簡評黑客的終极武器-DDoS
(//www.tvsmo.com)
【大紀元7月28日訊】說到黑客的終极武器,那就真的不得不說到DDoS了。可能某些用戶對這個東西不是十分的了解,不過從事計算机安全的人員卻往往是听到這個名字,其程度比談虎色變還要嚴重。究竟這個DDoS有什么地方那么恐怖呢,下面會為你作一些簡單的說明。
通常,DoS攻擊的目標是你网絡的TCP/IP內層結构,而這些攻擊分為三种:一种是利用TCP/IP協議的漏洞;二种是利用給定的TCP/IP協議棧軟件的弱點;第三种是不斷嘗試的野蠻攻擊。
起這個黑客軟件的破坏力,那就不可以不說起网絡安全界鼻祖CERT被攻擊的事情了。5月22日,星期二,這本來只是Pittsburgh Carnegie Mellon大學CERT 交流中心的一個尋常的日子。可是就在這一天,被認為是計算机安全的泰斗的CERT將在這一天被黑客們”离散的服務拒絕”(DDoS)的攻擊手段踢出网絡。另外,微軟、雅虎和Exodus都在過去的12個月里遭到了DDos的毒手;可能成為下一個目標很可能就是你或者是你的客戶喔。畢竟,如果有人真的想要用DDoS攻擊你的服務器而使其癱瘓,他們是絕對有能力做到的,而且是防不胜防。
“离散的服務拒絕”主要是通過阻止你的服務器發送你所提供的服務而工作的。要達到這個目的,黑客可以有很多种方法,例如最典型的就是Outlook e-mail 蠕虫病毒Melissa及其同類了,因為它們可以驅使Outlook 程序的客戶端向服務器不停的發出充滿了蠕虫病毒的信件直到服務器在重壓之下癱瘓。很多人一提到DoS攻擊的過程,就會聯想到是用很多無用的信息來阻塞网絡,以此來達到使其癱瘓的目的。其實這只是其中一個比較典型的方法。事實上還有一种方法其實也是非常有效的,那就是名為消耗服務器資源方式的攻擊。這种攻擊是用一個低速的modem連接來進行的。
其中,Mazu网絡公司設計的TrafficMaster Inspector是一种對付DDoS的好工具。通過不停地進行以G為單位的以太网速度的數据檢查,并且盡可能遠的追溯數据來源。簡單的說,Mazu希望能夠實時的探測到网絡攻擊,然后讓正常的數据包通過同時將DDoS數据包阻擋起來。它對网絡的這种保護使得它适合于ISP和數据中心服務器。
對于企業用戶來說,可以通過安裝一些軟件例如防火牆和象Zone Labs 公司的Zone Alarm Pro等,這些都可以起到免受或克制DDoS攻擊的作用。另外,企業用戶也可以尋求Asta 网絡公司的幫助。Asta 网絡公司開發了一种Vantage系統,這种系統可以起到一种類似于反病毒軟件的作用,主要是起到預防的作用,當它發現了可能的攻擊,Vantage系統會提示网絡管理員,然后网絡管理員就能使用路由過濾器甚至在數据流傳送的途中關閉网絡服務器來阻止攻擊。而這個系統是通過分析和尋找可能的DDoS攻擊的在一般攻擊前的特點,它不停地將网絡上數据包和已知的DDoS數据包的定式比較,這些定式包括流往域名服務器(DNS)的非標准的數据流,如果當它發現問題的時候,就會提示网絡管理員了。
