資源描述:
《ddos攻擊的檢測、追蹤與緩解技術(shù)》由會員上傳分享���,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫��。
1��、1.簡介 DDoS是英文DistributedDenialofService的縮寫�����,即“分布式拒絕服務(wù)”�����。凡是能導(dǎo)致合法用戶不能夠正常訪問網(wǎng)絡(luò)服務(wù)的行為都是DoS攻擊��,或拒絕服務(wù)攻擊�����。在各種DoS攻擊中����,DDoS攻擊策略側(cè)重于通過很多“僵尸主機(jī)”(被攻擊者入侵過或可間接利用的主機(jī))向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包,從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)����。DDoS攻擊一旦被實(shí)施,攻擊網(wǎng)絡(luò)包就會猶如洪水般涌向受害主機(jī)�,從而把合法用戶的網(wǎng)絡(luò)包淹沒,導(dǎo)致合法用戶無法正常訪問服務(wù)器資源�,因此,拒絕服務(wù)攻擊又被稱之為
2���、“洪水式攻擊”���,常見的DDoS攻擊手段有SYNFlood、ACKFlood��、UDPFlood�、ICMPFlood、TCPFlood��、ConnectionsFlood���、ScriptFlood����、ProxyFlood等。由于網(wǎng)絡(luò)的分布式和開放式特性�����,使得DDos攻擊很難防范��?! ∧壳癉DoS攻擊的發(fā)展主要有4個(gè)趨勢:(1)廣分布的高強(qiáng)度攻擊;(2)偽造源IP地址;(3)數(shù)據(jù)包結(jié)構(gòu)位的隨機(jī)性;(4)使用多種協(xié)議及多種形式。這4個(gè)趨勢使得DDoS攻擊的檢測和防御變得更加困難�����?���! ?.DDoS的檢測 DDoS的表現(xiàn)形式主要有兩
3、種�,一種為流量攻擊,主要是針對網(wǎng)絡(luò)帶寬的攻擊�����,即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被耗盡,正常的網(wǎng)絡(luò)包無法到達(dá)主機(jī);另一種為資源耗盡攻擊�,主要是針對服務(wù)器主機(jī)的攻擊,即通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存���、CPU或某個(gè)緩沖區(qū)耗盡而無法提供正常的服務(wù)?���! ≡谠馐芰髁抗簦唤粨Q機(jī)上的主機(jī)都會受到影響���。這時(shí)Ping同一個(gè)交換機(jī)上的主機(jī)會超時(shí)��。理論上��,如果攻擊者能夠發(fā)動(dòng)超過主機(jī)帶寬的傀儡機(jī)(群)發(fā)動(dòng)流量攻擊����,并使用合法的方式與主機(jī)進(jìn)行通信�����,主機(jī)一定難以幸免��。流量攻擊通常是從傀儡機(jī)發(fā)送大量無用的數(shù)據(jù)包將主機(jī)帶寬或者主機(jī)所在的交換機(jī)(路由器)帶
4、寬耗盡����。如果主機(jī)所在網(wǎng)絡(luò)的帶寬較小,比如10M���,則無論怎樣都無法應(yīng)對流量攻擊�����。要對付流量攻擊�����,至少要有100M或更高的網(wǎng)絡(luò)帶寬�����?��! 〖偃缰鳈C(jī)的服務(wù)非常緩慢或無法訪問,而Ping還可以Ping通�����,則很可能遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是��,Ping受害主機(jī)Ping超時(shí)����,而Ping與受害主機(jī)在同一交換機(jī)上的主機(jī)則正常,造成這種原因是受害主機(jī)遭受攻擊后CPU利用率達(dá)到100%無法回應(yīng)Ping命令����,其實(shí)帶寬還是有的�,否則就Ping不通接在同一交換機(jī)上的主機(jī)了。很多情況下�����,資源耗盡型攻擊和流量攻擊是同時(shí)進(jìn)行的
5��、����,比如SYNflood。通常資源耗盡型攻擊比流量攻擊流量耗盡型攻擊需要的傀儡機(jī)要少�����,因此更容易攻擊成功?���! ‘?dāng)前資源耗攻擊主要有三種類型: 1、無連接攻擊: 這種攻擊方法主要利用IP�、TCP、ICMP等協(xié)議的漏洞�����,在無連接情況下或者連接建立過程中完成攻擊���。主要是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN�、ACK���、UDP�、ICMP包等�,導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù),由于源都是偽造的,故追蹤起來比較困難��。對于SYNFlood攻擊��,在服務(wù)器上用Netstat-na命令會觀察到存在大量的S
6、YN_RECEIVED狀態(tài)�。 2��、TCP全連接攻擊: 當(dāng)主機(jī)突然收到比平時(shí)多得多的“合法”連接請求時(shí)�,基本可以判定是這種類型。由于攻擊采用的方式幾乎無法與真正的合法流量區(qū)分�����,使得這種攻擊很難自動(dòng)防御�����。但是這種攻擊會暴露傀儡機(jī)的IP地址�����,從而相對容易跟蹤����。然而DDoS攻擊的追蹤不僅是要找到傀儡機(jī)����,還要找到隱藏在傀儡機(jī)背后的黑客主機(jī)。好的DDoS攻擊工具可以偽造黑客主機(jī)的IP地址,使得對黑客主機(jī)的追蹤要比對傀儡機(jī)的追蹤困難的多��。TCP全連接攻擊的另一個(gè)缺點(diǎn)是需要控制大量的傀儡機(jī)來模擬合法的連接���?! ?�����、Script腳
7�、本攻擊: 這種攻擊是TCP全連接攻擊的升級版,但是需要的傀儡機(jī)數(shù)量相對少一些�。主要是針對存在于ASP、JSP��、PHP�����、CGI等的腳本程序�,并調(diào)用MSSQLServer、MySQLServer����、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計(jì)的����,對靜態(tài)網(wǎng)頁的服務(wù)器攻擊效果不大���。其特征是和服務(wù)器建立正常的TCP連接��,并不斷的向腳本程序提交查詢����、列表等大量耗費(fèi)數(shù)據(jù)庫資源的調(diào)用����。一般來說,提交一個(gè)GET或POST指令對客戶端的耗費(fèi)和帶寬的占用是幾乎可以忽略的����,而服務(wù)器為處理此請求卻可能要從上萬條記錄中去查出某個(gè)記錄,這種處理過程對資源
8����、的耗費(fèi)是很大的��。攻擊之后常見的現(xiàn)象ASP程序失效���、PHP連接數(shù)據(jù)庫失敗���、數(shù)據(jù)庫主程序占用CPU偏高�����?�! 』\統(tǒng)的講�����,抵御無連接攻擊主要是分析IP包�����,而對于有連接的攻擊則需要分析包的內(nèi)容�����?! ?.DDoS的追蹤 DDoS的追蹤主要有兩個(gè)目的:1是通過追蹤攻擊源獲取攻擊包的特征從而對流量進(jìn)行過濾或者聯(lián)系ISP尋求幫助;2是找到攻擊源并搜集攻擊證據(jù)����,
