你可以为避免互联网上的DDoS攻击作出一点贡献并且同时使你在网络攻击面前不那么脆弱.但是如果有人真的想要用DDoS攻击使你的服务器瘫痪,他们是能够做到的.微软,雅虎和Exodus都在过去的12个月里遭到了DDos的毒手;你或是你的客户可能成为下一个目标.
5月22号星期二,只是Pittsburgh Carnegie Mellon大学CERT交流中心的另一个寻常的日子.被认为是计算机安全的泰斗的CERT将在这一天被黑客们"离散的服务拒绝"(DDoS)的攻击手段踢出网络.
时至2001年,就是网络安全界鼻祖自己的安全也岌岌可危.如果CERT能被攻击,你也逃不掉的.
你可以为避免互联网上的DDoS攻击作出一点贡献并且同时使你在网络攻击面前不那么脆弱.但是如果有人真的想要用DDoS攻击使你的服务器瘫痪,他们是能够做到的.微软,雅虎和Exodus都在过去的12个月里遭到了DDos的毒手;你或是你的客户可能成为下一个目标.
野兽的本性
"拒绝服务"攻击就象它们的名字说的一样:阻止你的服务器发送你提供的服务.攻击者可以通过多种手段达到这个目的.例如,Outlook e-mail 蠕虫病毒Melissa及其同类可以被看作是DoS攻击的代理者,因为它们驱使Outlook程序的客户端向服务器不停的发出充满了蠕虫病毒的信件直到服务器在重压之下瘫痪.
这是非常重要的一点.人们通常将DoS攻击的过程看成是用无用的信息来阻塞网络的带宽.当然,这是DoS攻击的一种,但是另一种消耗服务器资源方式的攻击也会成功.那意味着通过一个低速的modem连接来进行一次成功的DoS攻击也是可能的,只要它是冲着服务器资源去的.要真正保护一个网络,网络本身和其上的服务器都必须全副武装.
对于企业用户来说,防火墙和象Zone Labs 公司的Zone Alarm Pro软件可以帮忙.另外,有几家公司,诸如
Asta 网络公司和Mazu网络公司目前都提供对DDoS攻击的企业级的保护.
Asta公司的Vantage系统采用了类似于反病毒软件的技术:寻找可能的DDoS攻击的各种征兆.它不停地将网络上数据包和已知的DDoS数据包的定式比较,这些定式包括流往域名服务器(DNS)的非标准的数据流.但当它发现了可能的攻击,Vantage系统会提示网络管理员,然后网络管理员就能使用路由过滤器甚至在数据流传送的途中关闭网络服务器来阻止攻击.
Mazu网络公司为DDoS设计的TrafficMaster Inspector通过不停地进行以G为单位的以太网速度的数据检查,并且尽可能远的追溯数据来源.简单的说,Mazu希望能够实时的探测到网络攻击,然后让正常的数据包通过同时将DDoS数据包阻挡起来.它对网络的这种保护使得它适合于ISP和数据中心服务器.
通常,DoS攻击的目标是你网络的TCP/IP内层结构.这些攻击分为三种:一种是利用给定的TCP/IP协议栈软件的弱点;二种是利用TCP/IP协议的漏洞;第三种是不断尝试的野蛮攻击.
破坏TCP/IP
一个利用TCP/IP协议软件弱点进行进攻的经典的例子是Ping of Death攻击.利用的具体方法是,你的对手创建一个超过了IP标准的最大长度--65535个字节的IP数据包.当这个"浮肿的"数据包到达的时候,它就使得一个使用脆弱的TCP/IP协议软件和操作系统的服务器瘫痪.
所有现代的操作系统和协议软件对Ping of Death攻击都有免疫力,但是老的Unix系统可能仍然是脆弱的.
