資源描述:
《ddos攻擊的檢測(cè)���、追蹤與緩解技術(shù)》由會(huì)員上傳分享����,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1���、1.簡(jiǎn)介 DDoS是英文DistributedDenialofService的縮寫�,即“分布式拒絕服務(wù)”�����。凡是能導(dǎo)致合法用戶不能夠正常訪問(wèn)網(wǎng)絡(luò)服務(wù)的行為都是DoS攻擊,或拒絕服務(wù)攻擊����。在各種DoS攻擊中,DDoS攻擊策略側(cè)重于通過(guò)很多“僵尸主機(jī)”(被攻擊者入侵過(guò)或可間接利用的主機(jī))向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包�,從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)。DDoS攻擊一旦被實(shí)施���,攻擊網(wǎng)絡(luò)包就會(huì)猶如洪水般涌向受害主機(jī)�,從而把合法用戶的網(wǎng)絡(luò)包淹沒(méi)�,導(dǎo)致合法用戶無(wú)法正常訪問(wèn)服務(wù)器資源,因此���,拒絕服務(wù)攻擊又被稱之為
2、“洪水式攻擊”��,常見(jiàn)的DDoS攻擊手段有SYNFlood�、ACKFlood、UDPFlood����、ICMPFlood、TCPFlood�����、ConnectionsFlood、ScriptFlood�����、ProxyFlood等�。由于網(wǎng)絡(luò)的分布式和開(kāi)放式特性,使得DDos攻擊很難防范���?�! ∧壳癉DoS攻擊的發(fā)展主要有4個(gè)趨勢(shì):(1)廣分布的高強(qiáng)度攻擊;(2)偽造源IP地址;(3)數(shù)據(jù)包結(jié)構(gòu)位的隨機(jī)性;(4)使用多種協(xié)議及多種形式��。這4個(gè)趨勢(shì)使得DDoS攻擊的檢測(cè)和防御變得更加困難�����?����! ?.DDoS的檢測(cè) DDoS的表現(xiàn)形式主要有兩
3��、種�,一種為流量攻擊,主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊�����,即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被耗盡����,正常的網(wǎng)絡(luò)包無(wú)法到達(dá)主機(jī);另一種為資源耗盡攻擊,主要是針對(duì)服務(wù)器主機(jī)的攻擊�����,即通過(guò)大量攻擊包導(dǎo)致主機(jī)的內(nèi)存��、CPU或某個(gè)緩沖區(qū)耗盡而無(wú)法提供正常的服務(wù)��?���! ≡谠馐芰髁抗?���,同一交換機(jī)上的主機(jī)都會(huì)受到影響。這時(shí)Ping同一個(gè)交換機(jī)上的主機(jī)會(huì)超時(shí)��。理論上,如果攻擊者能夠發(fā)動(dòng)超過(guò)主機(jī)帶寬的傀儡機(jī)(群)發(fā)動(dòng)流量攻擊����,并使用合法的方式與主機(jī)進(jìn)行通信,主機(jī)一定難以幸免���。流量攻擊通常是從傀儡機(jī)發(fā)送大量無(wú)用的數(shù)據(jù)包將主機(jī)帶寬或者主機(jī)所在的交換機(jī)(路由器)帶
4�����、寬耗盡�。如果主機(jī)所在網(wǎng)絡(luò)的帶寬較小��,比如10M����,則無(wú)論怎樣都無(wú)法應(yīng)對(duì)流量攻擊。要對(duì)付流量攻擊����,至少要有100M或更高的網(wǎng)絡(luò)帶寬?��! 〖偃缰鳈C(jī)的服務(wù)非常緩慢或無(wú)法訪問(wèn)��,而Ping還可以Ping通���,則很可能遭受了資源耗盡攻擊�。還有一種屬于資源耗盡攻擊的現(xiàn)象是����,Ping受害主機(jī)Ping超時(shí),而Ping與受害主機(jī)在同一交換機(jī)上的主機(jī)則正常�,造成這種原因是受害主機(jī)遭受攻擊后CPU利用率達(dá)到100%無(wú)法回應(yīng)Ping命令,其實(shí)帶寬還是有的��,否則就Ping不通接在同一交換機(jī)上的主機(jī)了���。很多情況下��,資源耗盡型攻擊和流量攻擊是同時(shí)進(jìn)行的
