詳解DDoS攻擊原理的目標(biāo)導(dǎo)向
我們在服務(wù)器應(yīng)用方面操作的時候會碰到DDoS攻擊,那么了解DDoS攻擊原理就顯得很是重要了,那么我們這里不僅僅要明白DDoS攻擊原理簡單的概念,其實更重要的是要明白背后的DDoS攻擊的目的或者說是DDoS攻擊從如何入手。
DDoS攻擊原理的一點理解:
因前段時間仔細(xì)了解了TCP/IP協(xié)議以及RFC文檔,有點心得。同時,文中有部分內(nèi)容參考了Shaft的文章翻譯而得。要想了解DOS攻擊得實現(xiàn)機理,必須對TCP有一定的了解。所以,本文分為兩部分,第一部分介紹一些實現(xiàn)DDoS攻擊相關(guān)的協(xié)議,第二部分則介紹DDoS攻擊的常見方式。
什么是DDoS攻擊?
DDoS攻擊是Distributed Denial of Service的縮寫,意思是拒絕服務(wù),可不能認(rèn)為是微軟的dos操作系統(tǒng)了。好象在5?1的時候鬧過這樣的笑話。拒絕服務(wù),就相當(dāng)于必勝客在客滿的時候不再讓人進去一樣,呵呵,你想吃餡餅,就必須在門口等吧。DOS攻擊即攻擊者想辦法讓目標(biāo)機器停止提供服務(wù)或資源訪問,這些資源包括磁盤空間、內(nèi)存、進程甚至網(wǎng)絡(luò)帶寬,從而阻止正常用戶的訪問。比如:
◆試圖FLOOD服務(wù)器,阻止合法的網(wǎng)絡(luò)通訊
◆破壞兩個機器間的連接,阻止訪問服務(wù)
◆阻止特殊用戶訪問服務(wù)
◆破壞服務(wù)器的服務(wù)或者導(dǎo)致服務(wù)器死機
不過,只有那些比較陰險的攻擊者才單獨使用DOS攻擊,破壞服務(wù)器。通常,DOS攻擊會被作為一次入侵的一部分,比如,繞過入侵檢測系統(tǒng)的時候,通常從用大量的攻擊出發(fā),導(dǎo)致入侵檢測系統(tǒng)日志過多或者反應(yīng)遲鈍,這樣,入侵者就可以在潮水般的攻擊中混騙過入侵檢測系統(tǒng)。
DDoS攻擊原理的目標(biāo)導(dǎo)向TCP協(xié)議方面的探討:
我們知道,TCP(transmission control protocol,傳輸控制協(xié)議),是用來在不可靠的因特網(wǎng)上提供可靠的、端到端的字節(jié)流通訊協(xié)議,在RFC793中有正式定義,還有一些解決錯誤的東西在RFC 1122中有記錄,RFC 1323則有TCP的功能擴展。
我們常見到的TCP/IP協(xié)議中,IP層不保證將數(shù)據(jù)報正確傳送到目的地,TCP則從本地機器接受用戶的數(shù)據(jù)流,將其分成不超過64K字節(jié)的數(shù)據(jù)片段,將每個數(shù)據(jù)片段作為單獨的IP數(shù)據(jù)包發(fā)送出去,最后在目的地機器中再組合成完整的字節(jié)流,TCP協(xié)議必須保證可靠性。
發(fā)送和接收方的TCP傳輸以數(shù)據(jù)段的形式交換數(shù)據(jù),一個數(shù)據(jù)段包括一個固定的20字節(jié)頭,加上可選部分,后面再跟上數(shù)據(jù),TCP協(xié)議從發(fā)送方傳送一個數(shù)據(jù)段的時候,還要啟動計時器,當(dāng)數(shù)據(jù)段到達(dá)目的地后,接收方還要發(fā)送回一個數(shù)據(jù)段,其中有一個確認(rèn)序號,它等于希望收到的下一個數(shù)據(jù)段的順序號,如果計時器在確認(rèn)信息到達(dá)前超時了,發(fā)送方會重新發(fā)送這個數(shù)據(jù)段。
上面,我們總體上了解一點TCP協(xié)議,重要的是要熟悉TCP的數(shù)據(jù)頭(header)。因為數(shù)據(jù)流的傳輸最重要的就是header里面的東西,至于發(fā)送的數(shù)據(jù),只是header附帶上的。客戶端和服務(wù)端的服務(wù)響應(yīng)就是同header里面的數(shù)據(jù)相關(guān),兩端的信息交流和交換是根據(jù)header中的內(nèi)容實施的,因此,要實現(xiàn)DOS,就必須對header中的內(nèi)容非常熟悉。
和DDoS攻擊原理相關(guān)的TCP數(shù)據(jù)段頭格式:
Source Port和 Destination Port :是本地端口和目標(biāo)端口
Sequence Number 和 Acknowledgment Number :是順序號和確認(rèn)號,確認(rèn)號是希望接收的字節(jié)號。這都是32位的,在TCP流中,每個數(shù)據(jù)字節(jié)都被編號。
Data offset :表明TCP頭包含多少個32位字,用來確定頭的長度,因為頭中可選字段長度是不定的。
Reserved : 保留的6位,現(xiàn)在沒用,都是0 接下來是6個1位的標(biāo)志,這是兩個計算機數(shù)據(jù)交流的信息標(biāo)志。
