分布式拒絕服務(wù)攻擊及防范研究

（四川大學 計算機學院， 四川 成都 610064）

摘 要：拒絕服務(wù)攻擊(Denial of Service，DoS)是網(wǎng)絡(luò)上最常見的一種攻擊方式，其攻擊類型繁多、影響廣泛，其中的分布式拒絕服務(wù)攻擊(Distributed Denial of Service，DDoS)更是嚴重威脅網(wǎng)絡(luò)安全，受到這種攻擊的損失是無法計量的。系統(tǒng)地分析了分布式拒絕服務(wù)攻擊的攻擊原理和攻擊類型，通過研究各個DDoS攻擊程序提出相應(yīng)的防御方法。

關(guān)鍵詞：拒絕服務(wù)攻擊；分布式拒絕服務(wù)攻擊； 掃描； 入侵檢測

中圖法分類號：TP393．08文獻標識碼：A

文章編號：1001-3695(2006)08-0136-03



Research on Distributed Denial of Service Attacks and Defense

LIN Mei qin， LI Zhi shu， YUAN Xiao ling， ZHOU Mi， WANG Xue song， TONG Ming

(College of Computer Science， Sichuan University， Chengdu Sichuan 610064， China)

Abstract:Denial of Service(DoS) is one of the most popular attack type on Internet， which has various attack methods and makes extensive influence. DoS， especially Distributed Denial of Service (DDoS) brings a very serious threat to the security of the Internet. The losing was immeasurable while under such attack. The paper analyses the theory and types of the DDoS and gives the defense mechanisms against specifically DDoS.

Key words:Denial of Service(DoS); Distributed Denial of Service (DDoS); Scan; Intrusion Detection

網(wǎng)絡(luò)的普及給人們帶來了很大的方便，但其中潛在的安全問題也越來越嚴峻，各類攻擊層出不窮，其中大部分的攻擊是拒絕服務(wù)攻擊，在拒絕服務(wù)攻擊中又以分布式拒絕服務(wù)攻擊的危害為最。

1拒絕服務(wù)攻擊定義

拒絕服務(wù)攻擊是指一個用戶占據(jù)了大量的共享資源，使系統(tǒng)沒有剩余的資源給其他用戶可用的一種攻擊方式。拒絕服務(wù)攻擊降低了資源的可用性，這些資源可以是處理器、磁盤空間、CPU使用的時間、打印機、調(diào)制解調(diào)器，甚至是系統(tǒng)管理員的時間，攻擊的結(jié)果是減少或失去服務(wù)。拒絕服務(wù)攻擊的種類很多，其攻擊目標有很多種。該類攻擊有時會持續(xù)幾分鐘、幾小時、幾天，會影響網(wǎng)絡(luò)性能、數(shù)據(jù)一致性和操作系統(tǒng)。

一個較嚴重的拒絕服務(wù)攻擊可以讓許多著名的網(wǎng)站，如Yahoo，Amazon損失幾百萬美元。它的攻擊數(shù)量正以驚人的速度增長，其部分原因是由于這類軟件的流行。拒絕服務(wù)攻擊的復(fù)雜度不斷提升，這就要求嚴格的安全措施和新的保護機制。

2拒絕服務(wù)攻擊的工作原理

拒絕服務(wù)攻擊通常是利用軟件編程中的漏洞來編寫實施攻擊的特殊程序。它一般以下列的方式產(chǎn)生效果[1]：

(1)消耗帶寬。它是指攻擊網(wǎng)絡(luò)中的計算機時大量占用現(xiàn)有網(wǎng)絡(luò)資源。這樣在攻擊過程中，網(wǎng)絡(luò)的響應(yīng)速度會很慢甚至使服務(wù)器停止工作，像網(wǎng)站、電子郵件、文件服務(wù)器等應(yīng)用會無法正常工作。

