DDOS的中文名是分布式拒絕服務攻擊,俗稱洪水攻擊。
DDoS攻擊概念
DoS攻擊有很多種。最基本的DoS攻擊就是利用合理的服務請求占用過多的服務資源,使合法用戶得不到服務響應。
DDoS攻擊手段是壹種基於傳統DoS攻擊的攻擊方法。單壹的DoS攻擊壹般是壹對壹的,在目標CPU速度低、內存小或者網絡帶寬小的情況下效果明顯。隨著計算機和網絡技術的發展,計算機的處理能力迅速增加,內存也大大增加。同時,千兆網絡的出現,使得攻擊DoS更加困難——目標對惡意攻擊包的“消化能力”加強了很多。比如妳的攻擊軟件每秒可以發送3000個攻擊包,但是我的主機和網絡帶寬每秒可以處理10000個攻擊包,這就使得攻擊。
這時,分布式拒絕服務攻擊(DDoS)應運而生。如果妳了解DoS攻擊,它的原理很簡單。如果計算機和網絡的處理能力提高10倍,用壹架攻擊機攻擊已經不行了,那麽攻擊者用10架攻擊機同時攻擊怎麽辦?100呢?DDoS就是用更多的傀儡飛機發動攻擊,比以前更大規模的攻擊受害者。
高速、廣泛連接的網絡在給大家帶來便利的同時,也為DDoS攻擊創造了極其有利的條件。在低速網絡時代,黑客占領用於攻擊的傀儡機時,總是優先選擇靠近目標網絡的機器,因為通過路由器的跳數少,效果好。目前,電信骨幹節點之間的連接都是G級的,大城市之間的連接甚至可以達到2.5G,這使得攻擊可以從更遠的地方或其他城市發起,攻擊者傀儡機的位置可以分布在更大的範圍內,選擇更加靈活。
被DDoS攻擊時的現象
受攻擊的主機上有許多TCP連接在等待。
網絡上充斥著帶有虛假源地址的無用數據包。
創建高流量無用數據,造成網絡擁塞,使受害主機無法正常與外界通信。
利用受害主機提供的服務或傳輸協議中的缺陷,受害主機高速重復發出特定的服務請求,使得受害主機無法及時處理所有正常請求。
嚴重的話,系統會崩潰。
攻擊操作原理
/security/se-DDOS/fig 1 . gif點擊查看圖片1。
如圖1所示,壹個比較完善的DDoS攻擊系統分為四個部分。我們來看看最重要的部分2和3:分別用於控制和實際攻擊。請註意控制機和攻擊機的區別。對於第4部中的受害者,DDoS的實際攻擊包是從第3部中的攻擊傀儡機發出的,第2部中的控制機只是發出命令,並不參與實際攻擊。對於電腦的第二部分和第三部分,黑客擁有控制權或部分控制權,並將相應的DDoS程序上傳到這些平臺。這些程序像正常程序壹樣運行,等待黑客的指令。通常,他們會使用各種手段來隱藏自己。在平時,這些傀儡機並沒有什麽異常,但是壹旦黑客連接到它們身上進行控制並發出指令,攻擊傀儡機就會成為發動攻擊的肇事者。
可能有朋友會問:“為什麽黑客不直接控制攻擊傀儡機,而是從控制傀儡機轉過去?”。這也是DDoS攻擊難以追蹤的原因之壹。作為攻擊者,我當然不希望被抓(我小時候向別人雞舍扔石頭的時候也知道自己會第壹時間逃跑,呵呵),攻擊者使用的傀儡機越多,實際上提供給受害者的分析依據就越多。高等級攻擊者占領壹臺機器後,會先做兩件事:1。考慮怎麽走後門(我壹會回來)!2.如何清理日誌?這是為了抹掉腳印,不讓別人發現妳的所作所為。不那麽敬業的黑客會把日誌全部刪除,但這種情況下,站長發現日誌沒了就知道有人做了壞事,最多從日誌裏查不出是誰幹的。相反,真正的專家會刪除關於自己的日誌項,讓人看不到異常情況。這樣可以長時間利用傀儡機。
但是第三部清理攻擊傀儡機上的日誌是壹個龐大的工程。即使有壹個好的日誌清理工具的幫助,黑客也很頭疼這個任務。這導致了壹些攻擊機不是很幹凈,通過它的線索,找到了控制它的上級計算機。如果這臺上級電腦是黑客自己的機器,那麽他就會被查出來。但如果這是壹個控制的傀儡機,黑客本人還是安全的。控制傀儡機的數量相對較少。壹般壹個人可以控制幾十架攻擊飛機,黑客清理壹臺電腦的日誌就容易多了,大大降低了從控制機中發現黑客的可能性。
黑客如何組織DDoS攻擊?
