DoS和DDoS的攻擊方法淺析
作者: voboynet 發表日期: 2006-11-09 09:12 文章屬性: 轉載 複製鏈結
http://big5.ccidnet.com:89/gate/big5/voboy.blog.cc...showone/tid_103324.html對DoS而言其攻擊方式很多,主要使用的攻擊有3種,分別是TCP-SYN flood、UDP flood和ICMP flood。當用戶進行一次標準的TCP連接時,會有一個3次握手過程。首先是請求服務方發送一個SYN消息,服務方收到SYN後會向請求方回送一個SYN-ACK表示確認,當請求方收到SYN-ACK後,再次向服務方發送一個ACK消息,這樣,一次TCP連接建立成功。但是TCP-SYN flood在實現過程中只進行前2個步驟:當服務方收到請求方的SYN-ACK確認消息後,請求方由於採用源地址欺騙等手段使得服務方收不到ACK回應。於是,服務方會在一定時間處於等待接收請求方ACK消息的狀態。對於某臺伺服器來說,可用的TCP連接是有限的,如果惡意攻擊方快速連續地發送此類連接請求,該伺服器可用的TCP連接隊列將很快被阻塞,系統可用資源急劇減少,網路可用帶寬迅速縮小。長此下去,網路將無法向用戶提供正常的服務。
由於UDP(用戶數據包協議)在網路中的應用比較廣泛,基於UDP攻擊種類也較多。如今在Internet上提供WWW和Mail等服務設備通常是使用Unix的伺服器,它們默認一些被惡意利用的UDP服務,如echo和chargen服務,它會顯示接收到的每一個數據包,而原本作為測試功能的chargen服務會在收到每一個數據包時隨機反饋一些字符,如果惡意攻擊者將這2個UDP服務互指,則網路可用帶寬將很快耗盡。
目前,我們知道的對網路進行DDoS攻擊所使用的工具有:Trinoo、Tribe Flood Network(TFN)、TFN2k和Stacheldraht等。它們的攻擊思路基本相近。
1.Trinoo:它是基於UDP flood的攻擊軟體,它向被攻擊目標主機的隨機端口發出全零的4字節UDP包,在處理這些超出其處理能力垃圾數據包的過程中,被攻擊主機的網路性能不斷下降,直到不能提供正常服務,乃至崩潰。它對IP地址不做假,此攻擊方法用得不多。
2.TFN:它是利用ICMP給代理伺服器下命令,其來源可以做假。它可以發動SYN flood、UDP flood、ICMP flood及Smurf(利用多臺伺服器發出海量數據包,實施DoS攻擊)等攻擊。TFN的升級版TFN2k的特點是:對命令數據包加密、更難查詢命令內容、命令來源可以做假,還有一個後門控制代理伺服器。
3.Stacheldraht:對命令來源做假,而且可以防範一些路由器用RFC2267過濾。若檢查出有過濾現象,它將只做假IP地址最後8位,從而讓用戶無法了解到底是哪幾個網段的哪台機器被攻擊。此外,它還具有自動更新功能,可隨軟體的更新而自動更新。
值得一提的是,像Trinoo和TFN等攻擊軟體都是可以從網上隨意找到的公開軟體,所以任何一個上網者都可能構成網路安全的潛在威脅。面對凶多吉少的DDoS險灘,我們該如何對付隨時出現的駭客攻擊呢?楊寧先生說,那要看用戶處於何種狀態,是正身處被攻擊的困圍中,還是準備事先預防。