DDoS攻擊 揮之不去的夢魘
DDoS攻擊是現在網絡上非常流行的一類攻擊手段。前段時間,分布式拒絕服務破壞了包括維基解密和萬事達卡在內的不少網站。只要利用搜索引擎搜索一下,我們就可以了解到相關情況。
維基解密服務器受到的攻擊強度是在萬兆每秒(Gbps)左右。通常情況下,人們對DDOS的認識是知道它可以利用無用流量占據網絡中的所有帶寬,導致出現數據擁塞,從而無法進行正常工作的情況。當然,這確實屬于DDoS攻擊中的一類,不過,這一概念里實際上也包含了可以通過攻擊占據服務器資源的其它類型。這就意味著,由于針對的是服務器資源,所以,不管網絡帶寬有多大,DDoS攻擊也是有可能獲得成功的。為了真正確保網絡不受到類似攻擊,互聯網連接和服務器都需要進行防護。
通常情況下,DDoS攻擊針對的是網絡中的TCP/IP基礎設施。這些攻擊可以分為三種類型:一種是利用TCP/IP協議棧中存在的已知缺陷;一種是針對TCP/ IP的漏洞;最后一種就是嘗試并進行真正的暴力攻擊。
實際上,現在攻擊者甚至不需要利用任何黑客的支持就可以發動拒絕服務攻擊。根據調查顯示,只要8.94美元每小時的價格,就可以從犯罪分子那里租用一張僵尸網絡。
利用傻瓜軟件就可以發動DDoS攻擊的話,為什么還要付費呢?來自系統管理、網絡和安全協會互聯網風暴中心的消息顯示,在這波針對商業公司發起的DDoS攻擊浪潮中,人們開始使用低軌道離子加農炮(Low Orbit Ion Cannon,以下簡稱LOIC),一種開源的DoS攻擊工具來對卡或者維薩卡網站的端口進行攻擊。使用者要做的事情僅僅就是用鼠標點擊一下,攻擊就正式開始了。
LOIC是一個功能非常強大的工具。它可以使用大規模的垃圾流量對目標網站實施攻擊,從而耗盡網絡資源,導致網絡崩潰,無法提供服務。關于這起攻擊,唯一“有趣”的事情是,推特被用來對攻擊過程進行協調。
如果希望了解DDoS攻擊是如何進行攻擊的話,下面就是我對DDoS攻擊技術的全面介紹。
DDoS攻擊技術的詳盡分析
TCP/IP協議棧實現中存在的漏洞
對于利用TCP/IP協議中存在漏洞進行攻擊的模式來說,典型的例子就是死亡之Ping攻擊。利用這一漏洞,攻擊者可以創建一個超過IP標準最大限制65536字節的IP數據包。當該巨型數據包進入使用存在漏洞的TCP/ IP協議棧和操作系統的系統時,就會導致崩潰。
所有的最新操作系統和協議棧都可以防范采用死亡之Ping模式的攻擊,但是,時不時的,我就會發現有人還在運行無法防范死亡之Ping攻擊的系統。這種情況告訴我們,大家都應該及時對網絡設備和軟件進行更新。僅僅因為它依然可以運行,并不等于這樣的情況是安全的。
對TCP/IP運行中的漏洞進行攻擊的另一種方式是撕毀模式,它利用的是系統對IP數據包分片進行重新組合時間存在的漏洞。由于網絡是四通八達的,所以,IP數據包可能被分解成更小的分片。所有這些部分都包含了來自原始IP數據包的報頭,以及一個偏移字段來標識里面包含哪些字節來自原始數據包。有了這些信息,在出現網絡中斷的情況下,被破壞的普通數據包就可以在目的地重新組合起來。而在撕毀攻擊中,服務器將遭到來自包含了含有重疊偏移的偽造分片數據包的攻擊。如果服務器或者路由器不能忽略這些分片,并嘗試對他們進行重新組合的話,就會導致系統崩潰的情況很快出現。但如果系統及時進行了更新,或者擁有可以防范撕毀攻擊的防火墻的話,就不用擔心這類問題了。#p#
