分布式拒絕服務攻擊及防范研究

1、分布式回絕效勞攻擊及防范研究摘要隨著網(wǎng)絡應用的日益廣泛，網(wǎng)絡構(gòu)造框架已經(jīng)暴露在眾多網(wǎng)絡平安的威脅之下，DDS攻擊隨處可見，人們?yōu)榭酥艱DS攻擊進展了大量研究，提出了多種解決方案。本文系統(tǒng)分析了DDS攻擊的原理和方法，在分析詳細的攻擊工具的根底上給出防御方法。關(guān)鍵詞回絕效勞攻擊；分布式回絕效勞攻擊；掃描；黑客1引言隨著網(wǎng)絡應用的日益廣泛，網(wǎng)絡構(gòu)造框架已經(jīng)暴露在眾多網(wǎng)絡平安的威脅之下，其中回絕效勞(DS)攻擊和基于DS的分布式回絕效勞(DDS)攻擊最為常見。例如，2000年黑客們使用DDS連續(xù)攻擊了Yah、ebay、Aazn等許多知名網(wǎng)站，致使一些站點中斷效勞長達數(shù)小時甚至幾天，國內(nèi)的新浪、163

2、等站點也遭到類似的攻擊。2001年5月對ERT-rdinatinenter的攻擊，2002年5月對edNET的攻擊都造成了很大的損失1。在2001年4月的中美黑客大戰(zhàn)中，DDS也被廣泛使用。隨著高速網(wǎng)絡的不斷普及，尤其是隨著近年來網(wǎng)絡蠕蟲的不斷開展，更大規(guī)模DDS攻擊的威脅也越來越大。2分布式回絕效勞(DDS)攻擊DS是指攻擊者在一定時間內(nèi)向網(wǎng)絡發(fā)送大量的效勞懇求，消耗系統(tǒng)資源或網(wǎng)絡帶寬，占用及超越被攻擊主機的處理才能，導致網(wǎng)絡或系統(tǒng)不勝負荷，停頓對合法用戶提供正常的網(wǎng)絡效勞；DDS是在DS的根底上引入了lient/Server機制，使得攻擊強度更大，隱藏性更高。2.1DDS攻擊原理DDS采用

3、多層的客戶/效勞器形式，一個完好的DDS攻擊體系一般包含四個部分：攻擊控制臺、攻擊效勞器、攻擊傀儡機和攻擊目的，其攻擊體系構(gòu)造如圖1所示。攻擊控制臺。攻擊者利用它來操縱整個攻擊過程，它向攻擊效勞器下達攻擊命令。攻擊效勞器也叫主控端，它是攻擊者非法入侵并且安裝特定程序的一些主機。它接收從攻擊控制臺發(fā)過來的各種命令。同時，它也控制了大量的攻擊傀儡機，并向它們轉(zhuǎn)發(fā)攻擊控制臺的攻擊指令。攻擊傀儡機也叫代理端，它也是攻擊者非法入侵并且安裝特定程序的一些主機。它們上面運行攻擊程序，用于對目的發(fā)起攻擊。它受控于主控端，從主控端接收攻擊命令，是攻擊的執(zhí)行者。2.2DDS攻擊的特點DDS攻擊作為一種特殊的DS攻

4、擊方式，相對于傳統(tǒng)的回絕效勞攻擊有自己很多的特點：首先，分布式回絕效勞的攻擊效果更加明顯。使用分布式回絕效勞，可以從多個傀儡主機同時向攻擊目的發(fā)送攻擊數(shù)據(jù)，可以在很短的時間內(nèi)發(fā)送大量的數(shù)據(jù)包，使攻擊目的的系統(tǒng)無法提供正常的效勞。另外，由于采用了多層客戶機/效勞器形式，減少了由攻擊者下達攻擊命令時可能存在的擁塞，也增加了攻擊的緊湊性。即使攻擊目的探測到攻擊，也可能來不及采取有效措施來應對攻擊。其次，分布式回絕效勞攻擊更加難以防范。因為分布式回絕效勞的攻擊數(shù)據(jù)流來自很多個源且攻擊工具多使用隨機IP技術(shù)，增加了與合法訪問數(shù)據(jù)流的相似性，這使得對攻擊更加難以判斷和防范。最后，分布式回絕效勞對于攻擊者來

