DDOS拒绝服务攻击的原理

DDOS拒绝服务攻击的原理

本章将研究拒绝服务攻击的原理，这里的拒绝服务特指基于网络连接而进行的一种攻击方式。广义而言，一些其他类型的攻击如口令的破解、非法访问等，如果因为网络的安全性不够高，导致其原有用户不能或不敢继续使用相应的服务，也可以称其为拒绝服务攻击，但这不是本书探讨的内容。像通过本地物理地毁坏而使系统不能使用这种拒绝服务攻击，由于没有通过网络，也不是本书讨论的内容。此外，蠕虫也能实施拒绝服务攻击，鉴于蠕虫攻击的特殊性，我们将在

第6章专门对其进行探讨，本章就不做详细的讨论。

3.1 什么是拒绝服务攻击

1．关于拒绝服务攻击的一些概念

这里，对本书涉及的一些概念予以简单地介绍。先从服务开始谈起。

（1）服务——是指系统提供的，用户在对其使用中会受益的功能。

（2）拒绝服务（DoS）——任何对服务的干涉如果使得其可用性降低或者失去可用性均称为拒绝服务。如果一个计算机系统崩溃或其带宽耗尽或其硬盘被填满，导致其不能提供正常的服务，就构成拒绝服务。

（3）拒绝服务（DoS）攻击——是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低。

传统的计算机安全包括三个属性：保密性、完整性和可用性。对于保密性和完整性的攻击可以通过攻击一个东西即密码而获得成功。而对可用性的攻击，则有很多种途径。例如，攻击者可以通过发送大量的数据到受害者，达到拒绝服务攻击的目的，这种攻击在2000年2月针对Yahoo、Amazon、eBay等以后受到广泛的关注。而如果攻击者可以介入到受害者及相应的服务之间，攻击者无须发送数据风暴即可实施DoS攻击。

DDOS拒绝服务攻击的原理

（4）分布式拒绝服务（DDoS）攻击——如果处于不同位置的多个攻击者同时向一个或数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击，由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。图3.1所示为典型的DDoS的示意图，其中的攻击者可以有多个。一般而言，除了规模以外，DDoS攻击与DoS攻击没有本质上的区别，严格而言，DDoS攻击也是DoS攻击，只是把多个攻击主机（一个或者数个攻击者控制下的分处于不同网络位置的多个攻击主机）发起的协同攻击特称为DDoS攻击。

（5）DDoS网络——指DDoS攻击中牵涉的各方，它由攻击者（Attacker、Client）、控制台（Master、Handler）、攻击主机（傀儡机、Bot、Zombie）和受害者组成，如图3.1所示。一个攻击者可以控制多个控制台，一个控制台一般控制多个攻击主机。

图3.1 典型的DDoS攻击示意图

为了攻击效果的缘故，受害者通常只有一个或是有紧密联系的多个（如同一个组织机构的数个网络或数台服务器）。比如，美国商务部拥有的全球根域名服

DDOS拒绝服务攻击的原理

务器（Root Server）共有13个，从美国东部时间2002年10月21日下午5点左右起，攻击者就同时对这13个域名服务器进行了持续1小时的DDoS攻击，结果只有4到5个服务器经受住了攻击并能继续提供服务，其余的服务器都瘫痪了。在这次攻击中，普通的网络用户的服务却没有受到影响[McGuire02]。在此次事件中，攻击者很清楚，他们只有同时使得这13个服务器均不能使用，才能造成最严重的危害，单纯地瘫痪其中少数几个，意义不大，因为这些服务器相互间是冗余的。在此次攻击中，如果单独来看，每个根域名服务器都是一个受害者，从而就有13个受害者；如果因为这13个服务器提供的是同样的服务而把它们看做一个整体，则只有一个受害者。

