dos
使伺服器或網路癱瘓的攻擊手段
一種計算機命令語言,也是一給予代碼的操作系統。
, Denial of Service, 拒絕服務,一種常用來使伺服器或網路癱瘓的網路攻擊手段。
, Distributed Denial of Service, 分散式拒絕服務攻擊,亦稱作 洪水攻擊。
顧思義,即網路攻陷腦“殭屍”,某標腦密集式“拒絕服務”求,標腦網路資源及系統資源耗盡,請求戶提供服務。黑客“喪屍”稱“肉雞”組殭屍網路(即),規模洪網路攻擊,“喪屍”組益刷網站流量、垃圾郵件群,癱瘓預標,雇達攻擊競爭商業。
DDoS攻擊可以具體分成兩種形式:
帶寬消耗型以及資源消耗型,都是透過大量合法或偽造的請求佔用大量網路以及器材資源,以達到癱瘓網路以及系統的目的。
DDoS 帶寬消耗攻擊可以分為兩個不同的層次:洪泛攻擊或放大攻擊。洪泛攻擊的特點是利用殭屍程序發送大量流量至受損的受害者系統,目的在於堵塞其帶寬。放大攻擊也與之類似,通過惡意放大流量限制受害者系統的帶寬;其特點是利用殭屍程序發送信息,但是信息卻是發送至廣播 IP 地址,導致系統子網被廣播 IP 地址連接上之後再發送信息至受害系統。
User Datagram Protocol (UDP) floodsUDP是一種無連接協議,當數據包通過 UDP 發送時,所有的數據包在發送和接收時不需要進行握手驗證。當大量 UDP 數據包發送給受害系統時,可能會導致帶寬飽和從而使得合法服務無法請求訪問受害系統。遭受 DDoS UDP 洪泛攻擊時,UDP 數據包的目的埠可能是隨機或指定的埠,受害系統將嘗試處理接收到的數據包以確定本地運行的服務。如果沒有應用程序在目標埠運行,受害系統將對源IP發出 ICMP 數據包,表明“目標埠不可達”。某些情況下,攻擊者會偽造源IP地址以隱藏自己,這樣從受害系統返回的數據包不會直接回到殭屍主機,而是被發送到被偽造地址的主機。有時 UDP 洪泛攻擊也可能影響受害系統周圍的網路連接,這可能導致受害系統附近的正常系統遇到問題。然而,這取決於網路體系結構和線速。ICMP floodsICMP floods是通過向未良好設置的路由器發送廣播信息佔用系統資源的做法。ping of death是產生超過IP協定能容忍的分組數,若系統沒有檢查機制,就會當機。TearDrop每個數據要傳送前,該分組都會經過切割,每個小切割都會記錄位移的信息,以便重組,但此攻擊模式就是捏造位移信息,造成重組時發生問題,造成錯誤。
協議分析攻擊 (SYN flood)傳送控制協議 (TCP) 同步 (SYN) 攻擊。TCP 進程通常包括發送者和接受者之間在數據包發送之前創建的完全信號交換。啟動系統發送一個 SYN 請求,接收系統返回一個帶有自己 SYN 請求的 ACK (確認)作為交換。發送系統接著傳回自己的 ACK 來授權兩個系統間的通訊。若接收系統發送了 SYN 數據包,但沒接收到 ACK,接受者經過一段時間後會再次發送新的 SYN 數據包。接受系統中的處理器和內存資源將存儲該 TCP SYN 的請求直至超時。DDoS TCP SYN攻擊也被稱為“資源耗盡攻擊” ,它利用 TCP 功能將殭屍程序偽裝的 TCP SYN 請求發送給受害伺服器,從而飽和服務處理器資源並阻止其有效地處理合法請求。它專門利用發送系統和接收系統間的三向信號交換來發送大量欺騙性的原 IP 地址 TCP SYN 數據包給受害系統。最終,大量 TCP SYN 攻擊請求反覆發送,導致受害系統內存和處理器資源耗盡,致使其無法處理任何合法用戶的請求。LAND attack這種攻擊方式與SYN floods類似,不過在LAND attack攻擊包中的原地址和目標地址都是攻擊對象的IP。這種攻擊會導致被攻擊的機器死循環,最終耗盡資源而死機。CC 攻擊CC 攻擊是 DDoS 攻擊的一種類型,使用代理伺服器向受害伺服器發送大量貌似合法的請求(通常使用 HTTP GET )。