DoS攻擊的原理解剖以及抵御措施
典型DoS攻擊原理及抵御措施,smurf、trinoo、tfn、tfn2k以及stacheldraht是比較常見的DoS攻擊程序,本文將對它們的攻擊的邪惡本性的解剖以及抵御措施的講述,以幫助管理員有效地抵御DoS風暴攻擊,維護站點安全。
一、何為"smurf 攻擊",如何抵御?
Smurf是一種簡單但有效的 DDoS 攻擊技術(shù),它利用了ICMP (Internet控制信息協(xié)議)。ICMP在Internet上用于錯誤處理和傳遞控制信息。它的功能之一是與主機聯(lián)系,通過發(fā)送一個“回音請求”(echo request)信息包看看主機是否“活著”。
最普通的ping程序就使用了這個功能。Smurf是用一個偷來的帳號安裝到一個計算機上的,然后用一個偽造的源地址連續(xù)ping一個或多個計算機網(wǎng)絡(luò),這就導致所有計算機所響應的那個計算機并不是實際發(fā)送這個信息包的那個計算機。這個偽造的源地址,實際上就是攻擊的目標,它將被極大數(shù)量的響應信息量所淹沒。對這個偽造信息包做出響應的計算機網(wǎng)絡(luò)就成為攻擊的不知情的同謀。
下面是Smurf DDoS 攻擊的基本特性以及建議采用的抵御策略:
1、Smurf的攻擊平臺:smurf為了能工作,必須要找到攻擊平臺,這個平臺就是:其路由器上啟動了 IP廣播功能。這個功能允許 smurf 發(fā)送一個偽造的ping信息包,然后將它傳播到整個計算機網(wǎng)絡(luò)中。
2、為防止系統(tǒng)成為 smurf攻擊的平臺,要將所有路由器上IP的廣播功能都禁止。一般來講,IP廣播功能并不需要。
3、攻擊者也有可能從LAN內(nèi)部發(fā)動一個smurf攻擊,在這種情況下,禁止路由器上的IP 廣播功能就沒有用了。為了避免這樣一個攻擊,許多操作系統(tǒng)都提供了相應設(shè)置,防止計算機對IP廣播請求做出響應。
4、如果攻擊者要成功地利用你成為攻擊平臺,你的路由器必須要允許信息包以不是從你的內(nèi)網(wǎng)中產(chǎn)生的源地址離開網(wǎng)絡(luò)。配置路由器,讓它將不是由你的內(nèi)網(wǎng)中生成的信息包過濾出去,這是有可能做到的。這就是所謂的網(wǎng)絡(luò)出口過濾器功能。
5、ISP則應使用網(wǎng)絡(luò)入口過濾器,以丟掉那些不是來自一個已知范圍內(nèi)IP地址的信息包。
6、挫敗一個smurf 攻擊的最簡單方法對邊界路由器的回音應答(echo reply)信息包進行過濾,然后丟棄它們,這樣就能阻止“命中”Web服務器和內(nèi)網(wǎng)。對于那些使用Cisco路由器的人,另一個選擇是CAR (Committed Access Rate,承諾訪問速率)。
丟棄所有的回音應答信息包能使網(wǎng)絡(luò)避免被淹沒,但是它不能防止來自上游供應者通道的交通堵塞。如果你成為了攻擊的目標,就要請求ISP對回音應答信息包進行過濾并丟棄。 如果不想完全禁止回音應答,那么可以有選擇地丟棄那些指向你的公用Web 服務器的回音應答信息包。
CAR 技術(shù)由Cisco 開發(fā),它能夠規(guī)定出各種信息包類型使用的帶寬的最大值。例如,使用CAR,我們就可以精確地規(guī)定回音應答信息包所使用的帶寬的最大值。
二、何為 "trinoo",如何抵御它?