另一个利用粗制滥造的TCP/IP软件进行攻击的例子是Teardrop,它利用了系统重组IP数据包过程中的漏洞.一个数据包在从互联网的另一端到你这里的路上也许会被分拆成更小的数据报文.这些数据报中的每一个都拥有最初的IP数据报的报头,同时还拥有一个偏移字节来标示它拥有原始数据报中的哪些字节.通过这些信息,一个被正常分割的数据报文能够在它的目的地被重新组装起来,并且网络也能够正常运转而不被中断.当一次Teardrop攻击开始时,你的服务器将受到拥有重叠的偏移字段的IP数据包的轰炸.如果你的服务器或是路由器不能丢弃这些数据包而且如果企图重组它们,你的服务器就会很快瘫痪.如果你的系统被及时更新了,或者你拥有一个可以阻挡Teardrop数据包的防火墙,你应该不会有什么麻烦.
利用TCP/IP协议本身的漏洞来进行攻击的手段也很多.这些手段中最流行的就是SYN攻击.SYN工作的原理就是利用两个互联网程序间协议握手的过程进行的攻击.协议握手的过程如下,其中一个应用程序向另一个程序发送一个TCP SYN(同步)数据包.然后目标程序向第一个程序发送一个TCP-ACK应答数据包作为回答;第一个程序最后用一个ACK应答数据包确认已经收到.一旦这两个程序握手成功,它们就准备一起运行了.
SYN攻击用一堆TCP SYN数据包来淹没它的受害者.每个SYN数据包迫使目标服务器产生一个SYN-ACK应答数据包然后等待对应的ACK应答.这很快就导致过量的SYN- ACK一个接一个的堆积在缓存队列里.当缓存队列满了以后,系统就会停止应答到来的SYN请求.
如果SYN攻击中包括了拥有错误IP源地址的SYN数据包,情况很快就会变得更糟.在这种情况下,当SYN-ACK被送出的时候,ACK应答就永远不会被收到.飞快充满的缓存队列使得合法程序的SYN请求无法再通过.
更加厉害的是,与之相似的Land攻击手段使用欺骗性的SYN数据包,它带有一个伪装的IP地址,使得它看起来像是来自你自己的网络.现在,SYN攻击就像是来自于你防火墙的内部,这使得问题更加严重.
大多数时新的操作系统和防火墙可以阻止SYN攻击.另一个简单的阻止SYN攻击的方法是阻塞掉所有带有已知的错误的IP源地址的数据包.这些数据包应该包括带有错误的为内部保留的IP地址的外部数据包,它的范围是从10.0.0.0到10.255.255.255,127.0.0.0到 127.255.255.255,从172.16.0.0到172.31.255.255以及从192.168.0.0到192.168.255.255
野蛮手段
但是当你的敌人能够轻易的推倒你的系统的时候,他为什么要躲躲藏藏的呢?Smurf攻击和用户数据报文协议冲击就使用了这样的手段.
当你被Smurf攻击的时候,攻击者用互联网控制信息协议(ICMP)的应答数据包--一种特殊的ping数据包来填充你的路由器.这些数据包的目的IP地址同时是你的广播地址,这使得你的路由器将ICMP数据包广播到网络上的每一台主机.不言自明的是,对于一个大型网络来说,它将引起巨大的网络信息流量.而且,就像Land攻击那样,如果黑客将Smurf攻击和欺骗手段结合起来,破坏力就更大.
避免Smurf攻击的一种简单的方法就是在路由器中禁用广播地址并且设置你的防火墙来过滤ICMP应答协议.你也可以设置你的服务器来使得它不对发送ICMP数据包到IP广播地址的要求做出响应.这些设置不会影响到你的网络的正常工作因为很少有应用程序使用IP协议的广播功能.
要对付采用UDP冲击方法的DoS攻击就不那么容易了,因为一些合法的应用程序,比方说RealVideo,也使用UDP协议.在一次UDP冲击中,攻击者伪造出一个请求,将一个系统的UDP 开启测试服务程序与另一个系统的UDP应答程序连在一起.UDP开启测试服务程序是一个用于测试的从收到的数据包产生字符的程序.结果是,由UDP开启测试服务程序伪随机产生的字符在两个系统间不停的被反射,使得合法应用程序的带宽要求得不到满足.
