网贷天眼
网贷天眼
热门 加息最新
网贷天眼»网贷论坛 新手区 休闲灌水 拒绝服务攻击剖析
查看: 557|回复: 2

拒绝服务攻击剖析

[复制链接]
发表于 2012-10-18 11:35 | 显示全部楼层 |阅读模式
        拒绝服务攻击即攻击者想办法让目标编辑本段属性分类法  J.Mirkovic和P. Reiher [Mirkovic04]提出了拒绝服务攻击的属性分类法,即将攻击属性分为攻击静态属性、攻击动态属性和攻击交互属性三类,根据DoS攻击的这些属性的不同,就可以对攻击进行详细的分类。凡是在攻击开始前就已经确定,在一次连续的攻击中通常不会再发生改变的属性,称为攻击静态属性。攻击静态属性是由攻击者和攻击本身所确定的,是攻击基本的属性。那些在攻击过程中可以进行动态改变的属性,如攻击的目标选取、时间选择、使用源地址的方式,称为攻击动态属性。而那些不仅与攻击者相关而且与具体受害者的配置、检测与服务能力也有关系的属性,称为攻击交互属性。攻击静态属性(Static)  攻击静态属性主要包括攻击控制模式、攻击通信模式、攻击技术原理、攻击协议和攻击协议层等。   (1)攻击控制方式(ControlMode)   攻击控制方式直接关系到攻击源的隐蔽程度。根据攻击者控制攻击机的方式可以分为以下三个等级:直接控制方式(Direct)、间接控制方式(Indirect)和自动控制方式(Auto)。   最早的拒绝服务攻击通常是手工直接进行的,即对目标的确定、攻击的发起和中止都是由用户直接在攻击主机上进行手工操作的。这种攻击追踪起来相对容易,如果能对攻击包进行准确的追踪,通常就能找到攻击者所在的位置。由于直接控制方式存在的缺点和攻击者想要控制大量攻击机发起更大规模攻击的需求,攻击者开始构建多层结构的攻击网络。多层结构的攻击网络给针对这种攻击的追踪带来很大困难,受害者在追踪到攻击机之后,还需要从攻击机出发继续追踪控制器,如果攻击者到最后一层控制器之间存在多重跳板时,还需要进行多次追踪才能最终找到攻击者,这种追踪不仅需要人工进行操作,耗费时间长,而且对技术也有很高的要求。这种攻击模式,是目前最常用的一种攻击模式。自动攻击方式,是在释放的蠕虫或攻击程序中预先设定了攻击模式,使其在特定时刻对指定目标发起攻击。这种方式的攻击,从攻击机往往难以对攻击者进行追踪,但是这种控制方式的攻击对技术要求也很高。Mydoom蠕虫对SCO网站和Microsoft网站的攻击就属于第三种类型[TA04-028A]。   (2)攻击通信方式(CommMode)   在间接控制的攻击中,控制者和攻击机之间可以使用多种通信方式,它们之间使用的通信方式也是影响追踪难度的重要因素之一。攻击通信方式可以分为三种方式,分别是:双向通信方式(bi)、单向通信方式(mono)和间接通信方式(indirection)。   双向通信方式是指根据攻击端接收到的控制数据包中包含了控制者的真实IP地址,例如当控制器使用TCP与攻击机连接时,该通信方式就是双向通信。这种通信方式,可以很容易地从攻击机查找到其上一级的控制器。   