TCP/IP協議中的漏洞
另一種古老而有效的DDoS攻擊模式是同步攻擊。同步的工作是用來在兩個互聯網應用之通過協議建立握手。它的實現方法是通過一個應用程序發送一個TCP SYN(同步)數據包到另一個程序來啟動會話過程。對應的應用程序將返回一個TCP SYN-ACK(同步確認)包;原始程序接下來就利用個ACK(確認)響應。一旦程序間建立了會話過程,就可以實現協同工作了。
同步攻擊的方式是發送大量TCP SYN數據包。每個SYN數據包都會迫使目標服務器產生一個SYN-ACK響應,并等待合適的應答。這樣很快就導致在SYN-ACK的背后都積壓一堆其他注冊的隊列。當積壓隊列爆滿,系統就將停止確認收到SYN請求。
如果同步攻擊發送的同步數據包中包含了錯誤的網絡源IP地址的話,攻擊的效果就會更好。在這種情況下,由于SYN-ACK發送出去后,ACK不再返回。通常情況下,迅速滿溢的積壓隊列就會將合法程序發送的SYN請求結束。
內地攻擊就是采用欺騙同步數據包模式攻擊的新變種,它可以將網絡地址偽裝成為來自網絡內部的情況。現在,同步攻擊針對的似乎主要是防火墻,給管理者制造麻煩。
同樣,大部分最新的操作系統和防火墻都可以防御同步攻擊。這里有一種簡單的方法,可以對防火墻進行設置,以防止所有包含已知錯誤源網絡IP地址的傳入數據包。該列表中包含了下列僅在內部使用的保留網絡IP地址:10.0.0.0到10.255.255.255,127.0.0.0到127.255.255.255,172.16.0.0到172.31.255.255以及192.168.0.0到192.168.255.255。
但是,如果可以方便地直接摧毀系統,還為什么要擔心偷偷摸摸躲在窗后的敵人呢?地址欺騙攻擊以及利用用戶數據報協議(UDP)過度使用的洪水攻擊就屬于這樣的情況。
在地址欺騙攻擊中,攻擊者會向路由器發送過量的網際消息控制協議(ICMP) 回送請求數據包,這是一種特殊的ping包。每個數據包的目的網絡IP地址也是網絡中的廣播地址,這會導致路由器將ICMP數據包廣播給網絡中的所有主機。不用說,在一張大型網絡中,這將迅速導致出現大量數據傳輸堵塞的情況。此外,類似內地攻擊,如果黑客將兩種模式結合到一起的話,事情就會變得更糟。
防范地址欺騙攻擊的最簡單方法就是關閉路由器或者交換機的地址廣播功能,或者在防火墻中進行設置拒絕ICMP回送請求數據包。管理員還可以對服務器進行設置,這樣的話,在遇到發送給廣播網絡IP地址的ICMP數據包時,就不會進行響應。由于很少有應用需要網絡IP地址廣播功能,所以這些調整不會對網絡的正常運行帶來影響。
對于采用UDP洪水模式的DDoS攻擊來說,就不是那么容易處理了。原因很簡單,類似域名系統(DNS)和簡單網絡管理協議(SNMP),很多應用都需要UDP協議的支持。在UDP洪水攻擊中,攻擊者通過欺騙手段連接到系統的UDP 字符發生器服務上,在接受到數據包后,字符發生器將會針對另一臺系統發送回送服務包。結果就是,系統之間來自字符發生器的半隨機字符泛濫,導致帶寬迅速被充滿,常規應用的使用受到了影響。