5��、�,比如SYNflood�。通常資源耗盡型攻擊比流量攻擊流量耗盡型攻擊需要的傀儡機(jī)要少�,因此更容易攻擊成功?! ‘?dāng)前資源耗攻擊主要有三種類型: 1����、無(wú)連接攻擊: 這種攻擊方法主要利用IP���、TCP�、ICMP等協(xié)議的漏洞��,在無(wú)連接情況下或者連接建立過(guò)程中完成攻擊�。主要是通過(guò)向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN、ACK���、UDP���、ICMP包等,導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)��,由于源都是偽造的,故追蹤起來(lái)比較困難��。對(duì)于SYNFlood攻擊���,在服務(wù)器上用Netstat-na命令會(huì)觀察到存在大量的S
6�、YN_RECEIVED狀態(tài)?����! ?����、TCP全連接攻擊: 當(dāng)主機(jī)突然收到比平時(shí)多得多的“合法”連接請(qǐng)求時(shí),基本可以判定是這種類型���。由于攻擊采用的方式幾乎無(wú)法與真正的合法流量區(qū)分���,使得這種攻擊很難自動(dòng)防御。但是這種攻擊會(huì)暴露傀儡機(jī)的IP地址���,從而相對(duì)容易跟蹤��。然而DDoS攻擊的追蹤不僅是要找到傀儡機(jī)��,還要找到隱藏在傀儡機(jī)背后的黑客主機(jī)��。好的DDoS攻擊工具可以偽造黑客主機(jī)的IP地址����,使得對(duì)黑客主機(jī)的追蹤要比對(duì)傀儡機(jī)的追蹤困難的多。TCP全連接攻擊的另一個(gè)缺點(diǎn)是需要控制大量的傀儡機(jī)來(lái)模擬合法的連接����?���! ?、Script腳
7��、本攻擊: 這種攻擊是TCP全連接攻擊的升級(jí)版����,但是需要的傀儡機(jī)數(shù)量相對(duì)少一些。主要是針對(duì)存在于ASP��、JSP����、PHP、CGI等的腳本程序���,并調(diào)用MSSQLServer�、MySQLServer����、Oracle等數(shù)據(jù)庫(kù)的網(wǎng)站系統(tǒng)而設(shè)計(jì)的����,對(duì)靜態(tài)網(wǎng)頁(yè)的服務(wù)器攻擊效果不大����。其特征是和服務(wù)器建立正常的TCP連接,并不斷的向腳本程序提交查詢�、列表等大量耗費(fèi)數(shù)據(jù)庫(kù)資源的調(diào)用。一般來(lái)說(shuō)��,提交一個(gè)GET或POST指令對(duì)客戶端的耗費(fèi)和帶寬的占用是幾乎可以忽略的�����,而服務(wù)器為處理此請(qǐng)求卻可能要從上萬(wàn)條記錄中去查出某個(gè)記錄����,這種處理過(guò)程對(duì)資源
8���、的耗費(fèi)是很大的��。攻擊之后常見(jiàn)的現(xiàn)象ASP程序失效��、PHP連接數(shù)據(jù)庫(kù)失敗�、數(shù)據(jù)庫(kù)主程序占用CPU偏高?��! 』\統(tǒng)的講,抵御無(wú)連接攻擊主要是分析IP包�,而對(duì)于有連接的攻擊則需要分析包的內(nèi)容?! ?.DDoS的追蹤 DDoS的追蹤主要有兩個(gè)目的:1是通過(guò)追蹤攻擊源獲取攻擊包的特征從而對(duì)流量進(jìn)行過(guò)濾或者聯(lián)系ISP尋求幫助;2是找到攻擊源并搜集攻擊證據(jù),
