基于ＤＤｏＳ攻擊的研究

摘要：分布式拒絕服務(DDoS)攻擊是目前黑客經常采用而難以防范的攻擊手段。文章從DDoS的概念、攻擊原理、攻擊過程、攻擊方法四個方面對DDoS加以說明。最后，介紹了一個局域網內的攻擊實例。

關鍵詞：DDoS；TCP／IP；TCP連接洪水；TCP SYN洪水；Smurf攻擊

0引言

DDoS(分布式拒絕服務)，其全稱為Distributed Denial ofService，它是一種基于DoS(Denial 0f Service拒絕服務)的分布和協作的大規模攻擊方式，即集中Internet網上眾多“傀儡”機同時向一個目標發送數據包，以阻止人們正常訪問受害點。這種攻擊方式主要用來攻擊域名服務器、路由器以及其他網絡服務。以前，DoS是僅憑一個攻擊者的力量，所以根本無法消耗盡一個大型主機的資源，而DDoS攻擊因為集合了眾多已經被攻陷的系統去攻擊同一個目標，所以受害站點的資源就會很快被消耗殆盡。

1 DDoS的攻擊原理

DDoS的攻擊原理如圖1所示：

從圖1中可以看出，DDoS攻擊分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。

攻擊者 攻擊者所用的攻擊主控臺可以是網絡上的任何一臺主機，也可以是一個活動的便攜機。攻擊者通過向主控端發送攻擊命令，操縱整個攻擊過程。有經驗的攻擊者會一邊攻擊，一邊用各種手段來監視攻擊的效果，以便在需要的時候進行一些調整。簡單的監視方法就是不斷地ping目標主機。

主控端 主控端是攻擊者非法侵入并控制的一些主機，這些主機還分別控制著大量的代理主機。主控機被安裝了特定的程序，因此可以接受攻擊者發來的特殊指令，并且可以把這些命令發送到代理機上。主控機只發布命令而不參與實際的攻擊。

代理端 代理端同樣也是攻擊者侵入并控制的一批主機，它們接受和運行主控機發來的命令，從而運行攻擊者程序來發動攻擊。代理機直接向受害者發送攻擊命令。

由于攻擊者在幕后操縱，所以在攻擊時不會受到監控系統的跟蹤，身份不容易被發現。

2 DDOS攻擊過程

DDoS攻擊的實質是：入侵者利用了Intemet本身的弱點及Intemet總體上的不安全性，控制Intemet網上的主機作為主控端和代理端來發動攻擊。具體過程如下：

(1)入侵者先攻破一些安全性較差的機器作為控制點主機。安全性較差指：所用操作系統有Bug，但還未及時運行補丁程序或進行系統升級。根據攻擊類型的不同，入侵者可能需要通過盜用超級用戶口令，或使用raw socket等不同的途徑。但大多數的攻擊程序只需要有一般用戶的權限就足夠了。

(2)在被入侵主機上完成下面三項任務：

①在入侵主機上安裝后門程序，以便下次入侵；安裝攻擊程序，用于等待入侵者的命令。

②隱藏自己的身份和隱藏運行在這些機器中的程序，除去作案的痕跡。例如，替換進程查看工具(如ps)，使自己的程序不顯示出來；替換其他用戶管理工具，使其他的超級用戶不發現自己；刪除自己在系統日志中的部分記錄等等。

③記錄下被攻破主機的地址。

以上三步都是自動、高速完成的，被攻擊的系統的用戶是不會察覺的。

重復執行以上步驟，入侵者便會控制越來越多的機器，并且使自己遠離被攻擊的主機，進而達到隱藏自己的目的。

(3)發動攻擊。入侵者運行—個簡單命令，一層一層發送命令到所有主控機和代理機E，讓這些機器一齊向目標機傳送大量無用的數據包，就在這樣的“炮火”下，攻擊目標的網絡帶寬被占滿，路由器的處理能力被耗盡，從而無法響應正常用戶的訪問請求。當入侵者想停止攻擊時，只需發送另外一條簡單的命令即可。

3 DDOS攻擊的方法

通常，DDoS攻擊的目標是網絡的TCP／IP協議的內層結構，其攻擊方式可分為以下三種：第一種是利用TCP／IP協議的漏洞的攻擊；第二種是利用給定的TCP／IP協議棧軟件的弱點的攻擊；第三種是不斷嘗試的野蠻攻擊。