单向通信方式指的是攻击者向攻击机发送指令时的数据包并不包含发送者的真实地址信息,例如用伪造IP地址的UDP包向攻击机发送指令。这一类的攻击很难从攻击机查找到控制器,只有通过包标记等IP追踪手段,才有可能查找到给攻击机发送指令的机器的真实地址。但是,这种通信方式在控制上存在若干局限性,例如控制者难以得到攻击机的信息反馈和状态。   间接通信方式是一种通过第三者进行交换的双向通信方式,这种通信方式具有隐蔽性强、难以追踪、难以监控和过滤等特点,对攻击机的审计和追踪往往只能追溯到某个被用于通信中介的公用服务器上就再难以继续进行。这种通信方式目前已发现的主要是通过IRC(Internet Relay Chat)进行通信[Jose Nazario],从2000年8月出现的名为Trinity的DDoS攻击工具开始,已经有多种DDoS攻击工具及蠕虫采纳了这种通信方式。在基于IRC的傀儡网络中,若干攻击者连接到Internet上的某个IRC服务器上,并通过服务器的聊天程序向傀儡主机发送指令。   (3)攻击原理(Principle)   DoS攻击原理主要分为两种,分别是:语义攻击(Semantic)和暴力攻击(Brute)。   语义攻击指的是利用目标系统实现时的缺陷和漏洞,对目标主机进行的拒绝服务攻击,这种攻击往往不需要攻击者具有很高的攻击带宽,有时只需要发送1个数据包就可以达到攻击目的,对这种攻击的防范只需要修补系统中存在的缺陷即可。暴力攻击指的是不需要目标系统存在漏洞或缺陷,而是仅仅靠发送超过目标系统服务能力的服务请求数量来达到攻击的目的,也就是通常所说的风暴攻击。所以防御这类攻击必须借助于受害者上游路由器等的帮助,对攻击数据进行过滤或分流。某些攻击方式,兼具语义和暴力两种攻击的特征,比如SYN风暴攻击,虽然利用了TCP协议本身的缺陷,但仍然需要攻击者发送大量的攻击请求,用户要防御这种攻击,不仅需要对系统本身进行增强,而且也需要增大资源的服务能力。还有一些攻击方式,是利用系统设计缺陷,产生比攻击者带宽更高的通信数据来进行暴力攻击的,如DNS请求攻击和Smurf攻击,参见4.2.3节以及文献[IN-2000-04]和[CA-1998-01]。这些攻击方式在对协议和系统进行改进后可以消除或减轻危害,所以可把它们归于语义攻击的范畴。   (4)攻击协议层(ProLayer)   攻击所在的TCP/IP协议层可以分为以下四类:数据链路层网络层传输层应用层。   数据链路层的拒绝服务攻击[Convery] [Fischbach01][Fischbach02]受协议本身限制,只能发生在局域网内部,这种类型的攻击比较少见。针对IP层的攻击主要是针对目标系统处理IP包时所出现的漏洞进行的,如IP碎片攻击[Anderson01],针对传输层的攻击在实际中出现较多,SYN风暴、ACK风暴等都是这类攻击,面向应用层的攻击也较多,剧毒包攻击中很多利用应用程序漏洞的(例如缓冲区溢出的攻击)都属于此类型。   (5)攻击协议(ProName)   攻击所涉及的最高层的具体协议,如SMTP、ICMP、UDP、HTTP等。攻击所涉及的协议层越高,则受害者对攻击包进行分析所需消耗的计算资源就越大。