一种阻止UDP攻击的方法是禁用或者过滤对主机的所有UDP服务要求.只要你允许非服务请求的UDP请求通过,使用UDP协议的或是把UDP协议当作备用数据传输协议的通常的应用程序将继续正常工作.
使用这些防御的方法,你可能认为应付DoS攻击就像应付一根火腿肠一样容易.你错了.因为发动DDoS攻击是如此的容易,任何心怀不轨的人都能组织起几十台甚至上百台计算机来对你的系统发动DoS攻击.
单是巨大的参与攻击的计算机的数量就能冲垮你的堡垒并将你的网络塞满垃圾信息.使用Tribe Force
Network(TFN),Trin00或是Stacheldraht这样的工具,任何人都可以将DDoS的攻击"僵尸"植入一些毫无防范的系统中.然后,攻击者发送攻击目标的信息以及攻击的指令.DDoS瞬间即至.
这些在1997年到1999年被发明的攻击方法是容易被察觉的.但是,新一点的DDoS却使用"脉动僵尸."这种攻击手段并不使用野蛮的攻击,而是发送一波一波的小带宽的数据,这样,它们就能绕过那些为密集进攻而设置的网络警报器.
如何应对残酷的现状
DDoS攻击只可能增加.随着互联网的扩大,更多的用户将获得对网络的宽带接入,这给了黑客们更多的可以利用的系统. 火上浇油的是,微软将它的Windows XP操作系统定位为下一代的面向大多数消费者的操作系统,Windows XP将使用"原始的"TCP/IP套接字.通常,程序员们在编写程序时使用与其功能相关的套接字--套接字是一种将应用程序与TCP/IP相连的软件对象.
TCP/IP协议同时定义了一种SOCK_ROW的套接字类型.并不是所有的操作系统支持这种套接字,但是Unix和 Windows XP支持.使用原始套接字,一个程序员可以编写代码调用任何TCP/IP套接字.只要对不按TCP/IP标准进行编程很在行,原始套接字就能让程序员编写非法的应用程序,比方说DDoS僵尸,因为它们允许程序员以一种无法预料的方式使用广泛流行的套接字.例如,你可以使用原始套接字来编写DDoS攻击程序,它们使用套接字80--Web超文本传输协议选择的套接字,来获取它的指令.
虽然Windows 2000,Unix和它的后代,Linux和BSD操作系统,也支持原始套接字,但这些操作体统是被拥有足够技术的行家照看着的.这些用户即使不能使他们的系统以适当地方式运行,他们也懂得如何锁定这些系统.但是XP却将由一个刚刚从电脑城里将它买回来的人看管,它远不太可能被一个专家级的管理员来使用并查找出新的DDoS代理程序.
因为这一点,Gibson 研究团体的Steve Gibson预言说目前DDoS攻击的爆炸式的增长(据Gibson估计为每星期4,000次)将大幅度增加.从理论上讲,这将使互联网本身因为成百上千的DDoS攻击而减慢速度.
除了保护你的系统不被DDoS 僵尸和上面所述的方法攻击,你还应该鼓励任何使用宽带互联网的人安装一个基本的防火墙.ZDNet的下载站点有一长串的个人防火墙,这些防火墙易于使用并且提供基本的保护功能.
one Labs公司的ZoneAlarm就是一种由专家推荐给那些想要了解在他的网络连接上究竟发生了些什么的初级用户的软件.在一位朋友的使用DSL连接的电脑上使用了ZoneAlarm后我们发现了两个,不是一个,蓄势待发的DDoS僵尸.我们还注意到每天都有人企图非法闯入他的系统.如果你拥有宽带连接, 那么安全不仅仅是一个好主意,它是一种必要.
结束语:
什么样的防御是足够的呢?只有时间和经验才能告诉我们,但是如果现在你不打算保护你不受DDoS的攻击,你不仅有失去网络连接的危险,你本身就可能成为网络安全问题的一部分了. |
京ICP备14024464 公安备案号 京1081234