拒絕服務攻擊(DDOS)現狀分析

技術

拒絕服務技術的創新已經基本塵埃落定，而上個世紀最后十年的發明也逐漸遙遠。然而，隨著寬帶接入、自動化和如今家庭計算機功能的日益強大，使得對拒絕服務攻擊的研究有些多余。尤其是當我們發現一些本已在90年代末銷聲匿跡的古老的攻擊方式，(例如land ，其使用類似的源和目標 IP 地址和端口發送 UDP 信息包)這些攻擊技術 現在又卷土重來時，這個結論就更加顯而易見。在這一方面唯一的進步就是可以發起并行任務，從而可以通過簡單的 486 處理器所無法實現的方式來顯著提高攻擊強度。

另一個要考慮的重點是事實上IP堆棧似乎并未正確地安裝補丁程序。計算機不再會因為單一的信息包而崩潰；但是，CPU操作會為了處理這種信息包而保持高速運行。因為補丁失效期間生成的信息包是有限的，所以要實現有效的攻擊并不容易。可能是技術提高得太快。不管是什么原因，這些陳舊過時的攻擊方式現在又卷土重來，而且還非常有效。

使用拒絕服務

拒絕服務攻擊開始可能只是為了“取樂”，對系統操作員進行某種報復或是實現各種復雜的攻擊，例如對遠程服務的隱形欺騙。某人因在某一信道上遭到侮辱后也經常會將IRC服務器作為攻擊目標。這種情況下的網絡和因特網使用是“保密的”，這些攻擊對其造成的影響微乎其微。

隨著時間的流逝，因特網逐漸成為一種通信渠道，hacktivism（網絡激進主義）越來越流行。地理政治形勢、戰爭、宗教問題、生態等任何動機都可能成為對公司、政治組織或甚至國家的IT基礎架構發動進攻的動機。

最近的拒絕服務攻擊更多的是與聯機游戲有關。某些玩家對在游戲中被人殺死或丟失他們喜愛的武器不滿意，因此發動拒絕服務攻擊，許多服務器已經成為這種攻擊的犧牲品。

但是如今使用拒絕服務的目的大多數是純粹的敲詐勒索。越來越多的企業開始依賴他們的IT基礎架構。郵件、關鍵數據、甚至電話都通過網絡來處理。如果沒有這些主要的通信渠道，大多數公司都難以在競爭中幸存。而且，因特網還是一種生產工具。例如，搜索引擎和博彩web 站點都完全依賴網絡連接。

因此，隨著公司直接或間接地依賴因特網，原有的敲詐信逐漸轉變成數字形式。首先在短暫而非緊要的時間段內發動攻擊。然后受害者就不得不支付“保護費”。

網絡協議攻擊

這些攻擊瞄準傳輸信道，并因此以IP堆棧作為攻擊目標，IP堆棧是內存和 CPU 之類關鍵資源的進入點。

SYN洪水

SYN洪水是典型的基于概念的拒絕服務攻擊，因為這種攻擊完全依賴于TCP連接的建立方式。在最初的 3 向握手期間，服務器填寫保存內存中會話信息的 TCB（傳輸控制塊）表。當服務器收到來自客戶機的初始 SYN 信息包時，向客戶機發送回一個 SYN-ACK 信息包并在 TCB 中創建一個入口。只要服務器在等待來自客戶機的最終 ACK 信息包，該連接便處于 TIME_WAIT 狀態。如果最終沒有收到 ACK 信息包，則將另一個 SYN-ACK 發送到客戶機。最后，如果經多次重試后，客戶機沒有認可任何 SYN-ACK 信息包，則關閉會話并從 TCB 中刷新會話。從傳輸第一個 SYN-ACK 到會話關閉這段時間通常大約為 30 秒。

