第09講典型黑客攻擊之(一)拒絕服務(wù)攻防

第09講典型黑客攻擊之(一)

拒絕服務(wù)攻防9.1DoS攻擊的概念9.2DoS攻擊的現(xiàn)象與原理9.3如何組織DDoS攻擊9.4DDoS攻擊實(shí)例9.5DDoS的防范1目標(biāo)、重點(diǎn)、難點(diǎn)目標(biāo)：理解DoS的概念，了解DoS攻擊的現(xiàn)象,理解如何組織一次DDoS攻擊,了解DoS攻擊的防范方法..重點(diǎn)：DDoS攻擊方法\防范方法難點(diǎn)：DDoS攻擊方法29.1DoS攻擊的概念DoS是DenialofService的簡(jiǎn)稱，即拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。最常見(jiàn)的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求就無(wú)法通過(guò)。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求。DoS攻擊3分布式拒絕服務(wù)(DDoS:DistributedDenialofService)攻擊是目前黑客經(jīng)常采用而難以防范的攻擊手段。分布式拒絕服務(wù)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。DDoS攻擊4DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)。

5DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了-目標(biāo)對(duì)惡意攻擊包的"消化能力"加強(qiáng)了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個(gè)攻擊包，但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個(gè)攻擊包，這樣一來(lái)攻擊就不會(huì)產(chǎn)生什么效果。6這時(shí)侯分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運(yùn)而生了。你理解了DoS攻擊的話，它的原理就很簡(jiǎn)單。如果說(shuō)計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了10倍，用一臺(tái)攻擊機(jī)來(lái)攻擊不再能起作用的話，攻擊者使用10臺(tái)攻擊機(jī)同時(shí)攻擊呢？用100臺(tái)呢？DDoS就是利用更多的傀儡機(jī)來(lái)發(fā)起進(jìn)攻，以比從前更大的規(guī)模來(lái)進(jìn)攻受害者。7高速?gòu)V泛連接的網(wǎng)絡(luò)給大家?guī)?lái)了方便，也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時(shí)代時(shí)，黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí)，總是會(huì)優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器，因?yàn)榻?jīng)過(guò)路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以G為級(jí)別的，大城市之間更可以達(dá)到2.5G的連接，這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起，攻擊者的傀儡機(jī)位置可以在分布在更大的范圍，選擇起來(lái)更靈活了。