trinoo 是復雜的 DDoS 攻擊程序,它使用“master”程序?qū)嶋H實施攻擊的任何數(shù)量的“代理”程序?qū)崿F(xiàn)自動控制。攻擊者連接到安裝了master程序的計算機,啟動master程序,然后根據(jù)一個IP地址的列表,由master程序負責啟動所有的代理程序。接著,代理程序用UDP 信息包沖擊網(wǎng)絡(luò),從而攻擊目標。在攻擊之前,侵入者為了安裝軟件,已經(jīng)控制了裝有master程序的計算機和所有裝有代理程序的計算機。
下面是trinoo DDoS 攻擊的基本特性以及建議采用的抵御策略:
1、在master程序與代理程序的所有通訊中,trinoo都使用了UDP協(xié)議。入侵檢測軟件能夠?qū)ふ沂褂肬DP協(xié)議的數(shù)據(jù)流(類型17)。
2、Trinoo master程序的監(jiān)聽端口是27655,攻擊者一般借助telnet通過TCP連接到master程序所在計算機。入侵檢測軟件能夠搜索到使用TCP (類型6)并連接到端口27655的數(shù)據(jù)流。
3、所有從master程序到代理程序的通訊都包含字符串"l44",并且被引導到代理的UDP 端口27444。入侵檢測軟件檢查到UDP 端口27444的連接,如果有包含字符串l44的信息包被發(fā)送過去,那么接受這個信息包的計算機可能就是DDoS代理。
4、Master和代理之間通訊受到口令的保護,但是口令不是以加密格式發(fā)送的,因此它可以被“嗅探”到并被檢測出來。使用這個口令以及來自Dave Dittrich的trinot腳本,要準確地驗證出trinoo代理的存在是很可能的。
一旦一個代理被準確地識別出來,trinoo網(wǎng)絡(luò)就可以安裝如下步驟被拆除:
在代理daemon上使用"strings"命令,將master的IP地址暴露出來。
與所有作為trinoo master的機器管理者聯(lián)系,通知它們這一事件。
在master計算機上,識別含有代理IP地址列表的文件(默認名"..."),得到這些計算機的IP地址列表。
向代理發(fā)送一個偽造"trinoo"命令來禁止代理。通過crontab 文件(在UNIX系統(tǒng)中)的一個條目,代理可以有規(guī)律地重新啟動, 因此,代理計算機需要一遍一遍地被關(guān)閉,直到代理系統(tǒng)的管理者修復了crontab文件為止。
檢查master程序的活動TCP連接,這能顯示攻擊者與trinoo master程序之間存在的實時連接。
如果網(wǎng)絡(luò)正在遭受trinoo攻擊,那么系統(tǒng)就會被UDP 信息包所淹沒。Trinoo從同一源地址向目標主機上的任意端口發(fā)送信息包。探測trinoo就是要找到多個UDP信息包,它們使用同一來源IP地址、同一目的IP地址、同一源端口,但是不同的目的端口。
在http://www.fbi.gov/nipc/trinoo.htm上有一個檢測和根除trinoo的自動程序。
三、何為"Tribal Flood Network" 和 "TFN2K",如何抵御?