在這段時間內，可能會將數十萬個SYN信息包發送到開放的端口且絕不會認可服務器的SYN-ACK 信息包。TCB 很快就會超過負荷，且堆棧無法再接受任何新的連接并將現有的連接斷開。因為攻擊者不用接收來自服務器的 SYN-ACK 信息包，所以他們可以偽造初始 SYN 信息包的源地址。這就使得跟蹤攻擊的真實來源更加困難。此外，因為 SYN-ACK 信息包沒有發送到攻擊者，所以這樣還為攻擊者節省了帶寬。

生成這種攻擊很容易，只要在命令行輸入一條命令就足夠了。

#hping3--rand-source–S –L 0 –p

存在的變體也很少，通常為了增加CPU的使用率會將某些異常添加到SYN 信息包。這些可能是序列號或源端口0等合法的異常。

SYN-ACK洪水

SYN-ACK洪水的作用基礎是令CPU資源枯竭。從理論上講，這種信息包是 TCP 3 向握手的第二步，而且在 TCB 中應該有對應的入口。瀏覽 TCB 將會使用 CPU 資源，尤其 TCB 很大時會耗用更多的 CPU 資源。因此，負荷較重時，這種對資源的使用會影響系統性能。

這也就是SYN-ACK攻擊所仰仗的利器。向系統發送一個巨荷的SYN-ACK 信息包會顯著增加系統 CPU 的使用率。因此，用于組織 TCB 的哈希算法和哈希表大小之選擇會影響攻擊的效率（請參閱“概念”和“邏輯缺陷”）。而且，因為這些 SYN-ACK 信息包不屬于現有的連接，所以目標機器不得不將 RST 信息包發送到源機器，從而增加了鏈路上的帶寬占用率。對于 SYN 洪水，攻擊者為了避免接收到 RST，當然可以偽造源機器的 IP 地址，這樣還可以提高攻擊者的可用帶寬。

這也只需要一條簡單的命令就可以進行這種攻擊。

一個重要因子是由第三方服務器基于反射機制而生成SYN-ACK信息包的能力。在將SYN 信息包發送到服務器的開放端口時，該服務器將 SYN-ACK 信息包發送回源機器。此時任何服務器都可能為這種攻擊充當中繼。發送到服務器的簡單 SYN 信息包帶有偽造的源，其發送到目標時生成 SYN-ACK 返回目標。這種技術讓跟蹤更加困難。而且，在某些情況下，還可以繞過某些防偽機制。尤其當目標和攻擊者屬于同一干道而且部署的 uRPF (參閱“防偽”) 距離目標機器和攻擊者足夠遠時，更有可能避開防偽機制。

通過與SYN洪水聯結還可以提高此種攻擊的強度。SYN洪水在TCB 中創建入口，而TCB因此變得越來越大。由于此時瀏覽 TCB 所需的時間更長，所以 SYN-ACK 洪水的功效大大增加。

UDP洪水

UDP同樣天生就是拒絕服務攻擊的傳播媒介。按照指定，在封閉端口上接收UDP信息包的服務器將無法到達 ICMP 端口的信息包發送回給源機器。ICMP 信息包的數據部分填充有原始 UDP 信息包中的至少前 64 個字節。因為沒有標準限度或額度，所以很可能在封閉的端口上發送巨量的信息包。在為生成 ICMP 而進行負荷極大的必需操作時，，錯誤的信息包消耗了大量 CPU 資源，最終導致CPU 資源枯竭。

同樣，也可以從命令行生成這種攻擊。而且，也可以通過偽造而使得ICMP信息包不會降低攻擊者的帶寬。

異常

異常屬于特殊情況，其可以令IP堆棧出現行為錯誤而造成各種不同的后果，例如崩潰、凍結等等。異�？蓜澐譃閮纱箢悾悍欠〝祿�和隔離異常。

非法數據是標準所不予考慮的或予以顯式否定的值或內容。大于指定長度的信息包、重疊的TCP標記組合、含非空認證序列號的SYN 信息包或甚至錯誤的選項類型都屬于基于非法數據的異常攻擊。