(2)侵占資源。與網(wǎng)絡(luò)一樣，操作系統(tǒng)的內(nèi)存、硬盤和處理能力都是有限的。拒絕服務(wù)攻擊就是占用這些資源的一種或全部，使其他應(yīng)用無法進行。侵占資源的目標一般是一些提供特殊服務(wù)的計算機系統(tǒng)，如Web，E-mail，DNS和FTP。

(3)使系統(tǒng)和應(yīng)用崩潰。如果一個程序本身的漏洞可以導(dǎo)致其或系統(tǒng)崩潰的話，實現(xiàn)拒絕服務(wù)攻擊就變得非常容易。一個著名的例子就是“死亡之Ping”（Ping of Death），它利用超長的ICMP響應(yīng)請求實施攻擊，目標主機由于無法正確處理這個數(shù)據(jù)包而崩潰。

3分布式拒絕服務(wù)攻擊

分布式拒絕服務(wù)攻擊（DDoS）的攻擊手段是在傳統(tǒng)的拒絕服務(wù)攻擊基礎(chǔ)上產(chǎn)生的攻擊方式。這種攻擊通過控制多臺傀儡機向目標發(fā)起進攻來實現(xiàn)，因此它的攻擊傷害比一對一的拒絕服務(wù)攻擊要強大得多，也難防范得多。

高速廣泛連接的網(wǎng)絡(luò)給大家?guī)砹朔奖悖矠镈DoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時代，攻擊者占領(lǐng)攻擊用的傀儡機時，總是優(yōu)先考慮離目標網(wǎng)絡(luò)距離近的機器，因為經(jīng)過路由器的跳數(shù)少、效果好。而現(xiàn)在電信骨干節(jié)點之間的連接都是以G為級別的，大城市之間更可以達到2．5G的連接，這使得攻擊可以從更遠的地方或者其他城市發(fā)起，攻擊者的傀儡機位置可以分布在更大的范圍，選擇起來更靈活。

被DDoS攻擊時的現(xiàn)象包括：被攻擊主機上有大量等待的TCP連接；網(wǎng)絡(luò)中充斥著大量無用的數(shù)據(jù)包，源地址為假；制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機無法正常與外界通信；利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)出特定的服務(wù)請求，使受害主機無法及時處理所有正常請求；造成系統(tǒng)死機等。

DDoS攻擊原理圖如圖1所示。

如圖1所示，一個比較完善的DDoS攻擊體系分成四大部分：攻擊者、控制傀儡機、攻擊傀儡機、受害者。其中第②和第③部分分別用作控制和實際發(fā)起攻擊。對受害者來說，DDoS的實際攻擊包是從第③部分的攻擊傀儡機上發(fā)出的，第②部分的控制機只發(fā)布命令而不參與實際的攻擊。對第②和第③部分計算機，攻擊者有控制權(quán)或部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺上。這些程序與正常的程序一樣運行并等待來自攻擊者的指令，通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時，這些傀儡機并沒有什么異常，只是一旦攻擊者連接到它們進行控制并發(fā)出指令時，攻擊傀儡機就發(fā)起攻擊了。

攻擊者不直接去控制攻擊傀儡機，而要從控制傀儡機上轉(zhuǎn)一下是DDoS攻擊難以追查的原因之一。對攻擊者來說，使用的傀儡機越多，他提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺機器后，高水平的攻擊者會首先做兩件事：考慮如何留好后門以及如何清理日志。如果攻擊者把日志全都刪掉，管理員發(fā)現(xiàn)日志都沒了就會知道有人開始入侵攻擊。一般聰明的攻擊者會把有關(guān)自己的日志項目刪掉，讓人看不到異常的情況，這樣可以長時間地利用傀儡機。

但是在第③部分攻擊傀儡機上清理日志是一項龐大的工程，如果有些攻擊機弄得不干凈，通過上面的線索就能找到控制它的上一級計算機。該上一級的計算機如果是攻擊者自己的機器，它就會被查出來，但如果是控制用的傀儡機的話，攻擊者自身還是安全的。控制傀儡機的數(shù)目相對很少，一般一臺就可以控制幾十臺攻擊機，清理一臺計算機的日志對攻擊者來講卻輕松很多，這樣從控制機再找到攻擊者的可能性也大大降低[2]。

