主機(jī)安全:防御黑客利用DDOS進(jìn)行攻擊
黑客占領(lǐng)傀儡機(jī)
黑客最感興趣的是有下列情況的主機(jī):
鏈路狀態(tài)好的主機(jī)
性能好的主機(jī)
安全管理水平差的主機(jī)
這一部分實(shí)際上是使用了另一大類的攻擊手段:利用形攻擊。這是和DDoS并列的攻擊方式。簡單地說,就是占領(lǐng)和控制被攻擊的主機(jī)。取得最高的管理權(quán)限,或者至少得到一個有權(quán)限完成DDoS攻擊任務(wù)的帳號。對于一個DDoS攻擊者來說,準(zhǔn)備好一定數(shù)量的傀儡機(jī)是一個必要的條件,下面說一下他是如何攻擊并占領(lǐng)它們的。
首先,黑客做的工作一般是掃描,隨機(jī)地或者是有針對性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機(jī)器,像程序的溢出漏洞、cgi、Unicode、ftp、數(shù)據(jù)庫漏洞…(簡直舉不勝舉啊),都是黑客希望看到的掃描結(jié)果。隨后就是嘗試入侵了,具體的手段就不在這里多說了,感興趣的話網(wǎng)上有很多關(guān)于這些內(nèi)容的文章。
總之黑客現(xiàn)在占領(lǐng)了一臺傀儡機(jī)了!然后他做什么呢?除了上面說過留后門擦腳印這些基本工作之外,他會把DDoS攻擊用的程序上載過去,一般是利用ftp。在攻擊機(jī)上,會有一個DDoS的發(fā)包程序,黑客就是利用它來向受害目標(biāo)發(fā)送惡意攻擊包的。
黑客實(shí)施實(shí)際的DDOS攻擊
經(jīng)過前2個階段的精心準(zhǔn)備之后,黑客就開始瞄準(zhǔn)目標(biāo)準(zhǔn)備發(fā)射了。前面的準(zhǔn)備做得好的話,實(shí)際攻擊過程反而是比較簡單的。就象圖示里的那樣,黑客登錄到做為控制臺的傀儡機(jī),向所有的攻擊機(jī)發(fā)出命令:"預(yù)備~ ,瞄準(zhǔn)~,開火!"。這時候埋伏在攻擊機(jī)中的DDoS攻擊程序就會響應(yīng)控制臺的命令,一起向受害主機(jī)以高速度發(fā)送大量的數(shù)據(jù)包,導(dǎo)致它死機(jī)或是無法響應(yīng)正常的請求。黑客一般會以遠(yuǎn)遠(yuǎn)超出受害方處理能力的速度進(jìn)行攻擊,他們不會"憐香惜玉"。
老道的攻擊者一邊攻擊,還會用各種手段來監(jiān)視攻擊的效果,在需要的時候進(jìn)行一些調(diào)整。簡單些就是開個窗口不斷地ping目標(biāo)主機(jī),在能接到回應(yīng)的時候就再加大一些流量或是再命令更多的傀儡機(jī)來加入攻擊。
DDOS的主要幾個攻擊TCP全連接攻擊和SYN攻擊不同,它是用合法并完整的連接攻擊對方,SYN攻擊采用的是半連接攻擊方式,而全連接攻擊是完整的,合法的請求,防火墻一般都無法過濾掉這種攻擊,這種攻擊在現(xiàn)在的DDOS軟件中非常常見,有UDP碎片還有SYN洪水,甚至還有TCP洪水攻擊,這些攻擊都是針對服務(wù)器的常見流量攻擊SYN變種攻擊發(fā)送偽造源IP的SYN數(shù)據(jù)包但是數(shù)據(jù)包不是64字節(jié)而是上千字節(jié)這種攻擊會造成一些防火墻處理錯誤鎖死,消耗服務(wù)器CPU內(nèi)存的同時還會堵塞帶寬。TCP混亂數(shù)據(jù)包攻擊發(fā)送偽造源IP的 TCP數(shù)據(jù)包,TCP頭的TCP Flags 部分是混亂的可能是syn ,ack ,syn+ack ,syn+rst等等,會造成一些防火墻處理錯誤鎖死,消耗服務(wù)器CPU內(nèi)存的同時還會堵塞帶寬。