89.2DoS攻擊的現(xiàn)象與原理被DDoS攻擊時(shí)的現(xiàn)象:被攻擊主機(jī)上有大量等待的TCP連接網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，源地址為假制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通訊利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)910DDoS攻擊原理:如圖一，一個(gè)比較完善的DDoS攻擊體系分成四大部分，先來(lái)看一下最重要的第2和第3部分：它們分別用做控制和實(shí)際發(fā)起攻擊。請(qǐng)注意控制機(jī)與攻擊機(jī)的區(qū)別，對(duì)第4部分的受害者來(lái)說(shuō)，DDoS的實(shí)際攻擊包是從第3部分攻擊傀儡機(jī)上發(fā)出的，第2部分的控制機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。對(duì)第2和第3部分計(jì)算機(jī)，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺(tái)上，這些程序與正常的程序一樣運(yùn)行并等待來(lái)自黑客的指令，通常它還會(huì)利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時(shí)，這些傀儡機(jī)器并沒(méi)有什么異常，只是一旦黑客連接到它們進(jìn)行控制，并發(fā)出指令的時(shí)候，攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。11有的朋友也許會(huì)問(wèn)道："為什么黑客不直接去控制攻擊傀儡機(jī)，而要從控制傀儡機(jī)上轉(zhuǎn)一下呢？"。這就是導(dǎo)致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來(lái)說(shuō)，肯定不愿意被捉到（我在小時(shí)候向別人家的雞窩扔石頭的時(shí)候也曉得在第一時(shí)間逃掉，呵呵），而攻擊者使用的傀儡機(jī)越多，他實(shí)際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺(tái)機(jī)器后，高水平的攻擊者會(huì)首先做兩件事：1.考慮如何留好后門（我以后還要回來(lái)的哦）！2.如何清理日志。這就是擦掉腳印，不讓自己做的事被別人查覺(jué)到。比較不敬業(yè)的黑客會(huì)不管三七二十一把日志全都刪掉，但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒(méi)了就會(huì)知道有人干了壞事了，頂多無(wú)法再?gòu)娜罩景l(fā)現(xiàn)是誰(shuí)干的而已。相反，真正的好手會(huì)挑有關(guān)自己的日志項(xiàng)目刪掉，讓人看不到異常的情況。這樣可以長(zhǎng)時(shí)間地利用傀儡機(jī)。12但是在第3部分攻擊傀儡機(jī)上清理日志實(shí)在是一項(xiàng)龐大的工程，即使在有很好的日志清理工具的幫助下，黑客也是對(duì)這個(gè)任務(wù)很頭痛的。這就導(dǎo)致了有些攻擊機(jī)弄得不是很干凈，通過(guò)它上面的線索找到了控制它的上一級(jí)計(jì)算機(jī)，這上級(jí)的計(jì)算機(jī)如果是黑客自己的機(jī)器，那么他就會(huì)被揪出來(lái)了。但如果這是控制用的傀儡機(jī)的話，黑客自身還是安全的。控制傀儡機(jī)的數(shù)目相對(duì)很少，一般一臺(tái)就可以控制幾十臺(tái)攻擊機(jī)，清理一臺(tái)計(jì)算機(jī)的日志對(duì)黑客來(lái)講就輕松多了，這樣從控制機(jī)再找到黑客的可能性也大大降低。139.3如何組織DDoS攻擊這里用“組織”這個(gè)詞，是因?yàn)镈DoS并不象入侵一臺(tái)主機(jī)那樣簡(jiǎn)單。一般來(lái)說(shuō)，黑客進(jìn)行DDoS攻擊時(shí)會(huì)經(jīng)過(guò)這樣的步驟：