4攻擊程序及防范

迄今為止攻擊者最常使用的幾種DDoS攻擊程序是：Trinoo，TFN，Stacheldraht和TFN2k。

4．1Trinoo

Trinoo是發(fā)布最早的主流工具，因而功能沒有TFN2k那么強大。因為TFN2k使用ICMP所以非常隱蔽，在被攻擊的計算機上沒有端口可以檢測。Trinoo使用TCP和UDP，因而如果在正常的基礎(chǔ)上用掃描程序檢測端口，攻擊程序很容易被檢測到。

Trinoo的工作方式是通過一個遠程控制程序（攻擊者）和主控（Master）通信，指揮守護進程（服務(wù)器程序）發(fā)動攻擊[3]。對于Trinoo，守護進程駐存在實際進行攻擊的系統(tǒng)上，而Master控制守護進程系統(tǒng)。

攻擊者控制了足夠數(shù)量的傀儡機并在傀儡機上安裝配置好DDoS軟件，便建立好了Trinoo網(wǎng)絡(luò)，隨時可以進行攻擊。

針對Trinoo攻擊的基本特性可采用如下抵御策略：

（1）使用入侵檢測軟件尋找使用UDP的數(shù)據(jù)流（類型17）。

（2）Master程序的監(jiān)聽端口是27655，攻擊者一般借助Telnet通過TCP連接到Master程序所在的計算機。入侵檢測軟件能夠搜索到使用TCP（類型6）并連接到端口27655的數(shù)據(jù)流。

（3）所有從Master程序到代理程序的通信都包含字符串“144”，并且被引導(dǎo)到代理的UDP端口27444。入侵檢測軟件檢查到UDP端口27444的連接，如果有包含字符串144的信息包被發(fā)送過去，那么接受這個信息包的計算機可能就是DDoS代理。

（4）Master和代理之間通信受到口令的保護，但是口令沒有加密發(fā)送，因此它可以被“嗅探”到并被檢測出來。

一旦將Trinoo代理識別出來，便可按如下方法拆除Trinoo網(wǎng)絡(luò)：在代理Daemon上使用“Strings”命令，將Master的IP地址暴露出來，與所有作為Master的機器管理者聯(lián)系，通知它們這一事件。在Master計算機上，識別含有代理IP地址列表的文件，得到這些計算機的IP地址列表，向代理發(fā)送一個偽造“Trinoo”命令來禁止代理。通過Crontab文件（在UNIX系統(tǒng)中）的一個條目，代理可以有規(guī)律地重新啟動。因此，代理計算機需要一遍一遍地被關(guān)閉，直到代理系統(tǒng)的管理者修復(fù)了Crontab文件為止。檢查Master程序的活動TCP連接，這能顯示攻擊者與Master程序之間存在的實時連接，如果網(wǎng)絡(luò)正在遭受Trinoo攻擊，那么系統(tǒng)就會被UDP信息包所淹沒。Trinoo從同一源地址向目標主機上的任意端口發(fā)送信息包。探測Trinoo就是要找到多個UDP信息包，它們使用同一來源IP地址、同一目的IP地址、同一源端口，但是不同的目的端口[4]。

4．2TFN（Tribe Flood Network）

TFN是德國著名黑客Mixter編寫的，與Trinoo相似，都是在互聯(lián)網(wǎng)的大量UNIX系統(tǒng)中開發(fā)和測試的。它由客戶端程序和守護程序組成，通過綁定到TCP端口的Root Shell控制，實施ICMP Flood，SYN Flood，UDP Flood和Smurf等多種拒絕服務(wù)的分布式網(wǎng)絡(luò)攻擊。