接收和發(fā)送斷根據(jù)這些標(biāo)志來確定信息流的種類。下面是一些介紹:
URG:(Urgent Pointer field significant)緊急指針。用到的時候值為1,用來處理避免TCP數(shù)據(jù)流中斷 。
ACK:(Acknowledgment field significant)置1時表示確認(rèn)號(Acknowledgment Number)為合法,為0的時候表示數(shù)據(jù)段不包含確認(rèn)信息,確認(rèn)號被忽略。
PSH:(Push Function),PUSH標(biāo)志的數(shù)據(jù),置1時請求的數(shù)據(jù)段在接收方得到后就可直接送到應(yīng)用程序,而不必等到緩沖區(qū)滿時才傳送。
RST:(Reset the connection)用于復(fù)位因某種原因引起出現(xiàn)的錯誤連接,也用來拒絕非法數(shù)據(jù)和請求。如果接收到RST位時候,通常發(fā)生了某些錯誤。
SYN:(Synchronize sequence numbers)用來建立連接,在連接請求中,SYN=1,ACK=0,連接響應(yīng)時,SYN=1,ACK=1。即,SYN和ACK來區(qū)分Connection Request和Connection Accepted。
FIN:(No more data from sender)用來釋放連接,表明發(fā)送方已經(jīng)沒有數(shù)據(jù)發(fā)送了。
知道這重要的6個指示標(biāo)志后,我們繼續(xù)來。
16位的WINDOW字段:表示確認(rèn)了字節(jié)后還可以發(fā)送多少字節(jié)。可以為0,表示已經(jīng)收到包括確認(rèn)號減1(即已發(fā)送所有數(shù)據(jù))在內(nèi)的所有數(shù)據(jù)段。 接下來是16位的Checksum字段,用來確保可靠性的。 16位的Urgent Pointer,和下面的字段我們這里不解釋了。不然太多了。呵呵,偷懶啊。 我們進入比較重要的一部分:TCP連接握手過程。這個過程簡單地分為三步。
在沒有連接中,接受方(我們針對服務(wù)器),服務(wù)器處于LISTEN狀態(tài),等待其他機器發(fā)送連接請求。
第一步:客戶端發(fā)送一個帶SYN位的請求,向服務(wù)器表示需要連接,比如發(fā)送包假設(shè)請求序號為10,那么則為:SYN=10,ACK=0, 然后等待服務(wù)器的響應(yīng)。
第二步:服務(wù)器接收到這樣的請求后,查看是否在LISTEN的是指定的端口,不然,就發(fā)送RST=1應(yīng)答,拒絕建立連接。如果接收連接,那么服務(wù)器發(fā)送確認(rèn),SYN為服務(wù)器的一個內(nèi)碼,假設(shè)為100,ACK位則是客戶端的請求序號加1,本例中發(fā)送的數(shù)據(jù)是:SYN=100,ACK=11,用這樣的數(shù)據(jù)發(fā)送給客戶端。向客戶端表示,服務(wù)器連接已經(jīng)準(zhǔn)備好了,等待客戶端的確認(rèn)這時客戶端接收到消息后,分析得到的信息,準(zhǔn)備發(fā)送確認(rèn)連接信號到服務(wù)器
第三步:客戶端發(fā)送確認(rèn)建立連接的消息給服務(wù)器。確認(rèn)信息的SYN位是服務(wù)器發(fā)送的ACK位,ACK位是服務(wù)器發(fā)送的SYN位加1。即:SYN=11,ACK=101。 這時,連接已經(jīng)建立起來了。然后發(fā)送數(shù)據(jù),。這是一個基本的請求和連接過程。需要注意的是這些標(biāo)志位的關(guān)系,比如SYN、ACK。
DDoS攻擊原理服務(wù)器的緩沖區(qū)隊列相關(guān):
服務(wù)器不會在每次接收到SYN請求就立刻同客戶端建立連接,而是為連接請求分配內(nèi)存空間,建立會話,并放到一個等待隊列中。如果,這個等待的隊列已經(jīng)滿了,那么,服務(wù)器就不在為新的連接分配任何東西,直接丟棄新的請求。如果到了這樣的地步,服務(wù)器就是拒絕服務(wù)了。
如果服務(wù)器接收到一個RST位信息,那么就認(rèn)為這是一個有錯誤的數(shù)據(jù)段,會根據(jù)客戶端IP,把這樣的連接在緩沖區(qū)隊列中清除掉。這對IP欺騙有影響,也能被利用來做DOS攻擊。
上面的介紹,我們了解TCP協(xié)議,以及連接過程。要對SERVER實施拒絕服務(wù)攻擊,實質(zhì)上的方式就是有兩個:
◆迫使服務(wù)器的緩沖區(qū)滿,不接收新的請求。
◆使用IP欺騙,迫使服務(wù)器把合法用戶的連接復(fù)位,影響合法用戶的連接
這就是DDoS攻擊原理的目標(biāo)導(dǎo)向,那么基本的內(nèi)容就向你介紹到這里,希望對你了解和掌握DDoS攻擊原理的目標(biāo)導(dǎo)向有所幫助。
【編輯推薦】