1.搜集了解目標(biāo)的情況下列情況是黑客非常關(guān)心的情報(bào)：被攻擊目標(biāo)主機(jī)數(shù)目、地址情況目標(biāo)主機(jī)的配置、性能目標(biāo)的帶寬14對(duì)于DDoS攻擊者來(lái)說(shuō)，攻擊互聯(lián)網(wǎng)上的某個(gè)站點(diǎn)，如，有一個(gè)重點(diǎn)就是確定到底有多少臺(tái)主機(jī)在支持這個(gè)站點(diǎn)，一個(gè)大的網(wǎng)站可能有很多臺(tái)主機(jī)利用負(fù)載均衡技術(shù)提供同一個(gè)網(wǎng)站的www服務(wù)。以yahoo為例，一般會(huì)有下列地址都是提供服務(wù)的：7

8

9

0

1

3

4

615如果要進(jìn)行DDoS攻擊的話，應(yīng)該攻擊哪一個(gè)地址呢？使7這臺(tái)機(jī)器癱掉，但其他的主機(jī)還是能向外提供www服務(wù)，所以想讓別人訪問(wèn)不到的話，要所有這些IP地址的機(jī)器都癱掉才行。在實(shí)際的應(yīng)用中，一個(gè)IP地址往往還代表著數(shù)臺(tái)機(jī)器：網(wǎng)站維護(hù)者使用了四層或七層交換機(jī)來(lái)做負(fù)載均衡，把對(duì)一個(gè)IP地址的訪問(wèn)以特定的算法分配到下屬的每個(gè)主機(jī)上去。這時(shí)對(duì)于DDoS攻擊者來(lái)說(shuō)情況就更復(fù)雜了，他面對(duì)的任務(wù)可能是讓幾十臺(tái)主機(jī)的服務(wù)都不正常。16所以說(shuō)事先搜集情報(bào)對(duì)DDoS攻擊者來(lái)說(shuō)是非常重要的，這關(guān)系到使用多少臺(tái)傀儡機(jī)才能達(dá)到效果的問(wèn)題。簡(jiǎn)單地考慮一下，在相同的條件下，攻擊同一站點(diǎn)的2臺(tái)主機(jī)需要2臺(tái)傀儡機(jī)的話，攻擊5臺(tái)主機(jī)可能就需要5臺(tái)以上的傀儡機(jī)。有人說(shuō)做攻擊的傀儡機(jī)越多越好，不管你有多少臺(tái)主機(jī)我都用盡量多的傀儡機(jī)來(lái)攻就是了，反正傀儡機(jī)超過(guò)了時(shí)候效果更好。17但在實(shí)際過(guò)程中，有很多黑客并不進(jìn)行情報(bào)的搜集而直接進(jìn)行DDoS的攻擊，這時(shí)候攻擊的盲目性就很大了，效果如何也要靠運(yùn)氣。其實(shí)做黑客也象網(wǎng)管員一樣，是不能偷懶的。一件事做得好與壞，態(tài)度最重要，水平還在其次。182.占領(lǐng)傀儡機(jī)黑客最感興趣的是有下列情況的主機(jī)：鏈路狀態(tài)好的主機(jī)性能好的主機(jī)安全管理水平差的主機(jī)19這一部分實(shí)際上是使用了另一大類的攻擊手段：利用形攻擊。這是和DDoS并列的攻擊方式。簡(jiǎn)單地說(shuō)，就是占領(lǐng)和控制被攻擊的主機(jī)。取得最高的管理權(quán)限，或者至少得到一個(gè)有權(quán)限完成DDoS攻擊任務(wù)的帳號(hào)。對(duì)于一個(gè)DDoS攻擊者來(lái)說(shuō)，準(zhǔn)備好一定數(shù)量的傀儡機(jī)是一個(gè)必要的條件，下面說(shuō)一下他是如何攻擊并占領(lǐng)它們的。20首先，黑客做的工作一般是掃描，隨機(jī)地或者是有針對(duì)性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機(jī)器，象程序的溢出漏洞、cgi、Unicode、ftp、數(shù)據(jù)庫(kù)漏洞…(簡(jiǎn)直舉不勝舉啊)，都是黑客希望看到的掃描結(jié)果。隨后就是嘗試入侵了，具體的手段就不在這里多說(shuō)了，感興趣的話網(wǎng)上有很多關(guān)于這些內(nèi)容的文章。21總之黑客現(xiàn)在占領(lǐng)了一臺(tái)傀儡機(jī)了！然后他做什么呢？除了上面說(shuō)過(guò)留后門擦腳印這些基本工作之外，他會(huì)把DDoS攻擊用的程序上載過(guò)去，一般是利用ftp。在攻擊機(jī)上，會(huì)有一個(gè)DDoS的發(fā)包程序，黑客就是利用它來(lái)向受害目標(biāo)發(fā)送惡意攻擊包的。223.實(shí)際攻擊