TFN客戶端、主控端和代理端主機相互間通信時使用ICMP Echo和Icmp Echo Reply數(shù)據(jù)包。

針對TFN攻擊的基本特性可采用如下抵御策略：

（1）發(fā)動TFN時，攻擊者要訪問Master程序并向它發(fā)送一個或多個目標IP地址，然后Master程序與所有代理程序通信，指示它們發(fā)動攻擊。

Master程序與代理程序之間的通信使用ICMP回音/應(yīng)答信息包，實際要執(zhí)行的指示以二進制形式包含在16位ID域中。ICMP使信息包協(xié)議過濾成為可能，通過配置路由器或入侵檢測系統(tǒng)，不允許所有的ICMP回音或回音/應(yīng)答信息包進入網(wǎng)絡(luò)就可以達到挫敗TFN代理的目的，但是這樣會影響所有使用這些功能的Internet程序，如Ping。

Master程序讀取一個IP地址列表，其中包含代理程序的位置。這個列表可能使用如“Blowfish”的加密程序進行加密，如果沒有加密，就可以從這個列表方便地識別出代理信息。

（2）用于發(fā)現(xiàn)系統(tǒng)上TFN代理程序的是程序td，發(fā)現(xiàn)系統(tǒng)上Master程序的是程序tfn.TFN。代理并不查看ICMP回音/應(yīng)答信息包來自哪里，因此使用偽裝ICMP信息包沖刷掉這些過程是可能的[4]。

4．3Stacheldraht

Stacheldraht是另一個DDoS攻擊工具，它結(jié)合了Trinoo與TFN的特點，并添加了一些補充特征，如加密組件之間的通信和自動更新守護進程。Stacheldraht使用TCP和ICMP通信。

對于Stacheldraht，攻擊者與主控端交互，同時主控端控制代理端。Stacheldraht在功能上與前面提到的Trinoo，TFN等細節(jié)相近。

針對Stacheldraht攻擊的基本特征可采取以下防御措施：

（1）同防御TFN攻擊類似，不允許一切ICMP回音或回音/應(yīng)答信息包進入網(wǎng)絡(luò)，可以挫敗Stacheldraht代理。同樣地，這樣會影響所有要使用這些功能的Internet程序。

（2）代理程序要讀取一個包含有效Master程序的IP地址列表，這個地址列表使用了Blowfish加密程序進行加密。代理會試圖與列表上所有的Master程序進行聯(lián)系，如果聯(lián)系成功，代理程序就會進行一個測試，以確定它被安裝到的系統(tǒng)是否會允許它改變“偽造”信息包的源地址。通過配置入侵檢測系統(tǒng)或使用嗅探器來搜尋它們的簽名信息，可以探測出這兩個行為。

代理會向每個Master發(fā)送一個ICMP回音/應(yīng)答信息包，其中有一個ID域包含值666，一個數(shù)據(jù)域包含字符串“skillz”。如果Master收到了這個信息包，它會以一個包含值667的ID域和一個包含字符串“ficken”的數(shù)據(jù)域應(yīng)答，代理和Master通過交換這些信息包來實現(xiàn)周期性的基本接觸。通過對這些信息包的監(jiān)控，可以探測出Stacheldraht。

一旦代理找到了一個有效的Master程序，它會向Master發(fā)送一個ICMP信息包，其中有一個偽造的源地址，這是在執(zhí)行一個偽造測試。這個假地址是“3．3．3．3”，如果Master收到了這個偽造地址，在它的應(yīng)答中，用ICMP信息包數(shù)據(jù)域中的“spoofworks”字符串來確認偽造的源地址是有效的。通過監(jiān)控這些值，也可以將Stacheldraht檢測出來[4]。

4．4TFN2k

TFN2k代表TFN 2000版，是Mixter編寫的TFN后續(xù)版本。這個新的DDoS工具已在原有的基礎(chǔ)上大大前進了一步，它允許端口上隨機通信（這樣就繞過了邊界路由器上端口阻擋的防護措施）以及加密（可繞過入侵檢測軟件的保護）。與其先輩一樣，TFN2k攻擊可以與SYN，UDP，ICMP和Smurf攻擊相配合，它還可在不同的攻擊方式之間隨機切換。不過它與Stracheldraht的“加密”不同，TFN2k使用的是基于64位編碼的弱加密方式。

