编程开发论坛 - Powered by Discuz! Board

标题: 揭秘：针对“黑客”DDOS攻击的狙击战 [打印本页]

作者: Nothing 时间: 2006-10-1 12:39 标题: 揭秘：针对“黑客”DDOS攻击的狙击战

1、起因　　“黑客”攻防战，自网络开始以来就不断的发生，究其起源，可以追溯到几十年前第一台分时小型机的诞生。
　　黑客的最初群体是由一些程序和网络高手组成，其建立的初始宗旨是互通有无，以不懈的技术突破带来计算技术的提高。在此宗旨导引下，黑客们逐渐把计算技术放在更多的应用中，并发明了UNIX，建起了Internet，推动着万维网络的运行，而随着社会的不断进步，后来更多的人们也在此基础上建立起全球庞大的IT行业。这一群人，是以Hacker(突破者)的精神行事的！
　　在网络发展的进程中，由于信息技术的共享，加入了与黑客行事方式相似但宗旨又迥然而异的一群人。他们同样是属于计算机技术的高层群体，但是不同的是，他们只是为自己破解一个个的密码而兴奋不已。当然，他们解密的目的也只是为了推动加密保护技术的发展、为加密软件厂商向社会提供更好更安全的软件而努力。这一群人，是以Cracker(解密者，或世人所说的骇客)的精神为软件加密事业提供福址的。
　　信息技术继续在进步，社会仍然在发展。这时，或许是从Cracker中出现了那么一两个脱离Cracker社会道德规范的人，在利益的驱使下，利用自己的加密与解密技术，对计算机系统和网络系统进行蓄意破坏，并将相关解密代码肆意传播。在此前提下，更多利益熏心的人加入了这一队伍，而后不久，一个被世人所憎厌的代名词Internet Pirate(因特网海盗)被加诸在这群人身上。这一群人，技术有高有低，是以不择手段获取利益为目的的。这一群Internet Pirate(因特网海盗)，也是笔者在标题中提到的被部分世人曲解的“黑客”。
　　科技在进步，商业在发展，越来越多的单位将自己管理、运营、业务等各项应用放在网络中，许多的公司建立了自己的机房，在此基础上，出现了NOC、IDC、SP等IT与通信运营中心，考虑到维护成本与系统、网络稳定性等因素，为数不少的中小企业通过定期定量缴费，将自己的服务器放在NOC或IDC等部门托管。
　　时间流逝总是在人们不知不觉里消去，利益驱动的Internet Pirate(因特网海盗)队伍也一天天壮大起来，其从开始时对于小型网络的攻击转向对于包括企业机房、网站、IDC中心、NOC中心等网络与系统的攻击。时间发展到现在时，Internet Pirate甚至在社会上以此为业务，公开的向一些恶意竞争者标示不同规模不同难度的攻击价格。

DDOS攻击

　　那么，作为其业务的技术支点，在目前社会中，Internet Pirate对于网络和系统攻击最钟情的手段是什么呢？对！大家应该已经知道，那就是技术含量相对较低却更难于防范的DDOS攻击。

作者: Nothing 时间: 2006-10-1 12:40

2、简介
　　DDOS，即Distributed Denial of Service，意为分布式拒绝服务，顾名思义，它是要使得合法用户应该享有的网络所有正常服务都无法享有，以达到攻击他人的目的。
　　DDOS的攻击方式主要有两种，一种是流量攻击，主要通过增加服务器系统流量，产生网络堵塞，迫使正常传送的数据包无法到达服务器；另外一种是资源攻击，通过消耗服务器处理或存储资源，迫使服务器无法为网络内的终端提供网络服务。
3、攻击原理
　　Internet Pirate进行DDOS攻击的原理，是利用一些曾经被入侵过（包括临时实现入侵）的主机（俗称肉鸡，如下图中的傀儡机），向目的服务器不间断的发送貌似合法的数据包，以造成目的服务器的资源耗尽或网络堵塞，迫使目的服务器网络内的合法用户无法进行正常的数据包交换和服务，从而达到攻击的目的。

