扼制DoS攻击
时间:2007-10-31 20:50:18
来源:技术无忧整理 作者: 点击:次 出处:技术无忧
今年10月份,DDoS攻击又开始猖獗,全球13台互联网域名解析服务器被攻破,险些造成世界互联网的灾难!
拒绝服务(DoS/DDoS)攻击最早可追述到1996
年,在2000年发展到极致。全球包括Yahoo、CNN、eBay在内的十多个著名网站都遭遇过这种流量堵塞技术的攻击,仅Yahoo一家就造成了50万美元的损失。
对于业界来说,DoS攻击的原理极为简单,也早已为人们所熟知。不过,至今为止仍然没有一项技术能很好解决这类简单攻击,目前全球每周所遭遇的DoS攻击依然达到4000多次。专家认识到,虽然各种攻击层出不穷,但DoS/DDoS攻击依然是互联网面临的主要威胁。
针对正在抬头的DDoS攻击,本报结合近日出现的新技术和产品,推出相关技术专题,分析未来的攻击手段变化以及可能的抵抗措施。
重新审视DoS攻击事件,从商业网站、政府网站到互联网的命根子——域名服务器,黑客的攻击一次比一次升级,而采用的攻击技术却几乎没有改变——用最简单的流量堵塞让整个网络瘫痪。这不能不说是对目前网络安全技术的一种嘲讽。
DoS攻击日渐升级
美国东部时间2002年10月21日下午5时左右,国际互联网系统的核心,位于美国、瑞典、英国、日本等国家和地区的13个根名服务器,遭受了有史以来规模最大、最复杂的一次“分布式拒绝服务攻击”(DDoS)。整个袭击横跨全世界,规模巨大,并持续了1小时左右。
域名解析服务器是维系全球互联网正确通信的命根子,如果攻击得逞,整个互联网世界将会崩溃,就如同一个城市,如果所有的地址、门牌号码全部弄乱,人们之间的通信、联络将完全无法进行,整个城市将陷入混乱之中。国际互联网软件合作协议公司主席保罗·维克谢表示,如果10月21日黑客攻击的时间再长一点,全世界范围的国际互联网用户将可能会觉察到连网速度减慢,或是根本无法连接。
如果不是那么健忘的话,许多人对两年前那次全球黑客对商业网站的“集体绞杀”应该还记忆犹新,那是人们第一次广泛知道“拒绝服务攻击”(DoS)以及它的巨大威力。当时,全球媒体对这一事件进行了广泛报道。
为了解当时的攻击状况,记者特从故纸堆中找来当时的报道。《华盛顿邮报》称:“2000年美国当地时间2月7日上午10:15至下午1:25分,世界最大和最受欢迎的网站之一——雅虎被黑客攻击,该网站自设立以来破天荒头一次中断服务长达3个小时之久。黑客来自因特网上多个网址,显然是事先约定的,这次攻击被人称为‘分布式拒绝访问’。”一星期后,美国CNN、亚马逊、eBay、BUY.COM等商业网站都遭到了类似攻击,致使eBay、BUY等网站被迫关闭,黑客们使用了同样简单的攻击手段,向网站发送大量的信息使线路阻塞从而导致系统瘫痪。
与此同时,中国互联网站们也不容乐观:2000年2月8日下午到2月9日上午,新浪声称遭到了黑客长达18小时的攻击,致使电子邮箱系统完全瘫痪;而当当网上书店状告当时的8848公司的黑客攻击事件,更是闹得满城风雨,媒体称,“这开创了互联网时代的第一例‘黑客诉讼案’”。
DDoS攻击给商业网站造成的经济损失是巨大的。雅虎网平均每日给客户发送4.65亿个网页。事发后,虽然雅虎的发言人一再表示从经济角度说,没有造成任何影响。分析家们却不这么认为,由于雅虎的主要收入来自网上广告,在关闭的两小时内本来应该有1亿个页面被访问,也就是说黑客攻击造成该网站至少损失了50多万美元。
但是,在两三天之内,互联网发生了这样多类似的攻击似乎除了给媒体增加了新的素材外并没有引起人们更多的关注。因为,事态发展到最后,许多小网站开始声称自己遭到了类似的攻击,“我被攻击我自豪”,被攻击似乎成了网站炒做的题材之一。这让许多人感觉无聊,于是,掩盖了人们对DDoS攻击的真正关注。
此后的两年多,攻击者多次故伎重演。2001年5月,中美黑客采用同样手法发动了著名的“中美黑客大战”,美国白宫、国家安全局等站点不得不关闭服务,而中国的某些政府网站也遭到了同样的攻击。
近日发展到攻击解析全球域名的域名服务器,是DDoS攻击的一次升级活动,似乎在向全球网络安全界的技术专家示威:看你能把我怎么样!黑客似乎抱着玩的心态而“手下留情”,没有让互联网真正瘫痪。不过,谁能保证将来?