2．DoS攻击与DDoS攻击的比较

广义而言，DDoS攻击属于DoS攻击，狭义而言，DoS指的是单一攻击者针对单一受害者的攻击，如图3.2所示，这是传统的拒绝服务攻击。而DDoS攻击则是多个攻击者向同一个受害者发起攻击，其具有攻击来源的分散性和攻击力度的汇聚性，而攻击力度比单一的DoS攻击大很多，这是相对较新型的拒绝服务攻击。DDoS攻击力度的汇聚性如图3.3所示。DDoS攻击一般都是用于一些需要靠规模才能奏效的攻击种类，如SYN风暴、UDP风暴等，对于只需少数几个数据包即可奏效的攻击（即后面将要讨论的剧毒包攻击），虽然也可以采用分布式，这时候的“分布式”却没有什么实质的意义，因为这是一个主机就可以轻松完成的工作，自然无须多个主机协同进行。

注：分布式攻击不一定是拒绝服务攻击，其他类型的分布式攻击也是存在的。分布式攻击通常有两类，即资源消耗型和隐蔽型，当然，对于其他的非资源消耗型或者无意隐蔽攻击者的一些攻击，也可以以分布式的方式进行，不过，这时候是否采用分布式，没有多大的区别。资源消耗型分布式攻击会消耗攻击者大量的资源，这样分布式就有了充分的意义，当一个攻击点的力量不足时，由多个点同时发起攻击，分布式起到将多方资源集中利用的作用。有的分布式攻击还会消耗受害者资源，如DDoS攻击。隐蔽型分布式攻击中，分布式起到掩盖攻击行为和隐藏攻击来源的作用，如结合慢速扫描的分布式扫描攻击以及以分布式进行的对认证（口令）的攻击，这时候，分布式的目的有：逃避入侵检测，加快速度，隐藏攻击来源等。但是，使用分布式的方式对一个口令文件的破解则不完全是分布式攻击，严格地说，这是一种分布式计算，分布式攻击的一个重要特征是

DDOS拒绝服务攻击的原理

协同，而在把口令文件分为几个独立的部分分别在几个平台上计算的过程中，各平台间没有充分体现协同的意义。

慢速扫描有时能够逃避入侵检测，但是单个的慢速扫描效率很低，结合分布式以后，既可逃避检测，又能达到需要的扫描速度。

在分布式的口令攻击中，由于口令认证系统通常会设置失败口令的输入次数，当从一个客户端的口令输入的出错次数在一定时间内达到预定阈值以后，认证系统会暂停该客户端的服务并报警①，这样，攻击者必须使得一定时间内从一个攻击点进行的口令猜测次数小于既定阈值，以分布式的方式，从多个攻击点协同地进行口令攻击可以达到攻击者需要的单位时间内口令猜测的次数。

2005年2月15日，在美国San Francisco举行的RSA2005会议上，美国在线（America on Line，AOL）公司的Daniel Russell以“Defend Your Applications Against Distributed Attacks: Success Stories from AOL”为题讲述了一个采用分布式方式攻击AOL的认证系统的例子。通常，为了抵抗口令猜测等攻击，认证服务器在收到来自于同一个主机（IP）的数次认证失败以后，会暂时停止对该主机（IP）的服务，这样通过一台主机对认证系统攻击的有效性是有限的。Russell的例子中，在认证系统的审计记录中发现短时间内出现了来自于数百个IP的登录失败记录，而对于每一个IP的登录失败次数又都很少。这显然是攻击者通过分布式的方式攻击认证系统，以期能够登录，获得应用系统提供的服务。这样，由于每个IP的登录失败次数较少，攻击者既绕过了失败次数的限制，提高了攻击的成功率，同时，其攻击行为也可能不会被一些监控系统如入侵检测系统所注意，因为这些系统通常是对同一个IP设置门限值作为判断标准的。 小结

本章从拒绝服务攻击的目的开始，介绍了拒绝服务攻击的一些基本知识，包括一些定义等，然后研究了拒绝服务攻击的运行机制以及拒绝服务攻击的分类，分布式拒绝服务攻击的典型过程等。

…… 此处隐藏：11027字，全部文档内容请下载后查看。喜欢就下载吧 ……