如何利用反彈技術實施DDOS攻擊
DDOS攻擊已經(jīng)成為了一種主流的攻擊模式,各大安全廠商和企業(yè)網(wǎng)站管理員對于DDOS攻擊的防御也已經(jīng)絞盡腦汁。不過不知道有一為黑客是受到了大禹治水的啟發(fā),還是將物理學融入了攻擊技術,利用反彈技術進行DDOS攻擊又成為了新花招。原來用于攻擊的洪水數(shù)據(jù)流被大量的服務器所稀釋,并最終在受害者處匯集為洪水,使受害者更難以隔離攻擊洪水流,并且更難以用traceback 跟蹤技術去找到洪水流的來源。
在分布式dos攻擊(ddos)中,攻擊者事先入侵了大量服務器,并在這些服務器上植入了ddos攻擊程序,然后結合這些被入侵的服務器的網(wǎng)絡傳輸力量發(fā)動攻擊。利用大量的服務器發(fā)動攻擊不僅增加了攻擊的力度,而且更難于防范。
以往ddos攻擊的結構:一個主機,主服務器(master),作用是發(fā)送控制消息給事先入侵并已植入ddos程序的從服務器群(slave),控制從服務器群發(fā)起對目標服務器的攻擊。從服務器群將產(chǎn)生高容量的源地址為偽造的或隨機的網(wǎng)絡數(shù)據(jù)流,并把這些數(shù)據(jù)流發(fā)送給目標服務器。因為數(shù)據(jù)流的源地址是偽造的,增加了追查的難度。
反彈技術利用成百上千的從服務器不僅可以另追查的難度加大(因為難以識別大量不同的來源,需要查詢大量的路由器),而且極大的阻礙了當成功追查后所需采取的行動(因為這要與大量的網(wǎng)絡管理員聯(lián)系,安裝大量的網(wǎng)絡過濾器)。
而今考慮周密的攻擊者可以通過利用反彈服務器(reflector),更好的組織他們的攻擊。反彈服務器是指,當收到一個請求數(shù)據(jù)報后就會產(chǎn)生一個回應數(shù)據(jù)報的主機。例如,所有的web服務器,dns服務器,及路由器都是反彈服務器,因為他們會對syn報文或其他tcp報文回應syn
acks或rst報文,以及對一些ip報文回應icmp數(shù)據(jù)報超時或目的地不可達消息的數(shù)據(jù)報。而攻擊者可以利用這些回應的數(shù)據(jù)報對目標服務器發(fā)動ddos攻擊。
攻擊者首先鎖定大量的可以做為反彈服務器的服務器群,比如說100萬臺(這并不是件很難的工作,因為在internet上光是web服務器就不止這么多的,更何況還有更多其他的機器可以作為反彈服務器)。然后攻擊者們集中事先搞定的從服務器群,向已鎖定的反彈服務器群發(fā)送大量的欺騙請求數(shù)據(jù)包(來源地址為victim,受害服務器或目標服務器)。反彈服務器將向受害服務器發(fā)送回應數(shù)據(jù)報。結果是:到達受害服務器的洪水數(shù)據(jù)報不是幾百個,幾千個的來源,而是上百萬個來源,來源如此分散的洪水流量將堵塞任何其他的企圖對受害服務器的連接。
受害服務器不需要追查攻擊的來源,因為所有攻擊數(shù)據(jù)報的源ip都是真實的,都是反彈服務器群的ip。而另一方面,反彈服務器的管理人員則難以追查到從服務器的位置,因為他所收到的數(shù)據(jù)報都是偽造的(源ip為受害服務器的ip)。
原則上,我們可以在反彈服務器上利用追蹤技術來發(fā)現(xiàn)從服務器的的位置。但是,反彈服務器上發(fā)送數(shù)據(jù)報的流量遠小于從服務器發(fā)送的流量。每一個從服務器可以把它發(fā)送的網(wǎng)絡流量分散到所有或者一大部分反彈服務器。例如:如果這里有nr個反彈服務器,ns個從服務器,每個從服務器發(fā)送的網(wǎng)絡流量為f,那么每一個反彈服務器將產(chǎn)生的網(wǎng)絡流量為,而nr遠大于ns。所以,服務器根據(jù)網(wǎng)絡流量來自動檢測是否是ddos攻擊源的這種機制將不起作用。
值得注意的是,不象以往ddos攻擊,利用反彈技術,攻擊者不需要把服務器做為網(wǎng)絡流量的放大器(發(fā)送比攻擊者發(fā)送的更大容量的網(wǎng)絡數(shù)據(jù))。他們甚至可以使洪水流量變?nèi)酰罱K才在目標服務器回合為大容量的洪水。這樣的機制讓攻擊者可以利用不同網(wǎng)絡結構機制的服務器作為反彈服務器,使其更容易找到足夠數(shù)量的反彈服務器,用以發(fā)起攻擊。
我們的分析顯示,有三種特別具威脅性的反彈服務器是:dns服務器、gnutella服務器、和基于tcp-ip的服務器(特別是web 服務器),基于tcp的實現(xiàn)將遭受可預測初始序列號的威脅。
【編輯推薦】