防范UDP攻擊的一種方法是禁用或者過濾所有針對主機的UDP服務請求。只要容許被服務型的UDP請求,需要使用UDP或作為備份數據傳輸協議的普通應用,將可以繼續正常工作。#p#
暴力攻擊
看起來,有這些多種方法都可以用來阻止DDoS攻擊,因此,有人可能會認為這不會比垃圾郵件更難處理。但可惜的是,這種想法是完全錯誤的。在任何心存不滿的人都可以糾集從數百到數萬臺計算機對網站進行DDoS攻擊的時間,防范工作將會是非常困難的。他們所要做的工作僅僅是從網絡上對可能存在的信息進行了解,就可以迅速進行所需要的攻擊。
類似Conficker的惡意軟件將數以十萬計的Windows系統變成了潛在攻擊者可以使用的武器。由此導致的直接攻擊浪潮不會被寥寥無幾的防御措施所阻擋。防御者所能依靠的只有服務器,這也是為什么維基解密試圖選擇亞馬遜網絡服務或者大量增加網絡托管主機的資源才能防止洪水攻擊的原因。
我擔心,并且確信,在未來會看到更多這種類型的DDoS攻擊。隨著互聯網范圍的進一步擴大,越來越多的使用者通過寬帶接入,為攻擊者提供了更多未受保護的Windows系統來進行控制。更糟的是,在類似低軌道離子加農炮之類工具的幫助下,只要獲得一些志同道合朋友的幫助,任何中型網站都可以被摧毀。
請不要忘記,使用這些工具的話,可能會被跟蹤,并可能會面臨刑事指控。最近,一名大學生就因為利用DDoS攻擊工具攻擊保守派的網站被判入獄30個月。
不過,即使這樣的威脅籠罩在攻擊者的頭上,我也沒有看到絲毫停止的跡象。
DDoS攻擊能否防御
近日進行的一次郵件采訪中,賽門鐵克新加坡的經理 Ronnie Ng解釋說, LOIC 是一種網絡壓力測試程序,通過對特定網站服務器發送TCP, UDP 和 HTTP請求進行DOS攻擊,測試網站負載能力。
大家都知道,如今網絡上能下載到各種攻擊程序,包括LOIC。Ng說:“能發起這類攻擊的程序非常多,其中有些是合法軟件,通過簡單的搜索就能找到這些程序,但還是要看使用者是否將其用在合法用途上。另外還有很多非法的攻擊程序,它們被設計出來的目的就是進行非法活動,通過僵尸網絡等方式,這種程序能夠實現相當高的攻擊效率。”
DDoS攻擊并不是什么新形式,而我們常常聽到的是,網絡罪犯的攻擊手段不會總比網絡防護手段更先進。
Ng說:“攻擊者們總是在不斷嘗試用各種方法來獲取他們所需的信息。這些方法從DoS攻擊到利用各種系統漏洞,目的就是入侵目標系統。” 他認為,隨著防護技術的不斷進步,技術所能提供的最大防護程度也在增加,同時良好的補丁管理機制以及使用者對網絡威脅的重視程度不斷增加,都能很有效的提高系統安全等級。
但是Ng也表示,雖然能夠通過支付費用提高系統的安全等級,但是確保系統不受到DDoS攻擊是非常難的。他說:“網店需要審核網關和防火墻規則,確保這些設備能夠處理每日都會出現的小規模的攻擊,另外還應該有一套應急方案,應對大規模的攻擊。類似的策略可以是更嚴格的包過濾規則,判斷何時以及什么樣的數據包該被丟棄,以及針對IP地址的規則,當出現明顯攻擊時將特定的IP地址列入黑名單。”#p#
應用防火墻能否擊敗DDoS攻擊?