經(jīng)過(guò)前2個(gè)階段的精心準(zhǔn)備之后，黑客就開(kāi)始瞄準(zhǔn)目標(biāo)準(zhǔn)備發(fā)射了。前面的準(zhǔn)備做得好的話，實(shí)際攻擊過(guò)程反而是比較簡(jiǎn)單的。就象圖示里的那樣，黑客登錄到做為控制臺(tái)的傀儡機(jī)，向所有的攻擊機(jī)發(fā)出命令："預(yù)備~，瞄準(zhǔn)~，開(kāi)火!"。這時(shí)候埋伏在攻擊機(jī)中的DDoS攻擊程序就會(huì)響應(yīng)控制臺(tái)的命令，一起向受害主機(jī)以高速度發(fā)送大量的數(shù)據(jù)包，導(dǎo)致它死機(jī)或是無(wú)法響應(yīng)正常的請(qǐng)求。黑客一般會(huì)以遠(yuǎn)遠(yuǎn)超出受害方處理能力的速度進(jìn)行攻擊，他們不會(huì)"憐香惜玉"。23老到的攻擊者一邊攻擊，還會(huì)用各種手段來(lái)監(jiān)視攻擊的效果，在需要的時(shí)候進(jìn)行一些調(diào)整。簡(jiǎn)單些就是開(kāi)個(gè)窗口不斷地ping目標(biāo)主機(jī)，在能接到回應(yīng)的時(shí)候就再加大一些流量或是再命令更多的傀儡機(jī)來(lái)加入攻擊。249.4DDoS攻擊實(shí)例著名的DoS攻擊有:1.死亡之PING2.淚滴3.UDP洪水4.SYN洪水5.LAND攻擊6.IP欺騙DoS攻擊7.塞滿服務(wù)器的硬盤25DDoS攻擊實(shí)例-SYNFlood攻擊SYN-Flood是目前最流行的DDoS攻擊手段，早先的DoS的手段在向分布式這一階段發(fā)展的時(shí)候也經(jīng)歷了浪里淘沙的過(guò)程。SYN-Flood的攻擊效果最好，應(yīng)該是眾黑客不約而同選擇它的原因吧。那么我們一起來(lái)看看SYN-Flood的詳細(xì)情況。26SynFlood原理-三次握手

SynFlood利用了TCP/IP協(xié)議的固有漏洞。面向連接的TCP三次握手是SynFlood存在的基礎(chǔ)。TCP連接的三次握手:

27如圖二，在第一步中，客戶端向服務(wù)端提出連接請(qǐng)求。這時(shí)TCPSYN標(biāo)志置位。客戶端告訴服務(wù)端序列號(hào)區(qū)域合法，需要檢查。客戶端在TCP報(bào)頭的序列號(hào)區(qū)中插入自己的ISN。服務(wù)端收到該TCP分段后，在第二步以自己的ISN回應(yīng)(SYN標(biāo)志置位)，同時(shí)確認(rèn)收到客戶端的第一個(gè)TCP分段(ACK標(biāo)志置位)。在第三步中，客戶端確認(rèn)收到服務(wù)端的ISN(ACK標(biāo)志置位)。到此為止建立完整的TCP連接，開(kāi)始全雙工模式的數(shù)據(jù)傳輸過(guò)程。

28

SynFlood攻擊者不會(huì)完成三次握手

29假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無(wú)法收到客戶端的ACK報(bào)文的（第三次握手無(wú)法完成），這種情況下服務(wù)器端一般會(huì)重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長(zhǎng)度我們稱為SYNTimeout，一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數(shù)量級(jí)（大約為30秒-2分鐘）；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問(wèn)題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源----數(shù)以萬(wàn)計(jì)的半連接，即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。。30實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰---即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無(wú)暇理睬客戶的正常請(qǐng)求（畢竟客戶端的正常請(qǐng)求比率非常之小），此時(shí)從正常客戶的角度看來(lái)，服務(wù)器失去響應(yīng)，這種情況我們稱做：服務(wù)器端受到了SYNFlood攻擊（SYN洪水攻擊）。31在實(shí)驗(yàn)室中模擬的一次SynFlood攻擊的實(shí)際過(guò)程:這一個(gè)局域網(wǎng)環(huán)境，只有一臺(tái)攻擊機(jī)（PIII667/128/mandrake），被攻擊的是一臺(tái)Solaris8.0(spark)的主機(jī)，網(wǎng)絡(luò)設(shè)備是Cisco的百兆交換機(jī)。這是在攻擊并未進(jìn)行之前，在Solaris上進(jìn)行snoop的記錄，snoop與tcpdump等網(wǎng)絡(luò)監(jiān)聽(tīng)工具一樣，也是一個(gè)很好的網(wǎng)絡(luò)抓包與分析的工具?？梢钥吹焦糁?，目標(biāo)主機(jī)上接到的基本上都是一些普通的網(wǎng)絡(luò)包。32…