這裏用“組織”這個詞,是因為DDoS不是入侵壹個主機那麽簡單。壹般來說,黑客在實施DDoS攻擊時會經歷以下步驟:
1.收集目標的信息。
黑客非常關註以下信息:
被攻擊的目標主機的數量和地址。
目標主機的配置和性能
目標帶寬
例如,對於DDoS攻擊者來說,為了攻擊互聯網上的站點,確定有多少主機支持該站點是很重要的。壹個大型網站可能有許多主機通過使用負載均衡技術來提供同壹網站的www服務。以雅虎為例。通常,以下地址提供服務:
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86
如果要攻擊DDoS,應該攻擊哪個地址?使機器66.218.71.87崩潰,但其他主機仍然可以提供www服務,所以如果妳想讓其他人訪問它,妳就得把這些IP地址的機器全部崩潰。在實際應用中,壹個IP地址往往代表幾臺機器:網站維護人員使用四層或七層交換機來平衡負載,通過特定算法將對壹個IP地址的訪問分配給各個從屬主機。此時,對於DDoS攻擊者來說,情況更加復雜。他面臨的任務可能是讓幾十臺主機的服務變得不正常。
所以對於DDoS攻擊者來說,提前收集情報是非常重要的,關系到可以使用多少傀儡機來達到效果。簡單考慮壹下,在同等條件下,如果需要兩臺傀儡機攻擊同壹個站點的兩臺主機,可能需要五臺以上傀儡機攻擊五臺主機。有人說妳要攻擊的傀儡機越多越好。不管妳有多少主機,我都會用盡可能多的傀儡機來攻擊。反正傀儡機結束了更有效。
但是在實際過程中,有很多黑客不收集情報直接攻擊DDoS。這時候進攻的盲目性就大了,效果就看運氣了。其實做黑客和做站長壹樣,是不能偷懶的。做得好壞,態度最重要,水平其次。
2.占領傀儡機
黑客對以下情況的主機最感興趣:
鏈路狀態良好的主機
性能良好的主機
安全管理水平差的主機
這部分其實用到了另壹種攻擊手段:使用形態攻擊。這是與DDoS並行的攻擊。簡單來說就是占領和控制被攻擊的主機。獲得最高管理權限,或者至少獲得壹個有權限完成DDoS攻擊任務的帳號。準備壹定數量的傀儡機是DDoS攻擊者的必要條件。我們來說說他是如何進攻和占領他們的。
首先,黑客通常做的就是掃描,隨機或者有針對性的使用掃描器,尋找網上那些有漏洞的機器,比如程序溢出漏洞,cgi,Unicode,ftp,數據庫漏洞等。(不勝枚舉),都是黑客希望看到的掃描結果。然後我試圖入侵,這裏就不說具體手段了。有興趣的話,網上有很多關於這些內容的文章。
反正黑客現在已經占領了壹個傀儡機!那他做什麽?除了上面提到的基礎工作,他還會上傳用於DDoS攻擊的程序,通常使用ftp。在攻擊者身上,會有壹個DDoS簽約程序,黑客利用這個程序向受害者發送惡意攻擊包。
3.實際攻擊
經過前兩個階段的精心準備,黑客們開始瞄準目標,準備發射。如果前期準備工作做得好,實際攻擊過程相對簡單。如圖,黑客以控制臺的身份登錄傀儡機,向所有攻擊機發出命令:“準備~,瞄準~,開火!”" .此時,埋伏在攻擊飛機中的DDoS攻擊程序會響應控制臺的命令,向受害主機高速發送大量數據包,導致其崩潰或無法響應正常請求。黑客壹般會以遠超受害方處理能力的速度攻擊,不會“惜玉”。
在攻擊的同時,老練的攻擊者也會使用各種手段來監控攻擊的效果,並在必要的時候做出壹些調整。簡單來說就是打開壹個窗口不斷ping目標主機,在可以收到響應的時候增加壹些流量或者多點傀儡機加入攻擊。