoo为例，一般会有下列地址都是提供服务的：66.218.71.87TT安全技术专题之“拒绝服务攻击宝典”第9页共35页66.218.71.8866.218.71.8966.218.71.8066.218.71.8166.218.71.8366.218.71.8466.218.71.86如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使66.218.71.87这台机