針對用UDP協(xié)議的攻擊很多聊天室,視頻音頻軟件,都是通過UDP數(shù)據(jù)包傳輸?shù)模粽哚槍Ψ治鲆舻木W(wǎng)絡(luò)軟件協(xié)議,發(fā)送和正常數(shù)據(jù)一樣的數(shù)據(jù)包,這種攻擊非常難防護(hù),一般防護(hù)墻通過攔截攻擊數(shù)據(jù)包的特征碼防護(hù),但是這樣會造成正常的數(shù)據(jù)包也會被攔截,針對WEB Server的多連接攻擊通過控制大量肉雞同時連接訪問網(wǎng)站,造成網(wǎng)站無法處理癱瘓,這種攻擊和正常訪問網(wǎng)站是一樣的,只是瞬間訪問量增加幾十倍甚至上百倍,有些防火墻可以通過限制每個連接過來的IP連接數(shù)來防護(hù),但是這樣會造成正常用戶稍微多打開幾次網(wǎng)站也會被封,針對WEB Server的變種攻擊通過控制大量肉雞同時連接訪問網(wǎng)站,一點(diǎn)連接建立就不斷開,一直發(fā)送發(fā)送一些特殊的GET訪問請求造成網(wǎng)站數(shù)據(jù)庫或者某些頁面耗費(fèi)大量的CPU,這樣通過限制每個連接過來的IP連接數(shù)就失效了,因?yàn)槊總€肉雞可能只建立一個或者只建立少量的連接。
這種攻擊非常難防護(hù),后面給大家介紹防火墻的解決方案針對WEB Server的變種攻擊通過控制大量肉雞同時連接網(wǎng)站端口,但是不發(fā)送GET請求而是亂七八糟的字符,大部分防火墻分析攻擊數(shù)據(jù)包前三個字節(jié)是GET字符然后來進(jìn)行http協(xié)議的分析,這種攻擊,不發(fā)送GET請求就可以繞過防火墻到達(dá)服務(wù)器,一般服務(wù)器都是共享帶寬的,帶寬不會超過10M 所以大量的肉雞攻擊數(shù)據(jù)包就會把這臺服務(wù)器的共享帶寬堵塞造成服務(wù)器癱瘓,這種攻擊也非常難防護(hù),因?yàn)槿绻缓唵蔚臄r截客戶端發(fā)送過來沒有GET字符的數(shù)據(jù)包,會錯誤的封鎖很多正常的數(shù)據(jù)包造成正常用戶無法訪問。
后面給大家介紹防火墻的解決方案針對游戲服務(wù)器的攻擊因?yàn)橛螒蚍?wù)器非常多,這里介紹最早也是影響最大的傳奇游戲,傳奇游戲分為登陸注冊端口7000,人物選擇端口7100,以及游戲運(yùn)行端口7200,7300,7400等,因?yàn)橛螒蜃约旱膮f(xié)議設(shè)計的非常復(fù)雜,所以攻擊的種類也花樣倍出,大概有幾十種之多,而且還在不斷的發(fā)現(xiàn)新的攻擊種類,這里介紹目前最普遍的假人攻擊,假人攻擊是通過肉雞模擬游戲客戶端進(jìn)行自動注冊、登陸、建立人物、進(jìn)入游戲活動從數(shù)據(jù)協(xié)議層面模擬正常的游戲玩家,很難從游戲數(shù)據(jù)包來分析出哪些是攻擊哪些是正常玩家。
黑客實(shí)施DDOS攻擊只是其中手段而已,以上介紹的幾種最常見的攻擊也是比較難防護(hù)的攻擊。一般基于包過濾的防火墻只能分析每個數(shù)據(jù)包,或者有限的分析數(shù)據(jù)連接建立的狀態(tài),防護(hù)SYN,或者變種的SYN,ACK攻擊效果不錯,但是不能從根本上來分析tcp,udp協(xié)議,和針對應(yīng)用層的協(xié)議,比如http,游戲協(xié)議,軟件視頻音頻協(xié)議。
【編輯推薦】