上面已經說過,DDoS其中的一种破坏方法就是破坏TCP/IP協議。其中最典型的例子就是Ping of Death攻擊啦,這些黑客建造了一個超過了IP標准的最大長度–65535個字節的IP數据包。當這個”浮腫的”數据包到達的時候,,它就使得一個使用脆弱的TCP/IP協議軟件和操作系統的服務器癱瘓。另外一個進行攻擊的例子是Teardrop, 它主要是利用了系統重組IP數据包過程中的漏洞工作的。一個數据包在從互聯网的另一端到你這里的路上也許會被分拆成更小的數据報文。這些數据報中的每一個都擁有最初的IP數据報的報頭,同時還擁有一個偏移字節來標示它擁有原始數据報中的哪些字節。通過這些信息,一個被正常分割的數据報文能夠在它的目的地被重新組裝起來,并且网絡也能夠正常運轉而不被中斷。當一次Teardrop攻擊開始時,你的服務器將受到擁有重疊的偏移字段的IP數据包的轟炸。如果你的服務器或是路由器不能丟棄這些數据包而且如果企圖重組它們,你的服務器就會很快癱瘓。如果你的系統被及時更新了,或者你擁有一個可以阻擋Teardrop數据包的防火牆,你應該不會有什么麻煩。
另外還有就是利用TCP/IP協議本身的漏洞來進行攻擊的手段,這些手段也不少,其中最流行的SYN攻擊。SYN工作的原理就是利用兩個互聯网程序間協議握手的過程進行的攻擊。協議握手的過程如下,其中一個應用程序向另一個程序發送一個TCP SYN(同步)數据包。然后目標程序向第一個程序發送一個TCP-ACK應答數据包作為回答;第一個程序最后用一個ACK應答數据包确認已經收到。一旦這兩個程序握手成功,它們就准備一起運行了。 SYN攻擊用一堆TCP SYN數据包來淹沒它的受害者。每個SYN數据包迫使目標服務器產生一個SYN-ACK應答數据包然后等待對應的ACK應答。這很快就導致過量的SYN-ACK一個接一個的堆積在緩存隊列里。當緩存隊列滿了以后,系統就會停止應答到來的SYN請求。 如果SYN攻擊中包括了擁有錯誤IP源地址的SYN數据包,情況很快就會變得更糟。在這种情況下,當SYN-ACK被送出的時候,ACK應答就永遠不會被收到。飛快充滿的緩存隊列使得合法程序的SYN請求無法再通過。 更加厲害的是,与之相似的Land攻擊手段使用欺騙性的SYN數据包,它帶有一個偽裝的IP地址,使得它看起來像是來自你自己的网絡。現在,SYN攻擊就像是來自于你防火牆的內部,這使得問題更加嚴重。 大多數時新的操作系統和防火牆可以阻止SYN攻擊。另一個簡單的阻止SYN攻擊的方法是阻塞掉所有帶有已知的錯誤的IP源地址的數据包。這些數据包應該包括帶有錯誤的為內部保留的IP地址的外部數据包。
另外還有Smurf攻擊和用戶數据報文協議沖擊。這兩种攻擊都使用了同一的手段。當你被Smurf攻擊的時候,攻擊者用互聯网控制信息協議(ICMP)的應答數据包–一种特殊的ping數据包來填充你的路由器。這些數据包的目的IP地址同時是你的廣播地址,這使得你的路由器將ICMP數据包廣播到网絡上的每一台主机。不言自明的是,對于一個大型网絡來說,它將引起巨大的网絡信息流量。而且,就像Land攻擊那樣,如果黑客將Smurf攻擊和欺騙手段結合起來,破坏力就更大。 免Smurf攻擊的一种簡單的方法就是在路由器中禁用廣播地址并且設置你的防火牆來過濾ICMP應答協議。你也可以設置你的服務器來使得它不對發送ICMP數据包到IP廣播地址的要求做出響應。這些設置不會影響到你的网絡的正常工作因為很少有應用程序使用IP協議的廣播功能。
不過要對付采用UDP沖擊方法的DoS攻擊就不那么容易了,因為一些合法的應用程序,比方說RealVideo,也使用UDP協議。在一次UDP沖擊中,攻擊者偽造出一個請求,將一個系統的UDP開啟測試服務程序与另一個系統的UDP應答程序連在一起。UDP開啟測試服務程序是一個用于測試的從收到的數据包產生字符的程序。結果是,由UDP開啟測試服務程序偽隨机產生的字符在兩個系統間不停的被反射,使得合法應用程序的帶寬要求得不到滿足。