5、說更加平安。由于采用了多層客戶機/效勞器形式，增大了回溯查找攻擊者的難度，從而可以更加有效地保護攻擊者。另外，采用多層客戶機/效勞器形式，使得下達攻擊指令的數(shù)據(jù)流更加分散，不容易被監(jiān)控系統(tǒng)覺察，從而暴露攻擊者的位置與意圖。3攻擊策略及防范目前，隨著多種DDS攻擊工具如TFN、TFN2K、Staheldraht、Trin等的廣泛傳播，所面臨DDS攻擊的風險更是急劇增長2。所以，如何有效的防御DDS攻擊成為當前一個亟待解決的問題。下面，本文針對這幾種常用的攻擊工具給出詳細的防范措施。3.1TFN(TribeFldNetrk)攻擊及防范TFN是德國著名黑客ixter編寫的，與Trin相似，都是在互聯(lián)

6、網(wǎng)的大量UNIX系統(tǒng)中開發(fā)和測試的。它由客戶端程序和守護程序組成，通過綁定到TP端口的RtShell控制，施行IPFld，SYNFld，UDPFld等多種回絕效勞的分布式網(wǎng)絡攻擊。TFN客戶端、主控端和代理端主機互相間通信時使用I-PEh和IpEhReply數(shù)據(jù)包。針對TFN攻擊的根本特性可采用如下抵御策略：發(fā)動TFN時，攻擊者要訪問aster程序并向它發(fā)送一個或多個目的IP地址，然后aster程序與所有代理程序通信，指示它們發(fā)動攻擊。aster程序與代理程序之間的通信使用IP回音/應答信息包，實際要執(zhí)行的指示以二進制形式包含在16位ID域中。IP使信息包協(xié)議過濾成為可能，通過配置路由器或入侵

7、檢測系統(tǒng)，不允許所有的IP回音或回音/應答信息包進入網(wǎng)絡就可以到達挫敗TFN代理的目的，但是這樣會影響所有使用這些功能的Internet程序，如Ping。aster程序讀取一個IP地址列表，其中包含代理程序的位置。這個列表可能使用如“Blfish的加密程序進展加密，假如沒有加密，就可以從這個列表方便地識別出代理信息。用于發(fā)現(xiàn)系統(tǒng)上TFN代理程序的是程序td，發(fā)現(xiàn)系統(tǒng)上aster程序的是程序TFN。代理并不查看IP回音/應答信息包來自哪里，因此使用假裝IP信息包沖刷掉這些過程是可能的9。3.2TFN2k攻擊及防范TFN2k代表TFN2000版，是ixter編寫的TFN后續(xù)版本。這個新的DDS工具

8、已在原有的根底上大大前進了一步，它也是由兩部分組成，即客戶端程序和在代理端主機上的守護進程?？蛻舳讼蚴刈o進程發(fā)送攻擊指定的目的主機列表，代理端守護進程據(jù)此對目的進展回絕效勞攻擊。由一個客戶端程序控制的多個代理端主機，可以在攻擊過程中互相協(xié)同，保證攻擊的連續(xù)性?？蛻舳顺绦蚝痛矶说木W(wǎng)絡通信是經(jīng)過加密的，還可能混雜許多虛假數(shù)據(jù)包。整個TFN2k網(wǎng)絡可能使用不同的TP，UDP或IP包進展通信，而且客戶端還能偽造其IP地址。所有這些特性都使開展防御TFN2k攻擊的策略和技術(shù)非常困難或效率低下。TFN2k非常隱蔽，這些手段使得它很難被檢測到。因為沒有端口號，所以很難探測，即使在正常的根底上使用端口掃描程

9、序也無法探測到用戶的系統(tǒng)正被用作TFN2k效勞器10。目前仍沒有能有效防御TFN2k回絕效勞攻擊的方法，最有效的策略是防止網(wǎng)絡資源被用作客戶端或代理端。根據(jù)TFN2k的根本特性，可采用的預防手段有以下幾種：只使用應用代理型防火墻，這可以有效地阻止所有的TFN2k通信。但只使用應用代理效勞器通常是不實在際的，因此只能盡可能地使用最少的非代理效勞。制止不必要的IP，TP和UDP通信，特別是對于IP數(shù)據(jù)，可只允許IP類型3(DestinatinUnreahable，目的不可到達)數(shù)據(jù)包通過。假如不能制止IP協(xié)議，那就制止主動提供或所有的IPEhReply包。制止不在允許端口列表中的所有UDP和TP包。配置防火墻過濾所有可能的偽造數(shù)據(jù)包。對系統(tǒng)進展補丁和平安配置，以防止攻擊者入侵并安裝TFN2k。3.3Trin攻擊及防范Trin是發(fā)布最早的主流工具，因此功能沒有TFN2k那么強大。因為TFN2k使用IP所以非常隱蔽，在被攻擊的計算機上沒有端口可以檢測。Trin使