網絡安全專家表示,隨著網絡攻擊方式越來越狡詐,以網絡應用為主營業務的企業應該尋求更好的防火墻對自身進行防護,尤其是針對分布式拒絕服務攻擊(DDOS)。
F5 Networks 科技公司總經理Vladimir Yordanov表示,超過80%的網絡攻擊是針對網絡應用程序的,而傳統的防護措施,諸如服務器周邊的防火墻設備所能起到的防護作用很小。這就是為什么DDOS類的攻擊總能成功擊潰網站或支付系統的原因。
最近在接受采訪時,Yordanov解釋說:“由于DDoS攻擊所采用的訪問請求很難與正常訪問請求區別開,因此傳統的防御系統,比如入侵預防系統或入侵檢測系統很難阻擋住DDOS的攻擊。”
一般來說,在應用防火墻允許請求進入系統前,會通過發送并響應cookie來判斷該用戶是否真實,以及該訪問請求是否有效。而在最近很多DDoS攻擊實例中,比如針對Paypal,MasterCard以及Visa網站所進行的攻擊,都是通過僵尸網絡中的肉雞電腦發送的,而這些電腦并不能響應應用防火墻發送的查詢請求。
據報道,這一系列網絡攻擊被稱作“Operation Payback”,其目的是聲援被羈押的維基解密創始人Julian Assange。而維基解密網站也由于美國和歐洲ISP,網絡托管商以及支付供應商的退出而關閉。
作為對Wikileaks和Assange所受遭遇的報復,支持者們動用了超過3000臺志愿電腦以及超過3萬臺肉雞電腦對PayPal, MasterCard和Visa網站發動了DDoS攻擊。
沒有傻瓜式的解決方案
Yordanov指出,除了建立應用防火墻,企業能考慮的其它類型的防護手段包括利用ISP過濾非法網絡請求后提供給企業接入的“清潔管道”以及采用更高級別的安全協議等。另外,企業還可以對網絡協議進行修改,確保所有需要連接到服務器的請求都是預先核準的。
但是,隨著技術的不斷進步,黑客和網絡罪犯們也在嘗試各種方法來破壞系統,移動設備接入量的不斷增加,加劇了安全人員進行系統防護的難度。 Yordanov認為,員工的分散程度越大,企業網絡收到攻擊的風險也就越大,因為很多網絡罪犯正是利用了這種分散辦公模式中存在的安全漏洞。
Yordanov表示,沒有什么傻瓜式的解決方案能夠百分百的安全,而能夠想到的傻瓜式解決方案就只有關閉系統電源了。
他說:“與其看著系統被攻擊,更好的辦法就是徹底關閉系統。在以前,如果網管能夠追蹤IP地址,找出DDoS攻擊的發源地,他們就可以將發源地的IP地址段列入黑名單,但這僅限于靜態IP地址。而現在,越來越多的攻擊采用變化頻繁的地址,使得這種黑名單的方式也失效了。”
而Yordanov也提到了另一種不必關閉系統的方法,就是派人不斷地監控網絡流量,但是這需要大量的網絡技術人員,并不適合中小企業。#p#
嘗試阻止DDoS攻擊
度過了一個歡樂的春節假期,回來后發現網站掛了。估計這是所有系統管理員最不想看到的一幕。我在文章標題里很謹慎的用了“嘗試”這個詞,因為實際上,正如上面所說,目前還沒有什么有效的方法能夠真正預防或阻止大規模的DDoS攻擊。不過還是有一些方法可以幫助我們應對DDoS攻擊的。
注意,確實有一種方法可以終結大多數DDoS攻擊。這需要所有基于Windows的僵尸網絡都與根系統脫離。遺憾的是,這是不可能發生的。
Windows在設計時就被認為是不安全的系統,而目前世界上有數億人在使用這一系列平臺系統,其中很多人甚至連殺毒軟件都不知道裝一個。全球有數百萬臺安裝有windows系統的電腦目前處于不同的僵尸網絡控制下,甚至你的電腦也在其列。由于大部分人還不愿意拋棄windows系統,尤其是最近一兩年,因此在僵尸網絡驅動下的DDoS攻擊仍然將會持續下去,并且我認為DDoS攻擊將會越來越普遍。