TFN2k也是由兩部分組成，即客戶端程序和在代理端主機上的守護進程。客戶端向守護進程發(fā)送攻擊指定的目標主機列表，代理端守護進程據(jù)此對目標進行拒絕服務(wù)攻擊。由一個客戶端程序控制的多個代理端主機，能夠在攻擊過程中相互協(xié)同，保證攻擊的連續(xù)性。客戶端程序和代理端的網(wǎng)絡(luò)通信是經(jīng)過加密的，還可能混雜許多虛假數(shù)據(jù)包。整個TFN2k網(wǎng)絡(luò)可能使用不同的TCP，UDP或ICMP包進行通信，而且客戶端還能偽造其IP地址。所有這些特性都使發(fā)展防御TFN2k攻擊的策略和技術(shù)非常困難或效率低下。

TFN2k的技術(shù)包括：

（1）主控端通過TCP，UDP，ICMP或隨機性使用其中之一的數(shù)據(jù)包向代理端主機發(fā)送命令。對目標的攻擊方法包括TCP/SYN，UDP，ICMP/Ping或Broadcast Ping（Smurf）數(shù)據(jù)包等。

（2）主控端與代理端之間數(shù)據(jù)包的頭信息是隨機的，除了ICMP總是使用ICMP Echo Reply類型數(shù)據(jù)包。

（3）守護程序是完全沉默的，不會對接收到的命令有任何回應(yīng)。客戶端重復(fù)發(fā)送每個命令20次，并且認為守護程序至少能接收到其中一個。

（4）命令數(shù)據(jù)包可能混雜了許多發(fā)送到隨機IP地址的偽造數(shù)據(jù)包。

（5）所有命令都經(jīng)過CAST 256算法（RFC 2616）加密。加密關(guān)鍵字在程序編譯時定義，并作為TFN2k客戶端程序的口令。

（6）所有加密數(shù)據(jù)在發(fā)送前都被編碼（Base64）成可打印的ASCII字符。TFN2k守護程序接收數(shù)據(jù)包并解密數(shù)據(jù)。

（7）守護進程為每一個攻擊產(chǎn)生子進程。

（8）TFN2k守護進程試圖通過修改argv[0]內(nèi)容（或在某些平臺中修改進程名）以掩飾自己。偽造的進程名在編譯時指定，因此每次安裝時都有可能不同。這個功能使TFN2k偽裝成代理端主機的普通正常進程。因此，只是簡單地檢查進程列表未必能找到TFN2k守護進程（及其子進程）。

由此可見，TFN2k非常隱蔽，這些手段使得它很難被檢測到。因為沒有端口號，所以很難探測，即使在正常的基礎(chǔ)上使用端口掃描程序也無法探測到用戶的系統(tǒng)正被用作TFN2k服務(wù)器[5]。目前仍沒有能有效防御TFN2k拒絕服務(wù)攻擊的方法，最有效的策略是防止網(wǎng)絡(luò)資源被用作客戶端或代理端。

根據(jù)TFN2k的基本特性，可采用的預(yù)防手段有以下幾種：

（1）只使用應(yīng)用代理型防火墻，這能夠有效地阻止所有的TFN2k通信。但只使用應(yīng)用代理服務(wù)器通常是不切實際的，因此只能盡可能地使用最少的非代理服務(wù)。

（2）禁止不必要的ICMP，TCP和UDP通信，特別是對于ICMP數(shù)據(jù)，可只允許ICMP類型3（Destination Unreachable，目標不可到達）數(shù)據(jù)包通過。如果不能禁止ICMP協(xié)議，那就禁止主動提供或所有的ICMP Echo Reply包。