3．1破壞TCP／IP協議來進行攻擊

這種方式最典型的例子就是Ping of Death攻擊，攻擊者設計一個超過IP標準的最大長度－65535個字節的IP數據包發向被攻擊主機，當這個“浮腫的”數據包到達時，被攻擊主機就會出現內存分配錯誤，導致TCP／IP堆棧崩潰，致使主機死機。

另外一個例子是Teardrop攻擊。一個數據包從互聯網的發送端到達目的端的過程中，也許會被拆分成更小的數據報。每一個數據報都擁有最初的IP數據報的報頭，同時還用一個偏移字節來標示它擁有原始數據包中的哪些字節，通過這些信息，一個個被正常分割的數據包能夠在目的地被重新組裝起來，并且網絡也能夠正常運轉而不被中斷。當一次Teardrop攻擊開始時，被攻擊的主機將受到擁有重疊的偏移字段的IP數據報的“轟炸”。如果被攻擊的主機或路由器不能丟棄這些數據報，并且企圖重組它們，那么很快就會陷入癱瘓。

3．2利用TCP／IP協議本身的漏洞閉來進行攻擊

最流行的是SYN攻擊。SYN工作的原理就是利用TCP協議的“三次握手”過程進行攻擊。如果主機A要和主機B建立TCPflP連接，正常的連接過程如圖2所示：

(1)主機A發送一個TCP—SYN同步數據包給主機B；

(2)主機B發送一個TCP--ACK應答數據包給主機A；

(3)主機A用一個ACK應答數據包確認收到應答，握手成功，開始同步運行。

SYN攻擊時，攻擊者用許多TCP—SYN數據包發向被攻擊主機，每個SYN數據包迫使目標主機產生一個SYN--ACK應答數據包，然后等待對應的ACK應答。這很快就會導致過量的SYN--ACK一個接一個地堆積在緩存隊列里。一旦緩存隊列沒有空閑，系統就會停止應答其它的SYN請求。

如果SYN攻擊中包括了擁有錯誤IP源地址的SYN數據包，情況就會變得更糟。

我們不妨假設主機A在向主機B發送了TCP—SYN報文后突然死機或掉線，那么B在發出SYN—ACK應答報文后就無法收到A的ACK報文，則第三次握手無法完成。在這種情況下，主機B一般會再次發送SYN—ACK給A，并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYNTimeout，一般來說這個時間大約為30秒～2分鐘。如果有一個惡意的攻擊者發送大量擁有錯誤IP源地址的TCP—SYN數據包，接收端將為了維護一個非常大的半連接列表將要消耗非常多的資源。這數以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內存，何況還要不斷對這個列表中的IP進行SYN—ACK的重試。實際上，如果接收端的TCP／IP棧不夠強大，最后的結果往往是因為堆棧溢出而使系統崩潰；即使接收端的系統足夠強大，也將因忙于處理攻擊者偽造的TCP連接請求而無暇處理客戶的正常請求(畢竟客戶端的正常請求比率非常小)。

更具有攻擊力的是與SYN攻擊相似的Land攻擊，其TCP—SYN數據包帶有—個偽裝的IP地址，使數據包被識別為來自被攻擊主機自己所在的網絡內部，這使得問題更加嚴重。

3．3 Smurf攻擊和用戶數據報文協議攻擊

Smurf是一種簡單有效的DDoS攻擊技術，它利用了ICMP(Intemet Control Message Protocol Intemet控制信息協議)。ICMP在Intemet上用于錯誤處理和傳遞控制信息。它的功能之一是與主機聯系，通過發送一個“回音請求”(echo request)信息包檢測主機是否“活著”。最普通的ping程序就使用了這個功能。Smuff攻擊的原理是，攻擊者通過使用竊取來的被攻擊者的一個賬號，進而遠程登錄被攻擊主機，然后連續ping一個或多個計算機網絡，從而導致許多計算機響應被攻擊者，這樣，被攻擊者將很快被極大數量的響應信息淹沒。對這個偽造信息包做出響應的計算機網絡就成為攻擊者不知情的同謀。

3．4采用UDP的攻擊

攻擊者偽造出一個請求，將一個系統的UDP開啟測試服務程序與另一個系統的UDP應答程序連在一起。結果是，由UDP開啟測試服務程序偽隨機產生的字符在兩個系統間不停地被反射，使得合法應用程序的帶寬要求得不到滿足。