…

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

?->(multicast)ETHERType=0000(LLC/802.3),size=52bytes

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

6->55NBTDatagramServiceType=17Source=GU[0]

10->55NBTDatagramServiceType=17Source=ROOTDC[20]

47->55NBTDatagramServiceType=17Source=TSC[0]

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

00->(broadcast)ARPCWhois02,02?

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

6->55NBTDatagramServiceType=17Source=GU[0]

6->55NBTDatagramServiceType=17Source=GU[0]

10->55NBTDatagramServiceType=17Source=ROOTDC[20]

?->(multicast)ETHERType=0000(LLC/802.3),size=52bytes

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

…

…33接著，攻擊機(jī)開(kāi)始發(fā)包，DDoS開(kāi)始了…，突然間sun主機(jī)上的snoop窗口開(kāi)始飛速地翻屏，顯示出接到數(shù)量巨大的Syn請(qǐng)求。這時(shí)的屏幕就好象是時(shí)速300公里的列車上的一扇車窗。這是在SynFlood攻擊時(shí)的snoop輸出結(jié)果：34…

…

78->AUTHCport=1352

78->TCPD=114S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=115S=1352SynSeq=674711609Len=0Win=65535

78->UUCP-PATHCport=1352

78->TCPD=118S=1352SynSeq=674711609Len=0Win=65535

78->NNTPCport=1352

78->TCPD=121S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=122S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=124S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=125S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=126S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=128S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=130S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=131S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=133S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=135S=1352SynSeq=674711609Len=0Win=65535

……35這時(shí)候內(nèi)容完全不同了，再也收不到剛才那些正常的網(wǎng)絡(luò)包，只有DDoS包。大家注意一下，這里所有的SynFlood攻擊包的源地址都是偽造的，給追查工作帶來(lái)很大困難。這時(shí)在被攻擊主機(jī)上積累了多少Syn的半連接呢？我們用netstat來(lái)看一下：36#netstat-an|grepSYN…