Tribe Flood Network與trinoo一樣,使用一個master程序與位于多個網(wǎng)絡(luò)上的攻擊代理進行通訊。TFN可以并行發(fā)動數(shù)不勝數(shù)的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。 可以由TFN發(fā)動的攻擊包括:UDP沖擊、TCP SYN 沖擊、ICMP回音請求沖擊以及 ICMP 廣播。
以下是TFN DDoS 攻擊的基本特性以及建議的抵御策略:
1、發(fā)動TFN時,攻擊者要訪問master程序并向它發(fā)送一個或多個目標IP地址,然后Master程序繼續(xù)與所有代理程序通訊,指示它們發(fā)動攻擊。
TFN Master程序與代理程序之間的通訊使用ICMP回音應答信息包,實際要執(zhí)行的指示以二進制形式包含在16位ID域中。ICMP (Internet控制信息協(xié)議)使信息包協(xié)議過濾成為可能。通過配置路由器或入侵檢測系統(tǒng),不允許所有的ICMP回音或回音應答信息包進入網(wǎng)絡(luò),就可以達到挫敗TFN代理的目的。但是這樣會影響所有使用這些功能的Internet程序,比如ping。
TFN Master程序讀取一個IP地址列表,其中包含代理程序的位置。這個列表可能使用如"Blowfish"的加密程序進行了加密。如果沒有加密的話,就可以從這個列表方便地識別出代理信息。
2、用于發(fā)現(xiàn)系統(tǒng)上TFN 代理程序的程序是td,發(fā)現(xiàn)系統(tǒng)上master程序的程序是tfn。TFN 代理并不查看ICMP回音應答信息包來自哪里,因此使用偽裝ICMP 信息包沖刷掉這些過程是可能的。
TFN2K是TFN的一個更高級的版本,它“修復”了TFN的某些缺點:
1、在TFN2K下,Master與代理之間的通訊可以使用許多協(xié)議,例如TCP、UDP或ICMP,這使得協(xié)議過濾不可能實現(xiàn)。
2、TFN2K能夠發(fā)送破壞信息包,從而導致系統(tǒng)癱瘓或不穩(wěn)定。
3、TFN2K偽造IP源地址,讓信息包看起來好像是從LAN上的一個臨近機器來的,這樣就可以挫敗出口過濾和入口過濾。
4、由于TFN2K是最近剛剛被識破的,因此還沒有一項研究能夠發(fā)現(xiàn)它的明顯弱點。
在人們能夠?qū)FN2K進行更完全的分析之前,最好的抵御方法是:
加固系統(tǒng)和網(wǎng)絡(luò),以防系統(tǒng)被當做DDoS主機。
在邊界路由器上設(shè)置出口過濾,這樣做的原因是或許不是所有的TFN2K源地址都用內(nèi)部網(wǎng)絡(luò)地址進行偽裝。
請求上游供應商配置入口過濾。
四、何為 "stacheldraht",如何防范?
Stacheldraht也是基于TFN和trinoo一樣的客戶機/服務器模式,其中Master程序與潛在的成千個代理程序進行通訊。在發(fā)動攻擊時,侵入者與master程序進行連接。Stacheldraht增加了以下新功能:攻擊者與master程序之間的通訊是加密的,以及使用rcp (remote copy,遠程復制)技術(shù)對代理程序進行更新。
Stacheldraht 同TFN一樣,可以并行發(fā)動數(shù)不勝數(shù)的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。Stacheldraht所發(fā)動的攻擊包括UDP 沖擊、TCP SYN 沖擊、ICMP 回音應答沖擊以及ICMP播放。
以下是Stacheldraht DDoS攻擊的基本特征以及建議采取的防御措施:
1、在發(fā)動Stacheldraht攻擊時,攻擊者訪問master程序,向它發(fā)送一個或多個攻擊目標的 IP地址。Master程序再繼續(xù)與所有代理程序進行通訊,指示它們發(fā)動攻擊。
Stacheldraht master程序與代理程序之間的通訊主要是由ICMP 回音和回音應答信息包來完成的。配置路由器或入侵檢測系統(tǒng),不允許一切ICMP回音和回音應答信息包進入網(wǎng)絡(luò),這樣可以挫敗Stacheldraht代理。但是這樣會影響所有要使用這些功能的Internet程序,例如ping。
2、代理程序要讀取一個包含有效master程序的IP地址列表。這個地址列表使用了Blowfish加密程序進行加密。代理會試圖與列表上所有的master程序進行聯(lián)系。如果聯(lián)系成功,代理程序就會進行一個測試,以確定它被安裝到的系統(tǒng)是否會允許它改變"偽造"信息包的源地址。通過配置入侵檢測系統(tǒng)或使用嗅探器來搜尋它們的簽名信息,可以探測出這兩個行為。
代理會向每個master發(fā)送一個ICMP 回音應答信息包,其中有一個ID 域包含值666,一個數(shù)據(jù)域包含字符串"skillz"。如果master收到了這個信息包,它會以一個包含值667的ID 域和一個包含字符串"ficken"的數(shù)據(jù)域來應答。代理和master通過交換這些信息包來實現(xiàn)周期性的基本接觸。通過對這些信息包的監(jiān)控,可以探測出Stacheldraht。
一旦代理找到了一個有效master程序,它會向master發(fā)送一個ICMP信息包,其中有一個偽造的源地址,這是在執(zhí)行一個偽造測試。這個假地址是"3.3.3.3"。如果master收到了這個偽造地址,在它的應答中,用ICMP信息包數(shù)據(jù)域中的"spoofworks"字符串來確認偽造的源地址是奏效的。通過監(jiān)控這些值,也可以將Stacheldraht檢測出來。
3、Stacheldraht代理并不檢查 ICMP 回音應答信息包來自哪里,因此就有可能偽造 ICMP 信息包將其排除。
4、Stacheldraht代理程序與TFN 和 trinoo一樣,都可以用一個C程序來探測,它的地址是:http://staff.washington.edu/dittrich/misc/ddos_scan.tar。
五、如何配置路由器、防火墻和入侵檢測系統(tǒng)來抵御常見DDoS攻擊?