DDOS攻击原理

　　由DDOS攻击的特性，人们也常常把DDOS攻击称为“洪水(flood)式”攻击。最常见的攻击手段有SYN Flood、UDP Flood、ACK Flood、Script Flood、TCP FLOOD、Connectiongs Flood、ICMP Flood。这其中，最主要的三种攻击流派是SYN与ACK Flood攻击，Script Flood攻击，TCP Flood攻击。
　　SYN与ACK Flood攻击
　　SYN与ACK Flood攻击是通过向目的服务器发送大量伪IP与端口的SYN、ACK数据包，消耗主机的存储资源，在服务器忙于回应这些攻击数据包的同时，消耗了大量资源（甚至耗尽），以至无法对网络内的正常数据包提供回应，导致无法对终端提供正常的服务。
　　在大量的数据包攻击下，终端无法对服务器进行访问，甚至进行ping操作也会失败，所有TCP/IP栈协议也无法提供服务，I/O无响应，服务器主机系统出现当机现象。
　　由于SYN与ACK Flood操作相对简单，并且可以绕过很多中低级防火墙，适用的攻击目标群体广泛而且效果明显，所以在所有DDOS攻击中，是使用最广泛的。
　　Script Flood攻击
　　Script Flood攻击主要是通过和服务器建立合法的TCP连接，不断向脚本提供查询等大量耗费数据库资源调用请求，在数据库资源占用率直线攀升的同时，使得正常的请求无法实现，以达到攻击的目的。
　　受到攻击的服务器一般会出现网站外部访问缓慢甚至无法访问，内部脚本程序联接数据库失效和数据库大量占用处理资源的现象。
　
　　由于Script攻击的特性，使得其目的服务器专一的适用于带有Asp、Jsp、Cgi等脚本并需要调用数据库资源的网站系统。
　　TCP Flood攻击
　　TCP Flood攻击主要是通过连接大量的“肉鸡”，绕过过防火墙的检查，对于目的服务器提出大量的TCP连接请求，在服务器存储资源大量消耗的同时，使得其对于网络内部的正常服务求情拒绝执行，以达到攻击的目的。
　　受到攻击的目的服务器一般都具有只允许少量TCP连接的网络服务程式，而在被攻击以后一般都会出现服务器内外部程序无法享受正常网络服务的现象。
　　由于TCP Flood的攻击特性，其适用的范围也比较倾向于装载网站等应用的网络服务器。