…

83.99.180100246560SYN_RCVD

83.139.180100246560SYN_RCVD

83.199.180100246560SYN_RCVD

83.219.180100246560SYN_RCVD

83.229.180100246560SYN_RCVD

83.239.180100246560SYN_RCVD

83.259.180100246560SYN_RCVD

83.379.180100246560SYN_RCVD

83.539.180100246560SYN_RCVD

…

…37

其中SYN_RCVD表示當(dāng)前未完成的TCPSYN隊(duì)列，統(tǒng)計(jì)一下：

#netstat-an|grepSYN|wc-l

5273

#netstat-an|grepSYN|wc-l

5154

#netstat-an|grepSYN|wc-l

5267

…..共有五千多個(gè)Syn的半連接存儲(chǔ)在內(nèi)存中。這時(shí)候被攻擊機(jī)已經(jīng)不能響應(yīng)新的服務(wù)請(qǐng)求了，系統(tǒng)運(yùn)行非常慢，也無(wú)法ping通。這是在攻擊發(fā)起后僅僅70秒鐘左右時(shí)的情況。389.5DDoS攻擊防范到目前為止，進(jìn)行DDoS攻擊的防御還是比較困難的。首先，這種攻擊的特點(diǎn)是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻擊。一位資深的安全專家給了個(gè)形象的比喻：DDoS就好象有1,000個(gè)人同時(shí)給你家里打電話，這時(shí)候你的朋友還打得進(jìn)來(lái)嗎？39不過(guò)即使它難于防范，也不是說(shuō)我們就應(yīng)該逆來(lái)順受，實(shí)際上防止DDoS并不是絕對(duì)不可行的事情。互聯(lián)網(wǎng)的使用者是各種各樣的，與DDoS做斗爭(zhēng)，不同的角色有不同的任務(wù)。我們以下面幾種角色為例：企業(yè)網(wǎng)管理員ISP、ICP管理員骨干網(wǎng)絡(luò)運(yùn)營(yíng)商40預(yù)防DDoS攻擊的十項(xiàng)安全策略本文是由編寫(xiě)分布式拒絕服務(wù)攻擊工具TFN和TFN2K（這些工具曾被用于攻擊Yahoo等大型網(wǎng)站）的德國(guó)著名黑客Mixter（年僅20歲）提供41簡(jiǎn)單地說(shuō)，掌握所有可能導(dǎo)致被入侵和被用于實(shí)施拒絕服務(wù)攻擊的原因和安全漏洞是非常復(fù)雜的。詳細(xì)地說(shuō)，沒(méi)有簡(jiǎn)單和專門的方法保護(hù)不受到這些攻擊，而只能盡可能地應(yīng)用各種安全和保護(hù)策略。對(duì)于每個(gè)面臨安全威脅的系統(tǒng)，這里列出了一些簡(jiǎn)單易行和快速的安全策略以保護(hù)免受這些攻擊。42

對(duì)于面臨拒絕服務(wù)攻擊的目標(biāo)或潛在目標(biāo)，應(yīng)該采取的重要措施：1、消除FUD心態(tài)FUD的意思是Fear（恐懼）、Uncerntainty（猜測(cè)）和Doubt（懷疑）。最近發(fā)生的攻擊可能會(huì)使某些人因?yàn)楹ε鲁蔀楣裟繕?biāo)而整天擔(dān)心受怕。其實(shí)必須意識(shí)到可能會(huì)成為拒絕服務(wù)攻擊目標(biāo)的公司或主機(jī)只是極少數(shù)，而且多數(shù)是一些著名站點(diǎn)，如搜索引擎、門戶站點(diǎn)、大型電子商務(wù)和證券公司、IRC服務(wù)器和新聞雜志等。如果不屬于這類站點(diǎn)，大可不必過(guò)于擔(dān)心成為拒絕服務(wù)攻擊的直接目標(biāo)。432、要求與ISP協(xié)助和合作獲得你的主要互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）的協(xié)助和合作是非常重要的。分布式拒絕服務(wù)（DDoS）攻擊主要是耗用帶寬，單憑你自己管理網(wǎng)絡(luò)是無(wú)法對(duì)付這些攻擊的。與你的ISP協(xié)商，確保他們同意幫助你實(shí)施正確的路由訪問(wèn)控制策略以保護(hù)帶寬和內(nèi)部網(wǎng)絡(luò)。最理想的情況是當(dāng)發(fā)生攻擊時(shí)你的ISP愿意監(jiān)視或允許你訪問(wèn)他們的路由器。443、優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)如果你管理的不僅僅是一臺(tái)主機(jī)，而是網(wǎng)絡(luò)，就需要調(diào)整路由表以將拒絕服務(wù)攻擊的影響減到最小。為了防止SYNflood攻擊，應(yīng)設(shè)置TCP偵聽(tīng)功能。詳細(xì)資料請(qǐng)參閱相關(guān)路由器技術(shù)文檔。另外禁止網(wǎng)絡(luò)不需要使用的UDP和ICMP包通過(guò)，尤其是不應(yīng)該允許出站ICMP“不可到達(dá)”消息。454、優(yōu)化對(duì)外開(kāi)放訪問(wèn)的主機(jī)對(duì)所有可能成為目標(biāo)的主機(jī)都進(jìn)行優(yōu)化。禁止所有不必要的服務(wù)。另外多IP主機(jī)也會(huì)增加攻擊者的難度。建議在多臺(tái)主機(jī)中使用多IP地址技術(shù)，而這些