动机  与其他类型的攻击一样,攻击者发起拒绝服务攻击的动机也是多种多样的,不同的时间和场合发生的、由不同的攻击者发起的、针对不同的受害者的攻击可能有着不同的目的。这里,把拒绝服务攻击的一些主要目的进行归纳。需要说明的是,这里列出的没有也不可能包含所有的攻击目的;同时,这些目的也不是排他性的,一次攻击事件可能会有着多重的目的。作为练习攻击的手段  由于DoS攻击非常简单,还可以从网上直接下载工具进行自动攻击。因此,这种攻击可以被一些自认为是或者想要成为黑客而实际上是脚本小子(Script Kiddies)的人用做练习攻击技术的手段。而其他的一些特权提升攻击(除通过蠕虫等进行自动攻击外),通常都会或多或少地牵涉到一些技术性的东西,从而掌握起来会有一定的难度。炫耀  黑客们常常以能攻破某系统作为向同伴炫耀,提高在黑客社会中的可信度及知名度的资本,拒绝服务攻击虽然技术要求不是很高,有时也被一些人特别是一些“所谓的”黑客用来炫耀。仇恨或报复  仇恨或报复也常常是攻击的动机。寻求报复通常都基于强烈的感情,攻击者可能竭尽所能地发起攻击,因而一般具有较大的破坏性。同时,拒绝服务攻击当是报复者的首选攻击方式,因为他们的目的主要是破坏而非对系统的控制或窃取信息。因仇恨而发起攻击的人员有:   前雇员,由于被解雇、下岗或者因为其他不愉快的原因辞职而感到不满的。   现雇员,感到其雇主应该提升自己、增加薪水或以其他方式承认其工作,而愿望没有得到满足的,尤其是哪些因为类似原因,打算辞职的。   现雇员,因为政治斗争、升职竞争等原因而恶意破坏他人工作成绩的。   外部人员,由于对公司充满仇恨,例如不满的客户或者竞争对手的雇员,他们可能希望损害公司的利益或者使其陷入困境。   外部人员,他们可能仇恨公司所雇用的某个人,这个人也许是前男/女朋友,前配偶等。   4.恶作剧或单纯为了破坏   有些系统的使用需要账户(用户名)和口令进行身份认证,而当以某个用户名登录时,如果口令连续错误的次数超过一定值,系统会锁定该账户,攻击者可以采用此方法实施对账户的拒绝服务攻击。此外,我们在现实生活中常常见到一些公共设施如通信电缆被恶意毁坏;在网络社会中,类似的情况也时有发生,这些攻击常常是为了恶作剧。经济原因  有的攻击者攻击系统是为了某种经济利益,无论是直接的还是间接的。比如A、B是两家相互竞争的依赖Internet做生意的公司,如果其中一个公司的服务质量降低或者顾客不能访问该公司的网络,顾客可能会转向另一家公司,则A就可能对B公司提供的网上服务实施拒绝服务攻击,在这里,攻击者A可以通过对B的攻击而获取经济利益。攻击者也可以受雇而发起攻击,例如在上例中,一些黑客可能受A的雇佣而攻击B的网络,类似的实际案例早有报道。   敲诈、勒索也逐渐成为了一些攻击者进行拒绝服务攻击的目的。由于拒绝服务攻击会导致较大的损失,一些攻击者以此作为敲诈勒索的手段。例如,2004年欧洲杯足球赛期间发生的一起针对一个赌博公司的敲诈案[BBC04],攻击者威胁说如果该公司不付钱就会攻击其网站,使之下线。在其他的重要体育赛事期间,也发生过多起类似的犯罪行为。   又如,Renaud Bidou在Black Hat USA 2005会议中介绍了一个以拒绝服务攻击进行敲诈勒索的例子。受害者是位于莫斯科的一个从事货币兑换的俄罗斯金融公司,受害者的业务都是从网上在线处理的。攻击者先用大约每秒150 000个数据包的SYN风暴攻击受害者的服务器(所有数据包指向同一个IP的同一个端口,即受害者关键业务所用的端口),攻击30分钟后,攻击者通过ICQ联系,要求受害者在36小时内支付指定数量的赎金,整个第一波攻击持续60分钟后停止。从第一波攻击开始起36小时后,由于没有收到赎金,攻击者发起了第二波攻击,在此次攻击中,攻击者从每秒50 000个数据包开始,按每5分钟以每秒50 000个数据包的力度递增,到20分钟时达到攻击的极限——每秒200 000个数据包,所有这些数据包都被受害者的SYNCookies措施所阻塞。第二波攻击的持续时间不长,到35分钟以后,受害者的业务得以恢复。   随着越来越多的受害者选择向敲诈者妥协,以拒绝服务攻击进行敲诈勒索的案例越来越多。同时,由于拒绝服务攻击常常涉及超出国界的Internet连接,对拒绝服务攻击这种犯罪行为的起诉也比较困难,这进一步加剧了问题的严重性。政治原因  这类攻击的目的是对某种政治思想的表达或者压制他人的表达。如2001年5月间,由美国间谍飞机撞毁我巡逻机引发的,中美黑客之间的一场网络大战①,以及2003年伊拉克战争期间美国与伊拉克黑客之间的发生的相互攻击对方国内网络的事件就属政治原因引起的(当然,拒绝服务攻击只是当时双方采取的攻击手段之一)。