资源描述:
《ddos攻击原理与防范方法》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、DDoS攻击原理与防范方法第35卷(2oo7)第5期计算机与数字工程ll3DDoS攻击原理与防范方法周立兵柳景超(海军工程大学信息安全系武汉430033)摘要分布式拒绝服务攻击是目前Internet所面临的最严峻的威胁之一.给出分布式拒绝服务攻击的原理和常用攻击方法,介绍了与其与网络病毒,漏洞和端口反弹技术相互融合的情况.分析了检测分布式拒绝服务攻击的方法,并从多个角度给出了防范措施.关键词分布式拒绝服务攻击攻击原理融合检测防范中图分类号TN918.91DoS(拒绝服务攻击)主要应用了TCP/I
2、P协议的本身漏洞和不足,通过大量消耗受攻击者的资源,导致网络或系统超出负荷而不能提供正常的服务.DDoS是一种基于DoS的分布,协作的大规模攻击方式,同DoS一次只能运行一种攻击方式攻击一个目标不同,DDoS可以同时运用多种Do攻击方式,也可以同时攻击多个目标J.统计表明,近年来DDos攻击的数量一直呈快速增长趋势J.1DDoS攻击原理与常用方法1.1DDoS攻击原理DDoS攻击一般是通过大量被攻击者控制的机器向目标主机或网络发送大量的数据包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务.DD
3、oS攻击一般采用一种三层C/S结构.其结构图如图1所示.图1DDoS攻击层次攻击主控机是攻击者本人直接控制的主机,用于操纵整个攻击过程.攻击操纵机是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机.攻击操纵机上安装并在后台运行了特定的程序,这些程序的作用是接受攻击者发来的特殊指令,并且把这些命令发送到攻击代理机上.攻击代理机则是攻击行动的直接执行者,其中被植入了攻击程序,一旦接收到攻击服务器发来的攻击指令,就开始向目标主机发起攻击.采用这种结构即可以隔离网络联系,保护攻击者,使其
4、不会在攻击进行时受到监控系统的跟踪;又可以更好地协调进攻,以达到最大的破坏效果.1.2常用攻击方法常见的DoS工具有Trinoo,TFN,TFN2K,Stacheldraht,Shaft等软件.一般来说,可以将它们分为以下几类.1.2.1非对称攻击此类攻击对攻击者的运算能力及带宽没有要求,一个带modem的Pc机就可以攻破具有高带宽的大型系统.以下是几个典型的非对称攻击.?碎片攻击:利用操作系统处理IP分片的漏洞,向受害者发送偏移地址重叠的UDP包,使目标机器在分片重组时出现异常错误.?Land
5、攻击:向受害者发送源IP地址和目的IP地址相同的TCPSYN包,导致目标系统挂起或重启.?Pingofdeath:向受害者发送超长的ping包,导致目标系统异常.?震荡攻击:最常见的是Echo—chargen攻击,利用运行chargen服务和echo服务的UDP之收到本文时间:2006年6月22日作者简介:周立兵,男,硕士研究生,主要研究方向:信息安全,软件质量保障技术.柳景超,女,硕士研究生,主要研究方向:入侵检测,信息安全.114周立兵等:DDoS攻击原理与防范方法第35卷问的相互回应来阻塞
6、网络.1.2.2风暴攻击此类攻击是最主要的,发生最多的拒绝服务攻击.PING风暴攻击,SYN风暴攻击,TCP连接耗尽攻击,UDP风暴攻击都是非常熟悉的攻击方式,此外还有针对邮件系统的风暴攻击,如邮箱炸弹和垃圾邮件.1.2.3DDoS的新发展随着Dos技术的发展,它有和其它攻击技术相互融合的趋势.?融合网络病毒和漏洞:DDoS攻击者开始应用新的网络病毒程序进行入侵和控制网络主机,一旦一台主机被入侵并变被控制,该主机会自动攻击网络上的其它主机.通过病毒的自动快速传播和复制,黑客可以短时问内迅速控制大
7、量的被控主机,从而增加了攻击的力度和隐蔽性.另一方面DDoS攻击者们也不断利用新发现的系统漏洞,在大部分网络管理者没有意识到该漏洞之前就发起攻击.?融合端口反弹技术:端口反弹技术是近年来新兴的一种渗透技术,它可以绕过网关型防火墙,对局域网内的机器进行操作.DDoS和端口反弹技术可以融合成一种破坏力更大的攻击方式一分布式端口反弹攻击,此类攻击既保留了DDoS的大范围,高强度的特点,又能够顺利绕过防火墙,克服了传统DDoS攻击软件的缺点J.2DDoS检测方法同面对其它的攻击方式一样,及早地检测出DD
8、oS对于保障网络安全是十分必要的.2.1检测非对称攻击由于其传送的数据包是畸形的,有着不同于其它数据包的明显特征,只须用防火墙检测这些数据包就可以了..2.2检测风暴型攻击而对于风暴型攻击,其数据包和正常的数据包没有什么差别,只有通过统计分析和发现明显的异常现象才能凑效.?ThomerM.Gil认为在正常情况下,通信双方的数据流量应该是基本平衡的,如果出现明显的流量不均衡,则可以认为发出数据包较小的一方收到了DDoS攻击.?StevenJ.Templeton等人则提出了一组检测伪造数据包的方法.