|
||||
DoS:我們所說的DoS (Denial of Service)攻擊其中文含義是拒絕服務攻擊,這種攻擊行動使網站服務器充斥大量要求回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷以至於癱瘓而停止提供正常的網絡服務。黑客不正當地采用標准協議或連接方法,向攻擊的服務發出大量的訊息,佔用及超越受攻擊服務器所能處理的能力,使它當(Down)機或不能正常地為用戶服務。
『拒絕服務』是如何攻擊的通過普通的網絡連線,使用者傳送信息要求服務器予以確定。服務器於是回復用戶。用戶被確定後,就可登入服務器。 『拒絕服務』的攻擊方式為:用戶傳送眾多要求確認的信息到服務器,使服務器裡充斥著這種無用的信息。所有的信息都有需回復的虛假地址,以至於當服務器試圖回傳時,卻無法找到用戶。服務器於是暫時等候,有時超過一分鍾,然後再切斷連接。服務器切斷連接時,黑客再度傳送新一批需要確認的信息,這個過程周而復始,最終導致服務器無法動彈,癱瘓在地。
在這些DoS攻擊方法中,又可以分為下列幾種:
TCP SYN Flooding
Smurf
Fraggle
1.TCP Syn Flooding由於TCP協議連接三次握手的需要,在每個TCP建立連接時,都要發送一個帶SYN標記的數據包,如果在服務器端發送應答包後,客戶端不發出確認,服務器會等待到數據超時,如果大量的帶SYN標記的數據包發到服務器端後都沒有應答,會使服務器端的TCP資源迅速枯竭,導致正常的連接不能進入,甚至會導致服務器的系統崩潰。這就是TCP SYN Flooding攻擊的過程。
TCP Syn攻擊是由受控制的大量客戶發出TCP請求但不作回復,使服務器資源被佔用,再也無法正常為用戶服務。服務器要等待超時(Time Out)纔能斷開已分配的資源。
2.Smurf黑客采用 ICMP(Internet Control Message Protocol RFC792)技術進行攻擊常用的ICMP有PING 。首先黑客找出網絡上有哪些路由器會回應ICMP請求。然後用一個虛假的IP源地址向路由器的廣播地址發出訊息,路由器會把這訊息廣播到網絡上所連接的每一臺設備。這些設備又馬上回應,這樣會產生大量訊息流量,從而佔用所有設備的資源及網絡帶寬,而回應的地址就是受攻擊的目標。例如用500K bit/sec流量的ICMP echo (PING)包廣播到100臺設備,產生100個 PING回應,便產生50M bit/sec流量。這些流量流向被攻擊的服務器,便會使這服務器癱瘓。
ICMP Smurf的襲擊加深了ICMP的泛濫程度,導致了在一個數據包產生成千的ICMP數據包發送到一個根本不需要它們的主機中去,傳輸多重信息包的服務器用作Smurf的放大器。
3.Fraggle:Fraggle基本概念及做法像Smurf,但它是采用UDP echo訊息。
如何阻擋『拒絕服務』的攻擊
阻擋『拒絕服務』的攻擊的常用方法之一是:在網絡上建立一個過濾器(filter)或偵測器(sniffer),在信息到達網站服務器之前阻擋信息。過濾器會偵察可疑的攻擊行動。如果某種可疑行動經常出現,過濾器能接受指示,阻擋包含那種信息,讓網站服務器的對外連接線路保持暢通。
DDoS:DDoS(Distributed Denial of Service)其中文含義為分布式拒絕服務攻擊。
Distributed DoS是黑客控制一些數量的PC機或路由器,用這些PC機或路由器發動DoS攻擊。因為黑客自己的PC機可能不足夠產生出大量的訊息,使遭受攻擊的網絡服務器處理能力全部被佔用。
黑客采用IP Spoofing技術,令他自己的IP地址隱藏,所以很難追查。如果是在Distributed DoS情況下,被追查出來的都是被黑客控制的用戶的IP地址;他們本身也是受害者。
黑客一般采用一些遠程控制軟件,好像Trinoo, Tribal Flood Network, Stacheldraht及其他DoS程序。美國政府資助的CERT (Computer Emergency Response Team)及 FBI都有免費軟件如find_dosv31,給企業檢查自己的網絡有沒有被黑客安裝這些遠程控制軟件。但黑客亦同時在修改軟件以逃避這些檢查軟件。這是一場持久的網上戰爭。
攻擊者在Client(客戶端)操縱攻擊過程。每個Handler(主控端)是一臺已被入侵並運行了特定程序的系統主機。每個主控端主機能夠控制多個Agent(代理端)。每個代理端也是一臺已被入侵並運行某種特定程序的系統主機。每個響應攻擊命令的代理端會向被攻擊目標主機發送拒絕服務攻擊數據包。
在今後的日子裡,這些拒絕服務工具包將會得到進一步的發展與完善,功能更強大,隱蔽性更強,關鍵字符串和控制命令口令將使用更強壯加密算法,甚至對自身進行數字簽名,或在被非攻擊者自己使用時自行消毀,使用加密通訊通道,使用象ICMP這種令防火牆更難監測或防御的協議進行數據包傳輸,等等。