分散式拒絕服務攻擊
出自 MBA智库百科(https://wiki.mbalib.com/)
分散式拒絕服務攻擊(Distributed Denial of Service,DDoS攻擊)
目錄 |
分散式拒絕服務攻擊是網路攻擊中非常常見的攻擊方式,在進行攻擊的時候,這種方式可以對不同地點的大量電腦進行攻擊,進行攻擊的時候主要是對攻擊的目標發送超過其處理能力的數據包,使攻擊目標出現癱瘓的情況,不能提供正常的服務。
分散式拒絕服務攻擊可以對多個聯合起來的電腦進行攻擊,進行攻擊的時候可以對一個或者是多個目標來進行攻擊,在進行攻擊的時候危害是非常大的。在進行攻擊的時候,攻擊人員可以通過竊取賬號的方式來對某個電腦來進行主控程式的安裝,在主控程式安裝完成以後再通過大量代理程式來進行通訊,在進行攻擊以前,代理程式已經通過互聯網被安裝到多台電腦上,代理程式的作用就是在收到攻擊的指令後就進行攻擊,攻擊的時候,主控程式可以在短時間內就激活上千次的代理程式,導致攻擊目標出現無法正常使用的情況。
分散式拒絕服務攻擊可以使很多的電腦在同一時間遭受到攻擊,使攻擊的目標無法正常使用,分散式拒絕服務攻擊已經出現了很多次,導致很多的大型網站都出現了無法進行操作的情況,這樣不僅僅會影響用戶的正常使用,同時造成的經濟損失也是非常巨大的。分散式拒絕服務攻擊方式在進行攻擊的時候,可以對源IP地址進行偽造,這樣就使得這種攻擊在發生的時候隱蔽性是非常好的,同時要對攻擊進行檢測也是非常困難的,因此這種攻擊方式也成為了非常難以防範的攻擊。
1.分散式拒絕服務攻擊分析
分散式拒絕服務攻擊在進行主機攻擊的時候是要花費大量的時間來進行準備,在主機完成攻擊以後才能對更多的從機進行攻擊。在對從機進行攻擊的時候需要在從機上安裝必要的程式,在接到攻擊的指令以後,程式會向伺服器發送非常多的虛假地址,伺服器在接收這些信息以後要得到信息回傳,因為發送的地址都是偽造的,這樣就會導致伺服器在回傳信息方面要一直進行等待,在伺服器等待一定的時間以後,會因為連接超時導致傳輸的信息被切斷,這時受到攻擊的從機還會繼續向伺服器發送新的請求,這樣反覆的發送,會使得伺服器的資源被耗盡,導致系統出現崩潰的情況。
2.分散式拒絕服務攻擊的特點
分散式拒絕服務攻擊採取的攻擊手段就是分散式的,在攻擊的模式改變了傳統的點對點的攻擊模式,使攻擊方式出現了沒有規律的情況,而且在進行攻擊的時候,通常使用的也是常見的協議和服務,這樣只是從協議和服務的類型上是很難對攻擊進行區分的。在進行攻擊的時候,攻擊數據包都是經過偽裝的,在源IP地址上也是進行偽造的,這樣就很難對攻擊進行地址的確定,在查找方面也是很難的。這樣就導致了分散式拒絕服務攻擊在檢驗方法上是很難做到的。
3.分散式攻擊會出現的現象
電腦在遭受到分散式拒絕服務攻擊以後會出現特定的現象,主要表現就是被攻擊的主機會出現大量的TCP連接等待,這時在網路中就會出現大量的沒有用處的數據包,這些無用的數據包出現會導致網路在運行的過程中出現堵塞的情況。被攻擊的主機在受到攻擊以後是無法同外界進行聯繫的,同時主機在提供服務和傳輸協議上是存在缺陷的,這樣就會導致主機在不斷反覆的進行服務請求的發出,使得主機無法對請求進行處理,進而會出現系統癱瘓的情況。
4.分散式拒絕服務攻擊的特性