又比如,某银行贷款给一家公司用于在某处建一对环境污染严重的化工厂,环境保护主义者可能会攻击该银行,后果或者是导致该银行的损失,达到报复该银行的目的,或者是迫使该银行取消该项贷款,达到保护环境的目的。信息战  在战争条件下,交战双方如果采取信息战的方式,则拒绝服务攻击就是最常用的战术手段之一。例如,1991年,在海湾战争开战前数周,美国特工买通了安曼国际机场的工作人员,用带有病毒的芯片替换了运往伊拉克的打印机芯片。该病毒由美国国家安全局设计,目的就是为了破坏巴格达的防空系统,从而为美方的空中打击创造有利条件。据一本名为《不战而胜:波斯湾战争中未揭露的历史》(Triumph without Victory: The Unreported History of the Persian Gulf War)的图书称,该病毒可以逃避层层安全检测,当病毒存在于计算机上时,每次伊拉克的技术人员开一个窗口访问信息的时候,其计算机屏幕上的信息就会消失。有报道称该病毒最后确实起作用了。这里,美方通过激发病毒使得伊拉克防空系统使用的打印机不能正常工作,就是一种拒绝服务攻击。作为特权提升攻击的辅助手段  前面讨论的目的都是由拒绝服务攻击直接达到的,事实上,拒绝服务攻击还可以作为特权提升攻击、获得非法访问的一种辅助手段。这时候,拒绝服务攻击服从于其他攻击的目的。通常,攻击者不能单纯通过拒绝服务攻击获得对某些系统、信息的非法访问,但其可作为间接手段。   SYN风暴攻击可以用于IP劫持、IP欺骗等。当攻击者想要向B冒充C时,其通常需要C不能响应B的消息,为此,攻击者可以先攻击C(如果它是在线的)使其无法对B的消息进行响应。然后攻击者就可以通过窃听发向C的数据包,或者通过猜测发向C的数据包中的序列号等,然后冒充C与第三方通信。   一些系统在启动时会有漏洞,可以通过拒绝服务攻击使之重启,然后在该系统重启时针对漏洞进行攻击。如RARP-boot,如果能令其重启,就可以将其攻破。只需知道RARP-boot在引导时监听的端口号(通常为69),通过向其发送伪造的数据包几乎可以完全控制其引导(Boot)过程。   有些网络配置成当防火墙关闭时所有数据包都能通过(特别是对于那些提供服务比安全更加重要的场合,如普通的ISP),则可通过对防火墙的拒绝服务攻击使其失去作用达到非法访问受防火墙保护的网络的目的。   对Windows系统的大多数配置变动在生效前都需要重新启动系统。这么一来,如果攻击者已经获得了对系统的管理性特权的变动之后,可能需要采取拒绝服务攻击的手段使系统重启或者迫使系统的真正管理员重启系统,以便其改动的配置生效。   对DNS的拒绝服务攻击可以达到地址冒充的目的。DNS服务器起到的是把域名解析为IP地址的作用。攻击者可以通过把DNS致瘫,然后冒充DNS的域名解析,把错误的域名-IP地址的对应关系提供给用户,以便把用户(受害者)的数据包指向错误的网站(如攻击者的网站),或者把受害者的邮件指向错误的(如攻击者的)邮件服务器,这样,攻击者就达到了冒充其他域名的目的。攻击者的最终目的大致有两种:一是窃取受害者的信息,但客观上导致用户不能应用相应的服务,也构成拒绝服务攻击;二是拒绝服务攻击,如蓄意使用户不能访问需要的网站,不能发送邮件到需要的服务器等。防止拒绝服务的攻击  许多现代的UNIX允许管理员设置一些限制,如限制可以使用的最大内存、CPU时间以及可以生成的最大文件等。如果当前正在开发―个新的程序,而又不想偶然地使系统变得非常缓慢,或者使其它分享这台主机的用户无法使用,这些限制是很有用的。Korn Shell的ulimit命令和Shell的Iimit命令可以列出当前程的资源限制。

回复

使用道具 举报

发表于 2012-10-18 11:41 | 显示全部楼层
回复

使用道具 举报

发表于 2012-10-18 15:46 | 显示全部楼层
回复

使用道具 举报

本版积分规则

相关文章

相关问答

关注天眼  

Copyright © 2013 p2peye.com 北京银讯财富信息技术有限公司 版权所有 不允许任何形式的转载以及拷贝,违者必究。

京ICP备13053798号-1京ICP证150049号 京公网安备 11010502026902 号

网贷天眼温馨提示:网贷天眼仅提供平台服务,所有产品及展示信息均由发行方提供。理财属于投资行为,不等同于银行存款。投资有风险,购买需谨慎。

快速回复 下载天眼app
返回列表 返回顶部