3．5反彈型DDoS

其原理是利用反彈(Reflector)服務器，例如：日常見到的www服務器、DNS服務器和路由服務器等都是反彈服務器。攻擊者就是利用反彈服務器產生的數據報來攻擊目標主機。

3．6新型DDoS

這種攻擊是把帶有指向攻擊目標返回地址的請求發給DNS(域名服務器)。這樣，DNS服務器就會成為傀儡機對目標機器進行直接攻擊。其攻擊比以前更加強大并且更難制止。據VeriSign公司透露，從2005年12月底開始的不到兩個月的時間里，就有1500個獨立的II'地址受到這種方法的攻擊。

4一次DDOS攻擊的實際過程

這是一個局域網環境，只有一臺攻擊機(AMDBarton2500+／512／English Windows xp Professional)，被攻擊的是一臺(P41．6／256／Windows Server 2003，Enterprise)主機，兩臺機器用百兆網卡直接連接。所使用的攻擊軟件為：攻擊方Portfuck 1．Ob2 Private Build、阿拉丁UDP攻擊器2．1；被攻擊方采用Sniffer Portable 4．70網絡監聽工具監聽。

Portfuck是“TCP連接洪水”工具。“TCP連接洪水”比我們上面介紹的“TCP SYN洪水”DDoS攻擊高一個檔次，而且它沒有什么簽名特征能讓人們在網絡邊境上濾掉它們。

當單獨使用Portfuck進行攻擊時，CPU占用率立即升至100％，但當在攻擊方使用Ping命令時，并沒有發現丟包現象。接著開啟阿拉丁UDP攻擊器，并在攻擊方使用Ping命令持續觀察。

4．1攻擊方使用Ping命令截獲部分數據

Pinging 1 92．1 68．0．2 with 32 bytes 0f data：

Reply from 1 92．1 68．0．2：bytes=32 time

Reply from 1 92．1 68．0．2：bytes=32 time=5ms TTL=1 28

Reply from 192．168．0．2：bytes=32 time=15ms TTL=128

Request timed out．

Request timed out．

Reply from 192．168．0．2：bytes=32 time：=7ms TTL．\"=128

Reply from 192．168．0．2：bytes=32 time：=8ms 1_rL=128

……

Reply from 192．168．0．2：bytes=32 time=1ms TTL．\"=128

Request timed out．

Reply from 192．160．2：bytes=32 time=4ms TTL-\"=128

Reply from 192．168．0．2：bytes=32 time=4ms TTL，\"=128

Reply from 192．160．2：bytes=32 time：=1ms TTL-\"=128

……

Ping statistics for 1 92．1 60．2：

Packets：Sent=1 20，Received=1 1 7，Lost=3(2％loss)，

Approximate round trip times in milti-seconds：

Minimum=0ms，Maximum=1 5ms，Average=3ms

ControI-C

4．2被攻擊方采用Sniffer Portable 4．70監聽到的部分數據

圖3所示為被攻擊方采用網絡監聽工具Sniffer portable

4．7所得到的部分結果。

此時被攻擊方的工作已出現明顯的延遲，作者試著打開一個Word文檔，延時就有1分半鐘。

分析上述現象：

首先，通過Ping命令，發現了較為嚴重(2％)的丟包現象。

其次，Ping命令出現了較長時間的延遲(Maximum=15ms，Avcrage=3ms)，而且目標主機的資源受到了很大的消耗。

這次攻擊僅僅是由一臺主機發起的，從中可以看出DDoS攻擊的威力之大。

5結束語

目前，對DDoS攻擊，還沒有非常有效的解決辦法，最佳的手段就是防患于未然。

第一，以預防為主，通過及時了解有關操作系統的安全漏洞以及相應的安全措施，及時安裝補丁程序并注意定期升級系統軟件，定期使用漏洞掃描軟件檢查內部網絡，過濾不必要的服務和端口，過濾所有RFCl918 IP地址等方法保證一般的外圍主機和服務器的安全。

第二，提高硬件設備的性能，包括升級主機服務器、采用高性能網絡設備和保證充足的網絡帶寬。

第三，設置好內部的網絡設備Ⅲ，主要是路由器和防火墻，要保證這些設備本身的安全，并對這些設備進行正確配置，使得進出防火墻的數據都經過嚴格過濾。

即便如此，DDoS攻擊也只能被減弱，無法被徹底消除。

(注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。)