1、抵御 Smurf
確定你是否成為了攻擊平臺:對不是來自于你的內(nèi)部網(wǎng)絡(luò)的信息包進行監(jiān)控;監(jiān)控大容量的回音請求和回音應答信息包。
避免被當做一個攻擊平臺:在所有路由器上禁止IP廣播功能;將不是來自于內(nèi)部網(wǎng)絡(luò)的信息包過濾掉。
減輕攻擊的危害:在邊界路由器對回音應答信息包進行過濾,并丟棄;對于Cisco路由器,使用CAR來規(guī)定回音應答信息包可以使用的帶寬最大值。
2、抵御trinoo
確定你是否成為攻擊平臺:在master程序和代理程序之間的通訊都是使用UDP協(xié)議,因此對使用UDP協(xié)議(類別 17)進行過濾;攻擊者用TCP端口27655與master程序連接,因此對使用TCP (類別6)端口 27655連接的流進行過濾;master與代理之間的通訊必須要包含字符串"l44" ,并被引導到代理的UDP 端口27444,因此對與UDP端口27444連接且包含字符串l44的數(shù)據(jù)流進行過濾。
避免被用作攻擊平臺:將不是來自于你的內(nèi)部網(wǎng)絡(luò)的信息包過濾掉。
減輕攻擊的危害: 從理論上說,可以對有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列進行過濾,并丟棄它們。
3、抵御TFN和TFN2K
確定你是否成為攻擊平臺:對不是來自于內(nèi)部網(wǎng)絡(luò)的信息包進行監(jiān)控。
避免被用作攻擊平臺:不允許一切到你的網(wǎng)絡(luò)上的ICMP回音和回音應答信息包,當然這會影響所有要使用這些功能的Internet程序;將不是來源于內(nèi)部網(wǎng)絡(luò)的信息包過濾掉。
4、抵御Stacheldraht
確定你是否成為攻擊平臺:對 ID域中包含值666、數(shù)據(jù)域中包含字符串"skillz"或ID域中包含值667、數(shù)據(jù)域中包含字符串"ficken" 的ICMP回音應答信息包進行過濾;對源地址為"3.3.3.3"的ICMP 信息包和ICMP信息包數(shù)據(jù)域中包含字符串"spoofworks"的數(shù)據(jù)流進行過濾。
避免被用作攻擊平臺:不允許一切到你的網(wǎng)絡(luò)上的ICMP回音和回音應答信息包, 當然這會影響所有要使用這些功能的Internet程序;將不是來源于內(nèi)部網(wǎng)絡(luò)的信息包過濾掉;將不是來源于內(nèi)部網(wǎng)絡(luò)的信息包過濾掉。
以上的相關(guān)內(nèi)容就是對典型DoS攻擊原理及抵御措施的介紹,望你能有所收獲。
【編輯推薦】
