拒绝服务攻击现状分析

“百花齐放”拒绝服务攻击现状分析【导读】：拒绝服务技术的创新已经基本尘埃落定，而上个世纪最后十年的发明也逐渐遥远。然而，随着宽带接入、自动化和如今家庭计算机功能的日益强大，使得对拒绝服务攻击的研究有些多余。技术拒绝服务技术的创新已经基本尘埃落定，而上个世纪最后十年的发明也逐渐遥远。然而，随着宽带接入、自动化和如今家庭计算机功能的日益强大，使得对拒绝服务攻击的研究有些多余。尤其是当我们发现一些本已在90年代末销声匿迹的古老的攻击方式，（例如land，其使用类似的源和目标IP地址和端口发送UDP信息包）这些攻击技术现在又卷土重来时，这个结论就更加显而易见。在这一方面唯一的进步就是可以发起并行任务，从而可以通过简单的486处理器所无法实现的方式来显着提高攻击强度。另一个要考虑的重点是事实上IP堆栈似乎并未正确地安装补丁程序。计算机不再会因为单一的信息包而崩溃；但是，CPU操作会为了处理这种信息包而保持高速运行。因为补丁失效期间生成的信息包是有限的，所以要实现有效的攻击并不容易。可能是技术提高得太快。不管是什么原因，这些陈旧过时的攻击方式现在又卷土重来，而且还非常有效。使用拒绝服务拒绝服务攻击开始可能只是为了“取乐”，对系统操作员进行某种报复或是实现各种复杂的攻击，例如对远程服务的隐形欺骗。某人因在某一信道上遭到侮辱后也经常会将IRC服务器作为攻击目标。这种情况下的网络和因特网使用是“保密的”，这些攻击对其造成的影响微乎其微。随着时间的流逝，因特网逐渐成为一种通信渠道，hacktivism（网络激进主义）越来越流行。地理政治形势、战争、宗教问题、生态等任何动机都可能成为对公司、政治组织或甚至国家的IT基础架构发动进攻的动机。最近的拒绝服务攻击更多的是与联机游戏有关。某些玩家对在游戏中被人杀死或丢失他们喜爱的武器不满意，因此发动拒绝服务攻击，许多服务器已经成为这种攻击的牺牲品。但是如今使用拒绝服务的目的大多数是纯粹的敲诈勒索。越来越多的企业开始依赖他们的IT基础架构。邮件、关键数据、甚至电话都通过网络来处理。如果没有这些主要的通信渠道，大多数公司都难以在竞争中幸存。而且，因特网还是一种生产工具。例如，搜索引擎和博彩web站点都完全依赖网络连接。因此，随着公司直接或间接地依赖因特网，原有的敲诈信逐渐转变成数字形式。首先在短暂而非紧要的时间段内发动攻击。然后受害者就不得不支付“保护费”。网络协议攻击这些攻击瞄准传输信道，并因此以IP堆栈作为攻击目标，IP堆栈是内存和CPU之类关键资源的进入点。SYN洪水SYN洪水是典型的基于概念的拒绝服务攻击，因为这种攻击完全依赖于TCP连接的建立方式。在最初的3向握手期间，服务器填写保存内存中会话信息的TCB（传输控制块）表。当服务器收到来自客户机的初始SYN信息包时，向客户机发送回一个SYN-ACK信息包并在TCB中创建一个入口。只要服务器在等待来自客户机的最终ACK信息包，该连接便处于TIME_WAIT状态。如果最终没有收到ACK信息包，则将另一个SYN-ACK发送到客户机。最后，如果经多次重试后，客户机没有认可任何SYN-ACK信息包，则关闭会话并从TCB中刷新会话。从传输第一个SYN-ACK到会话关闭这段时间通常大约为30秒。在这段时间内，可能会将数十万个SYN信息包发送到开放的端口且绝不会认可服务器的SYN-ACK信息包。TCB很快就会超过负荷，且堆栈无法再接受任何新的连接并将现有的连接断开。因为攻击者不用接收来自服务器的SYN-ACK信息包，所以他们可以伪造初始SYN信息包的源地址。这就使得跟踪攻击的真实来源更加困难。此外，因为SYN-ACK信息包没有发送到攻击者，所以这样还为攻击者节省了带宽。生成这种攻击很容易，只要在命令行输入一条命令就足够了。#hping3--rand-source–S–L0–p存在的变体也很少，通常为了增加CPU的使用率会将某些异常添加到SYN信息包。这些可能是序列号或源端口0等合法的异常。SYN-ACK洪水SYN-ACK洪水的作用基础是令CPU资源枯竭。从理论上讲，这种信息包是TCP3向握手的第二步，而且在TCB中应该有对应的入口。浏览TCB将会使用CPU资源，尤其TCB很大时会耗用更多的CPU资源。因此，负荷较重时，这种对资源的使用会影响系统性能。这也就是SYN-ACK攻击所仰仗的利器。向系统发送一个巨荷的SYN-ACK信息包会显着增加系统CPU的使用率。因此，用于组织TCB的哈希算法和哈希表大小之选择会影响攻击的效率（请参阅“概念”和“逻辑缺陷”）。而且，因为这些SYN-ACK信息包不属于现有的连接，所以目标机器不得不将RST信息包发送到源机器，从而增加了链路上的带宽占用率。对于SYN洪水，攻击者为了避免接收到RST，当然可以伪造源机器的IP地址，这样还可以提高攻击者的可用带宽。这也只需要一条简单的命令就可以进行这种攻击。一个重要因子是由第三方服务器基于反射机制而生成SYN-ACK信息包的能力。在将SYN信息包发送到服务器的开放端口时，该服务器将SYN-ACK信息包发送回源机器。此时任何服务器都可能为这种攻击充当中继。发送到服务器的简单SYN信息包带有伪造的源，其发送到目标时生成SYN-ACK返回目标。这种技术让跟踪更加困难。而且，在某些情况下，还可以绕过某些防伪机制。尤其当目标和攻击者属于同一干道而且部署的uRPF（参阅“防伪”）距离目标机器和攻击者足够远时，更有可能避开防伪机制。通过与SYN洪水联结还可以提高此种攻击的强度。SYN洪水在TCB中创建入口，而TCB因此变得越来越大。由于此时浏览TCB所需的时间更长，所以SYN-ACK洪水的功效大大增加。