攻擊者可以通過反彈技術(shù)使我們對DDOS攻擊更難以防御——利用反彈服務(wù)器反彈DDOS的洪水包,也就是說,通過發(fā)送大量的欺騙請求數(shù)據(jù)包(來源地址為victim,受害服務(wù)器,或目標(biāo)服務(wù)器)給Internet上大量的服務(wù)器群,而這些服務(wù)器群收到請求后將發(fā)送大量的應(yīng)答包給victim。結(jié)果是原來用于攻擊的洪水?dāng)?shù)據(jù)流被大量的服務(wù)器所稀釋,并最終在受害者處匯集為洪水,使受害者更難以隔離攻擊洪水流,并且更難以用Traceback 跟蹤技術(shù)去找到洪水流的來源。 在分布式DOS攻擊(DDOS)中,攻擊者事先入侵了大量服務(wù)器,并在這些服務(wù)器上植入了DDOS攻擊程序,然后結(jié)合這些被入侵的服務(wù)器的網(wǎng)絡(luò)傳輸力量發(fā)動攻擊。利用大量的服務(wù)器發(fā)動攻擊不僅增加了攻擊的力度,而且更難于防范。
圖 1: DDOS 攻擊的結(jié)構(gòu) 圖一顯示了以往DDOS攻擊的結(jié)構(gòu):一個主機(jī),主服務(wù)器(Master),作用是發(fā)送控制消息給事先入侵并已植入DDOS程序的從服務(wù)器群(Slave),控制從服務(wù)器群發(fā)起對目標(biāo)服務(wù)器的攻擊。從服務(wù)器群將產(chǎn)生高容量的源地址為偽造的或隨機(jī)的網(wǎng)絡(luò)數(shù)據(jù)流,并把這些數(shù)據(jù)流發(fā)送給目標(biāo)服務(wù)器。因為數(shù)據(jù)流的源地址是偽造的,增加了追查的難度。 利用成百上千的從服務(wù)器不僅可以另追查的難度加大(因為難以識別大量不同的來源,需要查詢大量的路由器),而且極大的阻礙了當(dāng)成功追查后所需采取的行動(因為這要與大量的網(wǎng)絡(luò)管理員聯(lián)系,安裝大量的網(wǎng)絡(luò)過濾器)。
圖 2: 利用反彈進(jìn)行DDOS 攻擊的結(jié)構(gòu) 而今考慮周密的攻擊者可以通過利用反彈服務(wù)器(Reflector),更好的組織他們的攻擊。反彈服務(wù)器是指,當(dāng)收到一個請求數(shù)據(jù)報后就會產(chǎn)生一個回應(yīng)數(shù)據(jù)報的主機(jī)。例如,所有的WEB服務(wù)器,DNS服務(wù)器,及路由器都是反彈服務(wù)器,因為他們會對SYN報文或其他TCP報文回應(yīng)SYN ACKs或RST報文,以及對一些IP報文回應(yīng)ICMP數(shù)據(jù)報超時或目的地不可達(dá)消息的數(shù)據(jù)報。而攻擊者可以利用這些回應(yīng)的數(shù)據(jù)報對目標(biāo)服務(wù)器發(fā)動DDOS攻擊。 攻擊者首先鎖定大量的可以做為反彈服務(wù)器的服務(wù)器群,比如說100萬臺(這并不是件很難的工作,因為在Internet上光是WEB服務(wù)器就不止這么多的,更何況還有更多其他的機(jī)器可以作為反彈服務(wù)器)。然后攻擊者們集中事先搞定的從服務(wù)器群,向已鎖定的反彈服務(wù)器群發(fā)送大量的欺騙請求數(shù)據(jù)包(來源地址為victim,受害服務(wù)器或目標(biāo)服務(wù)器)。反彈服務(wù)器將向受害服務(wù)器發(fā)送回應(yīng)數(shù)據(jù)報。結(jié)果是:到達(dá)受害服務(wù)器的洪水?dāng)?shù)據(jù)報不是幾百個,幾千個的來源,而是上百萬個來源,來源如此分散的洪水流量將堵塞任何其他的企圖對受害服務(wù)器的連接。 圖二顯示了利用反彈進(jìn)行DDOS攻擊的結(jié)構(gòu)。注意到,受害服務(wù)器不需要追查攻擊的來源,因為所有攻擊數(shù)據(jù)報的源IP都是真實的,都是反彈服務(wù)器群的IP。而另一方面,反彈服務(wù)器的管理人員則難以追查到從服務(wù)器的位置,因為他所收到的數(shù)據(jù)報都是偽造的(源IP為受害服務(wù)器的IP)。 原則上,我們可以在反彈服務(wù)器上利用追蹤技術(shù)來發(fā)現(xiàn)從服務(wù)器的的位置。但是,反彈服務(wù)器上發(fā)送數(shù)據(jù)報的流量遠(yuǎn)小于從服務(wù)器發(fā)送的流量。每一個從服務(wù)器可以把它發(fā)送的網(wǎng)絡(luò)流量分散到所有或者一大部分反彈服務(wù)器。例如:如果這里有Nr 個反彈服務(wù)器,Ns 個從服務(wù)器,每個從服務(wù)器發(fā)送的網(wǎng)絡(luò)流量為F,那么每一個反彈服務(wù)器將產(chǎn)生的網(wǎng)絡(luò)流量為 值得注意的是,不象以往DDOS攻擊,利用反彈技術(shù),攻擊者不需要把服務(wù)器做為網(wǎng)絡(luò)流量的放大器(發(fā)送比攻擊者發(fā)送的更大容量的網(wǎng)絡(luò)數(shù)據(jù))。他們甚至可以使洪水流量變?nèi)酰罱K才在目標(biāo)服務(wù)器回合為大容量的洪水。這樣的機(jī)制讓攻擊者可以利用不同網(wǎng)絡(luò)結(jié)構(gòu)機(jī)制的服務(wù)器作為反彈服務(wù)器,使其更容易找到足夠數(shù)量的反彈服務(wù)器,用以發(fā)起攻擊。 我們的分析顯示,有三種特別具威脅性的反彈服務(wù)器是:DNS服務(wù)器、Gnutella服務(wù)器、和基于TCP-IP的服務(wù)器(特別是WEB 服務(wù)器),基于TCP的實現(xiàn)將遭受可預(yù)測初始序列號的威脅。 |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識,文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長一起進(jìn)步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
,而Nr 遠(yuǎn)大于Ns 。所以,服務(wù)器根據(jù)網(wǎng)絡(luò)流量來自動檢測是否是DDOS攻擊源的這種機(jī)制將不起作用。