作者: Nothing 时间: 2006-10-1 12:40

4、防范手段
　　DDOS攻击相对简单，而攻击后产生的效果却比较明显，这使得它成为目前Internet Pirate攻击最常用的一种手段。
　　说一句稍显消极的话，以目前的技术水平，没有哪家的防火墙或综合防御系统能够完全的经受住所有的DDOS攻击。当然，也不用过于紧张：由于Internet Pirate攻击同样需要考虑一个成本问题，越是高端的服务器系统，对于DDOS攻击的各项技术与设备要求也越高，而越高的技术与设备要求，其对于成本支出也越高。
　　由于成本的原因，目前在社会中流行的DDOS系列也大多是相对中低级的攻击水平（甚至一些初中级的Internet Pirate由于技术欠缺，伪IP封包都没做好就开始攻击，到最后反而被人查出自己的身份，以至祸及自身），这些还是可以通过一定的防范措施抵御住的。那么，我们到底需要采取哪些措施对DDOS进行更有效的防御呢？
　　技术改造
　　1)优化服务器操作系统配置
　　在服务器操作系统中，很多新的Server版操作系统本身已经具备一定的抗DDOS攻击能力，在服务器建立之初，就需要在操作系统对于包括TCP等方面的DDOS抵抗能力方面进行优化配置，以帮助管理人员对于整个系统的恢复操作争取更多的时间。
　　2)选择具附带负载均衡技术的服务器产品或自己添加负载均衡技术
　　在现在的服务器市场中，很多厂家生产的服务器都在相应的管理软件或配套服务中，都添加了增殖的负载均衡技术服务，这样可以帮助用户在抵抗DDOS的攻击中，以分流分载的方式避免负载单区域爆涨的局面，增加服务器系统抗攻击能力，为管理人员采取相应的补救措施提供时间。
　　3)采用DNS轮巡技术
　　在域名服务器等应用中，最好实现一个网站域名多台服务器的DNS轮巡技术，在遭受攻击时，管理人员可以及时的切断主被攻服务器的网络连接，并对受到很小攻击波及的服务器进行快速处理以保证应用的持续性。
　　网络与硬件升级
　　1)升级网络带宽
　　DDOS攻击最主要的一个手段就是通过不间断的快速增加流量来进行，而对于服务器系统来说，在成本允许的情况下，尽量增加网络带宽，可以很好的经受大流量冲击所带来的负面影响。如果对网络进行流量攻击的时候，带宽不够的话，在管理人员通过网络硬件产品进行流量疏导之前，服务器系统就已经瘫痪了。
　　2)升级服务器硬件配置
　　DDOS攻击还有一个重要的手段就是通过发送大量损耗资源的伪请求，以实现服务器不响应合法用户的正常请求，在服务器资源损耗殆尽时系统自然崩溃，从而完成攻击目的。如果服务器的处理与存储性能比较低，同样也很容易在管理员进行其他操作控制DDOS前就已经崩溃。
　　3)网站构建以各项应用分装更多服务器来实现
　　在网站建设中，由于NAT地址转换的轮回请求和动态网页调用数据的频繁性容易被DDOS利用，所以尽量实现NAT地址转换功能的应用与其他应用分装不同的服务器硬件实体，将静态网页Web数据与动态网页Web数据应用分装不同的服务器硬件实体。这样，当搭建网站的服务器系统遭受攻击时，在更容易被攻击的NAT应用与动态网页等应用与其他应用分开的情况下，可以降低网站整个系统被攻击的可能性。
　　4)购置高性能的网络交换与路由设备
　　尽量购置具有流控功能的交换与路由产品，建立起流控线路与网络。当攻击发生时，针对DDOS的攻击原理，具有流控功能的网络设备，可以通过相关监控与管理软件，在服务器系统网络内的各个节点处对流量进行很好的控制与疏导，以有效的降低被攻击的危险性。
　　5)购置具有专业抗DDOS功能的防火墙
　　其实DDOS早就已经有了，而各防火墙厂商也根据许多现有的DDOS攻击手段，将相应防范的代码嵌入到防火墙软件或硬件中，甚至一些高端产品还能够根据DDOS攻击的规律，智能的分辨一些采用混合手段的新型攻击方式。采用了具有专业抗DDOS功能的防火墙，对于服务器完整系统的安全性，当然有很大的提高。
5、总结
　　综上，其实对于Internet Pirate采用最广泛的DDOS的攻防，倒也没有什么绝对的输赢局面会出现，主要是以攻防双方的技术和配套设备优劣、对于攻防时间把握等的实际情况来定。
　　信息化建设的进程，速度与日俱增，在今天来看，更是所有行业都已经和信息挂上了钩。在IT世界里，当大多数人都忙碌的为各行业搞信息化建设的时候，就是有那么一小撮人，非得要去做Internet Pirate，在整个世界搞破坏，其对于IT世界甚至整个商业竞争领域的影响，都是非常负面和消极的。
　　不过，反过来看，倒也没有哪个世界是完全清明的。对待这Internet Pirate，我们倒也可以乐观点安慰一下自己，用时下年少朋友们“没有我们丢垃圾，那些清洁工人不都失业在家”的方式来思考，少了这群捣蛋的存在，安全工程师还不都回家种地去……

欢迎光临编程开发论坛 (http://bbs.lihuasoft.net/)