隔離異常是基于那些堆棧不能正常處理的異常情況（即便從標準的視角看它們完全合法）。著名的“死亡之ping”就是關于巨型（但仍然合法）ICMP回顯請求信息包。如果信息包帶有相同的源地址、目標地址和端口，其仍然是合法的，不過對IP 協議棧有害。古老的 land 攻擊最近已脫胎換骨成為 imland，而且正在破壞 IP協議棧。只有少數異常攻擊仍然能夠利用單一信息包擊倒系統。大多數堆棧都已打上補丁程序，而且可能大多數異常都已經過測試和開發。然而，處理這種信息包仍然會占用 CPU 的不少資源。當5 年前異常攻擊出現并得到補丁程序的修補時，攻擊能力還受到 CPU 和帶寬的限制。處理異常情況時產生的額外計算負擔不太重要。如今，工作站與服務器之間的差距日益縮小，而且任何人都可以使用寬帶。這種條件下可能發動巨型負荷的異常，使得目標機器的 CPU 資源枯竭。

同樣，也可以從單一的命令行實現這種攻擊。

#hping3--rand-source–SAFRU –L 0 –M 0 –p --flood

同樣，仍然可以選擇進行偽造來進行有效有效攻擊。

應用程序級攻擊

網絡已證明易受攻擊。然而網絡只是全球系統中的傳輸部分，是中斷通信的良好手段。不過，應用程序通常是實際的攻擊目標，而且這些應用程序也受到無數的拒絕服務問題的襲擾。

基于會話的攻擊

大多數應用程序連接是通過會話(通常經過TCP機制的標識) 來處理。同步會話的數量是影響給定應用程序性能的重要因素，因此必須限制會話的數量。如果該限制只是基于網絡和傳輸信息（IP+TCP），那么生成拒絕服務是很容易的。一次簡單的攻擊便可打開 TCP 會話并讓這些會話保持打開狀態，從而可以迅速填滿所有可用的會話槽，阻止建立任何新的會話。這種“待決”會話攻擊是與 SYN 洪水等價的 7 層攻擊。但是如果在第 4 層上需要有數千兆數據流量，則需要在幾秒內發送數千個信息包來阻止建立任何新的會話，。

例如，很容易在web服務器上實施這種攻擊。

完整和合法的會話也可以破壞應用程序，簡單的F5攻擊只需保持F5 鍵處于按下狀態就可以強制完全刷新在 Internet Explorer 上加載的 web 頁面。使用這種古老而簡易的攻擊，便會僅僅因為需要服務的 web 頁面數過多而導致資源枯竭。這種會話洪水攻擊還可以破壞通信信道的其他關鍵路徑。

− 電信鏈接：從服務器傳送到客戶機的數據量可以填滿與因特網的鏈接。這種情況下，通過該鏈接無法進行任何通信；針對性的拒絕服務攻擊漫延至全球；

− 服務器應用程序：大量同步連接可以達到服務器處理同步會話能力的上限，這種攻擊類似于“待決的”會話攻擊。如果未設置上限，則處理大量會話時可能消耗絕大多數的系統資源。

− 第三方應用程序：大多數應用程序都鏈接到中間軟件和數據庫。在任一情況下，由于這些第三方應用程序在處理原始應用程序發出的巨量請求時可能遇到內部問題，因此就可能出現瓶頸。這些結果也可能是內部缺陷造成的（如下所述）。

繼F5攻擊技術之后，會話洪水技術便再無發展。不過，人們已發現且廣泛使用平衡因子而使得這種攻擊仍然是拒絕服務中一種最惡性的可能情形。
概念和邏輯缺陷

開發的應用程序是為了在正常情況下提供特定的服務，而攻擊的目的就是令應用程序的行為方式出現異常。這種攻擊的某些機制是通用的，但是這種攻擊的大多數機制是專用于各個不同應用程序的概念和邏輯，因此想要羅列出全部有缺陷的應用程序和消滅這些缺陷的方法是不可能的。