（3）禁止不在允許端口列表中的所有UDP和TCP包。

（4）配置防火墻過濾所有可能的偽造數(shù)據(jù)包。

（5）對系統(tǒng)進行補丁和安全配置，以防止攻擊者入侵并安裝TFN2k。

檢測手段有以下幾種：

（1）掃描客戶端/守護程序的名字。

（2）根據(jù)TFN2k的特征字符串掃描所有可執(zhí)行文件。

（3）掃描系統(tǒng)內(nèi)存中的進程列表。

（4）檢查ICMP Echo Reply數(shù)據(jù)包的尾部是否含有連續(xù)的0x41（TFN2k命令數(shù)據(jù)包的特征）。另外，檢查數(shù)據(jù)側(cè)面內(nèi)容是否都是ASCII可打印字符（2B，2F 39，0x41~0x5A，0x61~0x7A）。

（5）監(jiān)視含有相同數(shù)據(jù)內(nèi)容的連續(xù)數(shù)據(jù)包（有可能混合了TCP，UDP和ICMP包）。

此外，一旦在系統(tǒng)中發(fā)現(xiàn)了TFN2K，必須立即通知專家追蹤入侵。因為TFN2K的守護進程不會對接收到的命令作任何回復(fù)，TFN2K客戶端一般會繼續(xù)向代理端主機發(fā)送命令數(shù)據(jù)包。另外，入侵者發(fā)現(xiàn)攻擊失效時往往會試圖連接到代理端主機上進行檢查。這些網(wǎng)絡(luò)通信都可被追蹤。

5結(jié)束語

分布式拒絕服務(wù)攻擊嚴重危害著網(wǎng)絡(luò)安全，如果能時刻保持警惕心理，采取必要的防范措施，一定能將受到攻擊帶來的損失減到最小。除了進行帶寬限制、及時給系統(tǒng)安裝補丁、運行盡可能少的服務(wù)、封鎖敵意IP、使用防火墻等常見措施外，一般實施最少權(quán)限原則是保持網(wǎng)絡(luò)安全的關(guān)鍵。此外，安裝入侵檢測系統(tǒng)、使用掃描工具等手段來探測系統(tǒng)是否被侵入或服務(wù)器被用來進行攻擊是必要的。

參考文獻：

[1]黃鑫，沈傳寧，吳魯加. 網(wǎng)絡(luò)安全技術(shù)教程——攻擊與防范[M]. 北京：中國電力出版社，2002.168-176.

[2]徐一丁.分布式拒絕服務(wù)攻擊(DDoS)原理及防范[EB/OL]. http://www 900.ibm.com/developerWorks/cn/security/se ddos/index.shtml， 2002.

[3][美] Stuart McClure， Joel Scambray， George Kurtz. 黑客大曝光[M]. 劉江，揚繼張，鐘向群. 北京：清華大學出版社，2003.352-359.

[4]甘冀平.典型DoS攻擊原理及抵御措施[EB/OL]. http://www.enet.com.cn/eschool/inforcenter/A20040227289880_2.html， 2005.

[5]David Dittrich. 分布式拒絕服務(wù)（DDoS）攻擊工具分析——TFN2K[EB/OL]. http://www.chinaitab.com/www/news/article_show.asp?id=5336， 2002.

作者簡介：林梅琴（1981-），女，福建福清人，碩士研究生，主要研究方向為計算機網(wǎng)絡(luò)與信息系統(tǒng)；李志蜀（1946-），男，重慶人，教授，博士生導(dǎo)師，主要研究方向為計算機網(wǎng)絡(luò)、智能控制等；袁小玲（1982-），女，四川廣元人，碩士研究生，主要研究方向為計算機網(wǎng)絡(luò)與信息系統(tǒng)；周密（1982-），女，四川成都人，碩士研究生，主要研究方向為計算機網(wǎng)絡(luò)與信息系統(tǒng)；王雪松（1982-），男，重慶人，碩士研究生，主要研究方向為計算機網(wǎng)絡(luò)與信息系統(tǒng)；童銘（1981-），男，重慶人，碩士研究生，主要研究方向為計算機網(wǎng)絡(luò)與信息系統(tǒng)。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。