CC (攻擊黑洞)根據其工具命名,攻擊者創造性地使用代理機制,利用眾多廣泛可用的免費代理伺服器發動 DDoS 攻擊。許多免費代理伺服器支持匿名模式,這使追蹤變得非常困難。殭屍網路攻擊殭屍網路是指大量被命令控制型 (C&C) 伺服器所控制的網際網路主機群。攻擊者傳播惡意軟體並組成自己的殭屍網路。殭屍網路難於檢測的原因是,殭屍主機只有在執行特定指令時才會與伺服器進行通訊,使得它們隱蔽且不易察覺。殭屍網路根據網路通訊協議的不同分為 IRC、HTTP 或 P2P類等。Application level floods與前面敘說的攻擊方式不同,Application level floods主要是針對應用軟體層的,也就是高於OSI的。它同樣是以大量消耗系統資源為目的,通過向IIS這樣的網路服務程序提出無節制的資源申請來迫害正常的網路服務。
20世紀90年代中晚期的DoS活動差不多都是基於利用操作系統里的各種軟體缺陷。這些缺陷大都屬於會導致軟體或硬體無法處理例外的程序設計失誤。這類威脅可以稱為是殺手包或劇毒包(Killer Packet)型威脅,它主要是利用協議本身或者其軟體實現中的漏洞,通過一些非正常的(畸形的)數據包使得受害者系統在處理時出現異常,導致受害者系統崩潰。由於這類威脅主要是利用協議或軟體漏洞來達到威脅效果的,因此,有的也稱這類威脅為漏洞威脅,也有稱之為協議威脅(Protocol Attack)的。此外,由於這類威脅對不法者的運算能力或帶寬沒有要求,一個通過Modem連接的低檔的PC機就可以攻破一個具有高帶寬的大型系統。因此,這類威脅也是一種非對稱DoS威脅。
拒絕服務
這類威脅可以稱為風暴型(Storm Type)或洪泛型(Flood Type)威脅,不法者通過大量的無用數據包佔用過多的資源以達到拒絕服務的目的。這種威脅有時也稱為帶寬威脅(BandwidthAttack),原因是其常常佔用大量的帶寬,即使有時威脅的最終目的是佔用系統資源,但在客觀上也會佔用大量帶寬。在這類威脅中,有害數據包可以是各種類型的,數據包中的數據也可以是多種多樣的,這些數據包與正常服務的數據包是難以區分的。劇毒包威脅,利用協議實現的漏洞,全過程只需藉助於一個或少量的異常數據包即可達到目的;洪泛威脅的效果完全依賴於數據包的數量,僅當大量的數據包傳到目標系統(受害者)時才有效。
這是一種基於DoS的特殊形式的拒絕服務威脅,是一種分佈、協作的大規模威脅方式。不法者通過控制一定數量的傀儡機,向目標主機發起群體威脅,甚至多種威脅類型的混合威脅,這比單一主機發起的DoS威脅威力更大,效果更好。
DRDoS不同於以往的拒絕服務方式,它對DDoS作了改進,它是通過對正常的伺服器進行網路連接請求來達到破壞目的的。從TCP的三次握手中我們知道了任何合法的TCP連接請求都會得到返回數據包,而這種威脅方法就是將這個返回包直接返回到被害的主機上,這裡涉及到數據包內的源口地址問題,就是利用數據包的口地址欺騙方法,欺騙被利用的網路伺服器,讓此伺服器認為TCP請求連接都是被害主機上發送的,接著它就會發送“SYN+ACK”數據包給被害主機,惡意的數據包就從被利用的伺服器“反射”到了被害主機上,形成洪水威脅。
與所有的拒絕服務(DOS)攻擊相關的一件事是他們都不可能避免。最好的方法是把重點放在減少影響DOS攻擊的方法上。如果你有一個網路,黑客想要玩一玩它(在最好的情況),以及攻擊(在最壞的情況)。
有一件最具前瞻性的事情是你可以去做的,那就是不要給任何人提供一種在web伺服器和應用中可以輕易找到,並且容易利用DOS缺陷的方法。最近我負責一個項目,涉及到一個網站的一個頁面,被認為容易受到匿名HTTP代理請的攻擊。
減少DoS攻擊影響的一件最重要的事情是制定計劃。提前考慮如何管理費用安全漏洞,一旦攻擊出現,你就可以讓事情自動得到處理。