內部

內存處理顯然是可以導致拒絕服務攻擊的第一內部機制。簡單的“緩沖溢出”使得重寫堆棧成為可能，從而讓應用程序乃至整個系統都不穩定。在不同級別的應用程序通道中缺少輸入檢查，也使得攻擊會沿著第三方應用程序傳播而增加攻擊的可能性。

然而，內部缺陷更加難以琢磨，更加難以修補。依賴于NFA引擎的規則表達式可能極具危險性。NFA引擎分析表達式的所有可能路徑。如有一個字符令搜索失效，該引擎便會返回前一個匹配點并重試表達式的所有組合。若針對精心制作的輸入而啟動像通配符 * 之類極耗資源的運算符和像 (int|integer) 之類 OR 條件的組合，則會產生致命的影響。

SQL也是邏輯攻擊的一種明顯傳播媒介，因為在大型而復雜的表格上，SQL查詢可能在應用程序級生成不同的錯誤行為。首先遇到的缺陷就是缺少索引和數據庫結構中通常使用的字符串列。如果沒有正確的索引，涉及對同一個表的多個列進行篩選和排序操作的SQL 請求便會產生指數級數量的操作，這會消耗巨量的 CPU 資源并顯著增加應用程序響應時間。如果搜索和排序的字段是字符串，則這些操作消耗的資源甚至會更多。

第二種缺陷與內存有關。在超大型表中，類似于“SELECT*”的請求可能產生數百萬個結果。臨時數據庫結構和用于存儲結果的應用程序結構消耗大量內存，結果可能會導致各種后果：數據交換過量、響應時間延長或整個系統拒絕服務。

另一種重要的拒絕服務攻擊可以針對用于組織和搜索內存中數據的哈希函數來實施。哈希表入口是指向對象鏈接表的指示符。搜索操作需要兩個步驟。首先，計算哈希函數以在哈希表中查找匹配的入口。然后，逐個比較列表中的對象。沖突是這種機制的第一個缺陷。如果哈希表不夠大和／或哈希算法使得容易產生沖突，便可能會產生多個入口而與哈希表中相同的入口匹配。按這種方式對表格進行的任何搜索操作都將需要執行很多運算，而且消耗CPU資源，其本身很可能導致拒絕服務，或者會加強針對依賴于這種機制的某個應用程序的攻擊效果。

運行模式

每個應用程序都有特定的功能和運行方式。因此要描述出所有的缺陷是不可能的。然而，某些典型和有效的示例可以對常見的無掩蔽性操作提供線索。

DHCP服務器容易遭受的攻擊盡管很微小但卻能快速耗盡其可用IP地址的池。前面已經分析過協議本身的缺陷（請參閱第 3 層連接攻擊）。除此之外，在 DHCP 交換的第一階段中，DHCP 服務器在沒有得到來自客戶機的任何確認情況下會鎖定 IP 地址。令 DHCP 服務器用盡可用的 IP 地址便只是使用 chaddr 數據字段中指定的不同 MAC 地址來發送多個 DHCPDISCOVER 請求的問題。甚至不需要偽造 MAC。廣播、缺少認證和“早期處理”組合起來構成拒絕服務攻擊的關鍵因素。

另一種“先進”的攻擊是基于設計不良的運行方式，這就是DNS服務器的洪水攻擊。當DNS 服務器接收到對不在其緩存中的名稱之解析請求，或當請求指定應答必須具有權威性時，服務器將請求發送到 TLD（頂級域名）服務器，以便獲得域的 SOA（頒發機構起始）地址。一旦獲得該地址，目標 DNS 服務器便向 SOA 服務器發出另一個請求以便解析該請求的名稱。獲得應答后，便立即將這些應答發送回給客戶機。由于不需要由客戶機進行認證，且客戶機與服務器之間的通信是基于 UDP 協議，所以很輕易就可以將數千個請求從偽造的來源發送到服務器。可以對不同級別的攻擊效率作如下區分。