一种阻止UDP攻擊的方法是禁用或者過濾對主机的所有UDP服務要求。只要你允許非服務請求的UDP請求通過,使用UDP協議的或是把UDP協議當作備用數据傳輸協議的通常的應用程序將繼續正常工作。 使用這些防御的方法,你可能認為應付DoS攻擊就像應付一根火腿腸一樣容易。你錯了。因為發動DDoS攻擊是如此的容易,任何心怀不軌的人都能組織起几十台甚至上百台計算机來對你的系統發動DoS攻擊。 單是巨大的參与攻擊的計算机的數量就能沖垮你的堡壘并將你的网絡塞滿垃圾信息。使用Tribe Force Network(TFN),Trin00或是Stacheldraht這樣的工具,任何人都可以將DDoS的攻擊”僵尸”植入一些毫無防范的系統中。然后,攻擊者發送攻擊目標的信息以及攻擊的指令。DDoS瞬間即至。 這些在1997年到1999年被發明的攻擊方法是容易被察覺的。但是,新一點的DDoS卻使用”脈動僵尸。”這种攻擊手段并不使用野蠻的攻擊,而是發送一波一波的小帶寬的數据,這樣,它們就能繞過那些為密集進攻而設置的网絡警報器。
DDoS攻擊只可能增加。隨著互聯网的擴大,更多的用戶將獲得對网絡的寬帶接入,這給了黑客們更多的可以利用的系統。 火上澆油的是,微軟將它的Windows XP操作系統定位為下一代的面向大多數消費者的操作系統,Windows XP將使用”原始的”TCP/IP套接字。通常,程序員們在編寫程序時使用与其功能相關的套接字–套接字是一种將應用程序与TCP/IP相連的軟件對象。
TCP/IP協議同時定義了一种SOCK_ROW的套接字類型。并不是所有的操作系統支持這种套接字,但是Unix和Windows XP支持。使用原始套接字,一個程序員可以編寫代碼調用任何TCP/IP套接字。只要對不按TCP/IP標准進行編程很在行,原始套接字就能讓程序員編寫非法的應用程序,比方說DDoS僵尸,因為它們允許程序員以一种無法預料的方式使用廣泛流行的套接字。例如,你可以使用原始套接字來編寫DDoS攻擊程序,它們使用套接字80–Web超文本傳輸協議選擇的套接字,來獲取它的指令。
雖然Windows 2000,Unix和它的后代,Linux 和BSD操作系統,也支持原始套接字,但這些操作体統是被擁有足夠技術的行家照看著的。這些用戶即使不能使他們的系統以适當地方式運行,他們也懂得如何鎖定這些系統。但是XP卻將由一個剛剛從電腦城里將它買回來的人看管,它遠不太可能被一個專家級的管理員來使用并查找出新的DDoS代理程序。 因為這一點,Gibson 研究團体的Steve Gibson預言說目前DDoS攻擊的爆炸式的增長(据Gibson估計為每星期4,000次)將大幅度增加。從理論上講,這將使互聯网本身因為成百上千的DDoS攻擊而減慢速度。
除了保護你的系統不被DDoS 僵尸和上面所述的方法攻擊,你還應該鼓勵任何使用寬帶互聯网的人安裝一個基本的防火牆。ZDNet的下載站點有一長串的個人防火牆,這些防火牆易于使用并且提供基本的保護功能。 Zone Labs公司的ZoneAlarm就是一种由專家推荐給那些想要了解在他的网絡連接上究竟發生了些什么的初級用戶的軟件。在一位朋友的使用DSL連接的電腦上使用了ZoneAlarm后我們發現了兩個,不是一個,蓄勢待發的DDoS僵尸。我們還注意到每天都有人企圖非法闖入他的系統。如果你擁有寬帶連接,那么安全不僅僅是一個好主意,它是一种必要。
什么樣的防御是足夠的呢?只有時間和經驗才能告訴我們,但是如果現在你不打算保護你不受DDoS的攻擊,你不僅有失去网絡連接的危險,你本身就可能成為网絡安全問題的一部分了。所以,現在開始防備還來得及喔。
(大輝 ChinaByte)
(//www.dajiyuan.com)
相關文章