不過,有些類型的 DDoS攻擊已經越來越少見了。美國國土安全部網絡和架構安全項目主管Sean Donelan 在North American Network Operators Group (NANOG,一個致力于建立骨干網和企業網絡的組織)上的一封郵件里表示,“隨著大部分路由器操作系統的升級,由SMURF發起的DDoS攻擊看似已經有所緩解了。而隨著SYN Cookies或類似操作系統的改變,使得由TCP SYN發起的DDoS攻擊也看似得到了緩解。”
一句話,如果你將網關服務器,交換機,防火墻和其他網絡設備都更新到了最新的操作系統版本,那么就可以抵御這些利用TCP/IP 和 TCP/IP 堆棧的弱點所發動的DDoS攻擊。我相信大部分網管應該都已經這樣做了,如果你還沒有及時更新設備OS,那么立即去做。
當然,如果有人蓄意要攻擊你的網站,那你所能做的防御措施也不多。德國網絡安全公司Probe Networks的創始人Jonas Frey認為,面對DDoS攻擊,網站的應對策略只有加大帶寬。Frey解釋說:“就算你的網站采用了 802.3ba with 40/100 Gbps (每秒GB級的吞吐量),仍然不夠用。因為如今的消費者所使用的終端帶寬也比以往增加了,而通過惡意軟件也可以輕松的建立一個有一定規模的僵尸網絡。就算用戶的平均帶寬不超過2Mbps(每秒吞吐量)的上傳帶寬,那么整個僵尸網絡中所有終端所發送來的數據流量也是驚人的。”如果所有windows系統都正確安裝了補丁和殺毒軟件,可能這種攻擊會少一些,但是正如Frey所說的:“系統能打補丁,愚蠢的頭腦不行。”
所以說,要為你的Web服務器留出盡量多的帶寬。如果你使用的是Web服務器托管服務,那么就要檢查一下托管商接入骨干網的數量和帶寬。如果只有連接到一個或者兩個骨干網,或者每個連接所提供的帶寬太小,那么最好換別家試試看。在面對DDoS攻擊時,最有效的抵抗方法就是增加帶寬。
選播及負載分享
如果你的公司將網站存放在多個服務器上,那么可以通過使用選播和多播源發現協議(MSDP)幫助你抵御DDoS攻擊。
選播是一種聯網技術, 互聯網上不同的位置可以擁有相同的IP前綴。用大家能理解的話來說,就是采用相同域名的不同服務器共享相同的IP地址。
當網站采用選播方式并被正確配置后,發生DDoS攻擊時會出現這樣的情況:網絡收到頁面請求,交換機檢查距離最近的服務器是否正常工作,如果服務器由于DDoS攻擊而沒有正常工作,選播機制將自動將頁面請求轉發給下一個服務器。因此,如果你的服務器位于紐約,舊金山和倫敦,而DDoS攻擊是來自美國東海岸的一個僵尸網絡,那么DDoS攻擊所帶來的數據負載,將被自動分配給這幾個服務器。
選播,或者其他負載分享技術并不能提供完美的防護能力。因為一次足夠大規模的DDoS攻擊可以將參與負載分享的所有服務器搞垮,就好像多米諾骨牌一樣。這可不是件好事。
很多公司,比如 Arbor Networks, BlockDOS, 和 ServerOrigin,都提供DDOS防護服務,但是他們也不能提供完美的服務承諾。
而這些 DDOS 防護公司,比如剛才提到的BlockDOS和ServerOrigin,就是提供分布式服務器,利用選播技術為企業網絡服務器提供攻擊轉移服務。如果你的網站沒有優秀的管理員或沒有足夠好的服務器托管商幫你進行負載共享,你就需要這兩家公司的服務了。 Arbor則是提供實時的網絡分析服務器,這樣你就能及時看到DDoS攻擊波的到來,并在該公司的幫助下實施相應的防御。
在目前這種網絡環境下,我們再盡力也只能這樣了。正如Arbor Networks公司首席解決方案專家Roland Dobbins 所說的:“DDoS攻擊只是表象,真正的問題根源是僵尸網絡。”而僵尸網絡的問題,不是一時半會兒就能徹底解決的。
【編輯推薦】