對分散式攻擊進行必要的分析,就可以得到這種攻擊的特性。分散式拒絕服務在進行攻擊的時候,要對攻擊目標的流量地址進行集中,然後在攻擊的時候不會出現擁塞控制。在進行攻擊的時候會選擇使用隨機的埠來進行攻擊,會通過數千埠對攻擊的目標發送大量的數據包,使用固定的埠進行攻擊的時候,會向同一個埠發送大量的數據包。
5.分散式拒絕服務攻擊的程式
在進行網路攻擊的時候,分散式拒絕服務攻擊主要有幾種攻擊的程式。第一種是Trinoo,這種程式是出現最早的攻擊程式,在進行攻擊的時候主要是通過遠程式控制製程序和主控通訊,對伺服器程式發動攻擊。伺服器程式是存在於系統中的,在進行攻擊的時候,攻擊者要控制多台電腦,在這些電腦上進行分散式拒絕服務軟體的安裝,然後建立起來相應的網路,這樣就可以隨時對攻擊的目標進行攻擊。第二種是TFN,它由客戶端程式和守護程式組成。通過綁定到TCP埠的Root Shell控制,實施ICMP Flood,SYN Flood,UDPFlood和Smuff等多種拒絕服務的分散式網路攻擊。TFN客戶端、主控端和代理端主機相互間通信時使用ICMP Echo和Icmp EchoReply數據包。第三種是Stacbeldraht,它結合了Tfinoo與TFN的特點,並添加了一些補充特征,如加密組件之間的通信和自動更新守護進程。Stachd—draht使用TCP和ICMP通信,攻擊者與主控端交互,同時主控端控制代理端。Stacheldraht在功能上與Trlnoo和TFN相近。最後一種是TFN2k,TFN2k代表TFN 2000版。它允許埠上隨機通信及加密,這樣就繞過了邊界路由器上埠阻擋的防護措施和入侵檢測軟體。TFN2k攻擊不但可以與SYN、UDP、ICMP和Smud攻擊相配合。而且還可以在不同的攻擊方式之間隨機切換。
按照TCP/MP協議的層次可將DDOS攻擊分為基於ARP的攻擊、基於ICMP的攻擊、基於IP的攻擊、基於UDP的攻擊、基於TCP的攻擊和基於應用層的攻擊。
1.基於ARP的攻擊
ARP是無連接的協議,當收到攻擊者發送來的ARP應答時。它將接收ARP應答包中所提供的信息。更新ARP緩存。因此,含有錯誤源地址信息的ARP請求和含有錯誤目標地址信息的ARP應答均會使上層應用忙於處理這種異常而無法響應外來請求,使得目標主機喪失網路通信能力。產生拒絕服務,如ARP重定向攻擊。
2.基於ICMP的攻擊
攻擊者向一個子網的廣播地址發送多個ICMP Echo請求數據包。並將源地址偽裝成想要攻擊的目標主機的地址。這樣,該子網上的所有主機均對此ICMP Echo請求包作出答覆,向被攻擊的目標主機發送數據包,使該主機受到攻擊,導致網路阻塞。
3.基於IP的攻擊
TCP/IP中的IP數據包在網路傳遞時,數據包可以分成更小的片段。到達目的地後再進行合併重裝。在實現分段重新組裝的進程中存在漏洞,缺乏必要的檢查。利用IP報文分片後重組的重疊現象攻擊伺服器,進而引起伺服器內核崩潰。如Teardrop是基於IP的攻擊。
4.基於應用層的攻擊
應用層包括SMTP,HTTP,DNS等各種應用協議。其中SMTP定義瞭如何在兩個主機問傳輸郵件的過程,基於標準SMTP的郵件伺服器,在客戶端請求發送郵件時,是不對其身份進行驗證的。另外,許多郵件伺服器都允許郵件中繼。攻擊者利用郵件伺服器持續不斷地向攻擊目標發送垃圾郵件大量侵占伺服器資源。