− 針對不存在的域上主機之請求：這種情況下，TLD 將一個錯誤發送到目標 DNS 服務器，該服務器再將該錯誤轉發到客戶機。這種影響相對較低，而且需要攻擊者提供大量請求。然而，很輕易就可以創建一個工具來生成這種攻擊，因為任何字段（主機、域）可以是隨機的，且不必是真實字段。

− 針對極少數現有域上主機之請求：這種情況下，目標服務器就每個域向 TLD 發送一個請求以獲取 SOA。然后，把來自攻擊者的每個請求轉發到 SOA。不存在的主機會生成錯誤。另一方面，與現有主機有關的請求從 SOA 生成應答，這些應答是轉發到源的較大信息包。這種情況下，較高的數據流量和更重要的處理可以提高攻擊的效率。因為查找幾個現有的域比較簡單，所以這種攻擊仍然相對容易實施。然而，攻擊的效率主要取決于這些域的 SOA 對目標服務器發送給它們的大量請求進行處理的能力和這些域上眾多主機名的可用性。

− 針對多個現有域上主機之請求。在這最后一種情況下，幾乎所有發送到目標服務器的請求都會令目標服務器產生到 TLD 的請求，隨后便是到 SOA 的請求和對應答的處理。這種攻擊很難實施，因為它需要定義包含數千個現有域和主機的列表。然而，它特別有效，只在每秒內進行幾千次請求就能使得大多數 DNS 服務器崩潰。

這種DNS的情況之出現大都是因為使用無態協議，使得攻擊者可在不受影響的情況下在服務器端產生較高的數據流量和處理負荷。

對上下文和會話的處理是應用程序中另一常見的重要缺陷。在SMTP服務器對HELO 命令參數的有效性實施特定檢查的情況下，由于不能對結果進行即時處理而會增強這一缺陷的影響。根據標準，只有出現 RCPT TO 命令時才可以拒收郵件。因此，建立一個會話并發出數千個 HELO 請求將會讓目標服務器重復處理參數，這些參數通常位于規則的表達式上。最糟糕的情況是在執行名稱解析時，因為這會添加更多的處理和數據流量。因為單條 HELO 命令約有 100 個字節，所以有可能從通過寬帶接入而連接到因特網的標準 PC 對郵件服務器發動十分有效的攻擊。如果一檢測到異常便中斷會話，則這種攻擊不可能實現。

改善效率

大多數拒絕服務攻擊實施起來非常簡單。然而某些情況下，標準PC和寬帶接入并不足以發動有效的攻擊。尤其當在目標基礎結構上實施群集和負載平衡之類機制時更是如此。在此情況下將會把一個單一的目標IP 地址物理鏈接到許多服務器，從而產生大規模攻擊需求。

有兩種方式能使得攻擊在這種情況下有效。第一種方式是找到一些提高攻擊媒介能力（信息包、會話的數量或帶寬等）的平衡因子。第二種方式取決于影響通信路徑上設備或資源的某些副作用。

小型信息包

最常見的副作用是需由內聯網絡或安全設備來處理的巨量小型信息包的影響。根據在這些設備上實施的功能，將信息包從一個接口轉發到另一個接口可能需要若干操作。簡單的路由器必須根據其路由表做出決策。在信息包篩選操作中，必須檢查第4層標頭來驗證篩選器。有態檢驗因需要檢查會話表而增加了復雜性。像逆向代理等最后一個應用程序層設備必須在第7 層處理信息包。像信息包銷毀或 NAT 等某些其他操作甚至需要更多的處理，因為必須重寫信息包并重新計算若干校驗和。

小型信息包產生的影響很容易用數字來說明。一般來說，指定用于處理特定帶寬的設備在處理64字節的信息包時幾乎不能提供大于10％ 聲明性能的吞吐量。任何依賴于小于 100 字節信息包的攻擊可能首先會令路由器和防火墻崩潰，而不僅僅是影響目標服務器。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]