这是2002年黑客对全球互联网脆弱性一次升级的挑衅和嘲讽。专家们现在已经清醒地认识到,DoS或DDoS攻击目前以至将来都是互联网面临的头号威胁。
虽然多数人声称DoS/DDoS攻击方式简单,其原理和攻击源代码也早已公布,但全球DoS攻击却屡屡得逞,这不能不令人为之惊叹。
利用协议弱点
通俗地讲,DoS攻
击通过伪造超过服务器处理能力的访问数据耗尽系统资源而造成服务器响应阻塞,使目标计算机无法提供正常的服务。系统资源包括网络带宽、文件系统空间容量、开放的进程或者允许的连接等。
从攻击类型来看,DoS攻击主要分为针对一切网络设备的流量型攻击(这是目前主要的DoS攻击形式)、针对主机的堆栈突破型攻击和针对系统漏洞的特定型攻击。典型流量型攻击方法有SYN Flood、ACK Flood、UDP Flood、ICMP Flood和MStream Flood等;而堆栈突破型攻击包括Winnnuke、Jolt、Teardrop等。
流量型攻击之所以屡屡得逞并很难预防,在于它利用了TCP协议本身的弱点。以用小带宽冲击大带宽的SYN Flood为例,TCP协议规定一次正常的传输需要在通话的双方建立“三次握手”。(如图1所示)第一次握手,客户端向服务端提出连接请求;第二次握手,服务端作出回应,按照IP源地址返回数据包;第三次握手,客户端确认收到服务端返回的数据包,至此双方才算建立了完整的TCP连接。通常情况下,服务端的操作系统会使用一块限定的内存处理TCP连接请求,这个限定的内存被称为TCP缓存,如果这个缓存队列被填满,任何其他新的TCP连接请求都会被丢弃。当DoS攻击发生时,黑客用伪造的IP地址向服务端发出请求,由于它的IP地址是假的,因此在第二次握手时,数据包无法返回原来的IP地址,但服务端却会不断地尝试“握手”直到超时为止(大约75秒),这形成了“半连接”。大量的“半连接”将目标主机的TCP缓存队列填满,而无法接受新连接,这就形成了一次成功的DoS攻击。(如图2所示)
图1 TCP“三次握手”建立连接
图2 SYN Flood攻击原理更多电脑、家电软硬件维修资讯请访问维修技术
拒绝服务(DoS/DDoS)攻击最早可追述到1996
年,在2000年发展到极致。全球包括Yahoo、CNN、eBay在内的十多个著名网站都遭遇过这种流量堵塞技术的攻击,仅Yahoo一家就造成了50万美元的损失。
对于业界来说,DoS攻击的原理极为简单,也早已为人们所熟知。不过,至今为止仍然没有一项技术能很好解决这类简单攻击,目前全球每周所遭遇的DoS攻击依然达到4000多次。专家认识到,虽然各种攻击层出不穷,但DoS/DDoS攻击依然是互联网面临的主要威胁。
针对正在抬头的DDoS攻击,本报结合近日出现的新技术和产品,推出相关技术专题,分析未来的攻击手段变化以及可能的抵抗措施。
重新审视DoS攻击事件,从商业网站、政府网站到互联网的命根子——域名服务器,黑客的攻击一次比一次升级,而采用的攻击技术却几乎没有改变——用最简单的流量堵塞让整个网络瘫痪。这不能不说是对目前网络安全技术的一种嘲讽。
DoS攻击日渐升级
美国东部时间2002年10月21日下午5时左右,国际互联网系统的核心,位于美国、瑞典、英国、日本等国家和地区的13个根名服务器,遭受了有史以来规模最大、最复杂的一次“分布式拒绝服务攻击”(DDoS)。整个袭击横跨全世界,规模巨大,并持续了1小时左右。
域名解析服务器是维系全球互联网正确通信的命根子,如果攻击得逞,整个互联网世界将会崩溃,就如同一个城市,如果所有的地址、门牌号码全部弄乱,人们之间的通信、联络将完全无法进行,整个城市将陷入混乱之中。国际互联网软件合作协议公司主席保罗·维克谢表示,如果10月21日黑客攻击的时间再长一点,全世界范围的国际互联网用户将可能会觉察到连网速度减慢,或是根本无法连接。
如果不是那么健忘的话,许多人对两年前那次全球黑客对商业网站的“集体绞杀”应该还记忆犹新,那是人们第一次广泛知道“拒绝服务攻击”(DoS)以及它的巨大威力。当时,全球媒体对这一事件进行了广泛报道。
为了解当时的攻击状况,记者特从故纸堆中找来当时的报道。《华盛顿邮报》称:“2000年美国当地时间2月7日上午10:15至下午1:25分,世界最大和最受欢迎的网站之一——雅虎被黑客攻击,该网站自设立以来破天荒头一次中断服务长达3个小时之久。黑客来自因特网上多个网址,显然是事先约定的,这次攻击被人称为‘分布式拒绝访问’。”一星期后,美国CNN、亚马逊、eBay、BUY.COM等商业网站都遭到了类似攻击,致使eBay、BUY等网站被迫关闭,黑客们使用了同样简单的攻击手段,向网站发送大量的信息使线路阻塞从而导致系统瘫痪。
与此同时,中国互联网站们也不容乐观:2000年2月8日下午到2月9日上午,新浪声称遭到了黑客长达18小时的攻击,致使电子邮箱系统完全瘫痪;而当当网上书店状告当时的8848公司的黑客攻击事件,更是闹得满城风雨,媒体称,“这开创了互联网时代的第一例‘黑客诉讼案’”。
DDoS攻击给商业网站造成的经济损失是巨大的。雅虎网平均每日给客户发送4.65亿个网页。事发后,虽然雅虎的发言人一再表示从经济角度说,没有造成任何影响。分析家们却不这么认为,由于雅虎的主要收入来自网上广告,在关闭的两小时内本来应该有1亿个页面被访问,也就是说黑客攻击造成该网站至少损失了50多万美元。
但是,在两三天之内,互联网发生了这样多类似的攻击似乎除了给媒体增加了新的素材外并没有引起人们更多的关注。因为,事态发展到最后,许多小网站开始声称自己遭到了类似的攻击,“我被攻击我自豪”,被攻击似乎成了网站炒做的题材之一。这让许多人感觉无聊,于是,掩盖了人们对DDoS攻击的真正关注。
此后的两年多,攻击者多次故伎重演。2001年5月,中美黑客采用同样手法发动了著名的“中美黑客大战”,美国白宫、国家安全局等站点不得不关闭服务,而中国的某些政府网站也遭到了同样的攻击。
近日发展到攻击解析全球域名的域名服务器,是DDoS攻击的一次升级活动,似乎在向全球网络安全界的技术专家示威:看你能把我怎么样!黑客似乎抱着玩的心态而“手下留情”,没有让互联网真正瘫痪。不过,谁能保证将来?
这是2002年黑客对全球互联网脆弱性一次升级的挑衅和嘲讽。专家们现在已经清醒地认识到,DoS或DDoS攻击目前以至将来都是互联网面临的头号威胁。
虽然多数人声称DoS/DDoS攻击方式简单,其原理和攻击源代码也早已公布,但全球DoS攻击却屡屡得逞,这不能不令人为之惊叹。
利用协议弱点
通俗地讲,DoS攻
击通过伪造超过服务器处理能力的访问数据耗尽系统资源而造成服务器响应阻塞,使目标计算机无法提供正常的服务。系统资源包括网络带宽、文件系统空间容量、开放的进程或者允许的连接等。
从攻击类型来看,DoS攻击主要分为针对一切网络设备的流量型攻击(这是目前主要的DoS攻击形式)、针对主机的堆栈突破型攻击和针对系统漏洞的特定型攻击。典型流量型攻击方法有SYN Flood、ACK Flood、UDP Flood、ICMP Flood和MStream Flood等;而堆栈突破型攻击包括Winnnuke、Jolt、Teardrop等。
流量型攻击之所以屡屡得逞并很难预防,在于它利用了TCP协议本身的弱点。以用小带宽冲击大带宽的SYN Flood为例,TCP协议规定一次正常的传输需要在通话的双方建立“三次握手”。(如图1所示)第一次握手,客户端向服务端提出连接请求;第二次握手,服务端作出回应,按照IP源地址返回数据包;第三次握手,客户端确认收到服务端返回的数据包,至此双方才算建立了完整的TCP连接。通常情况下,服务端的操作系统会使用一块限定的内存处理TCP连接请求,这个限定的内存被称为TCP缓存,如果这个缓存队列被填满,任何其他新的TCP连接请求都会被丢弃。当DoS攻击发生时,黑客用伪造的IP地址向服务端发出请求,由于它的IP地址是假的,因此在第二次握手时,数据包无法返回原来的IP地址,但服务端却会不断地尝试“握手”直到超时为止(大约75秒),这形成了“半连接”。大量的“半连接”将目标主机的TCP缓存队列填满,而无法接受新连接,这就形成了一次成功的DoS攻击。(如图2所示)
图1 TCP“三次握手”建立连接
图2 SYN Flood攻击原理更多电脑、家电软硬件维修资讯请访问维修技术
上一篇:三星中小企业网络安全解决方案
文章评论
共有 0 位网友发表了评论 此处只显示部分留言 点击查看完整评论页面