网络攻击热点.doc
《网络攻击热点.doc》由会员分享,可在线阅读,更多相关《网络攻击热点.doc(25页珍藏版)》请在冰点文库上搜索。
摘要
分布式拒绝服务(DDoS,DistributedDenialofService)攻击是一种常见的恶意入侵攻击形式,由于其隐蔽性和分布性而难于检测和防御,近年来它给Internet业务带来了不可估量的损失。
研究DDoS攻击的原理、检测及防范方法成为了网络入侵检测领域一个十分重要的问题。
本文主要研究DDoS攻击的基本原理和攻击的一般流程,主流的一些DDoS攻击工具的使用方法及这些工具各自的特点。
最后简单讲述了对于DDoS攻击目前的一些检测和防范措施。
当然,基于条件的限制和本人知识的局限性,本论文还存在许多的不足和需要改进的地方,希望教员的批评指正,本人将在今后的学习实践中进一步的解决和改善。
关键字:
分布式拒绝服务攻击(DDoS)攻击工具
目录
第一章引言 1
1.1研究的背景和意义 1
1.2主要研究内容 1
1.3论文组织 1
第二章DDoS攻击概述 2
2.1DoS和DDoS的定义 2
2.1.1拒绝服务攻击DoS 2
2.1.2分布式拒绝服务攻击DDoS 2
2.2DDoS攻击存在的原因及特点 3
2.2.1DDoS攻击存在的原因 3
2.2.2DDoS特点 3
2.3DDoS攻击原理 3
2.4DDoS攻击的典型过程 4
第三章DDoS攻击常用工具 10
3.1DDoS攻击工具 10
3.1.1常用的黑客程序 10
3.1.2DDOS的攻击方式。
10
3.2DDoS攻击工具实战 11
3.2.1DDoS常用工具软件 11
3.2.2攻击实战演示 13
第四章DDoS攻击的检测与防范 19
4.1DDoS攻击检测 19
4.2DDoS的防范 20
4.2.1DDoS防范的现状 20
4.2.2 抵御DDoS攻击的措施 21
第五章结束语 23
参考文献 23
第一章引言
1.1研究的背景和意义
Internet给全世界的人们带来了无限的生机,真正实现了无国界的全球村。
但是还有很多困绕我们的因素,象IP地址的短缺的大量带宽的损耗的以及政府规章的限制和编程技术的不足。
现在,由于多年来网络系统累积下了无数的漏洞,我们将面临着更大的威胁,网络中潜伏的好事者将会以此作为缺口来对系统进行攻击,我们也不得不为以前的疏忽付出更大的努力。
虽然大多的网络系统产品都标榜着安全的旗号,但就我们现在的网络协议和残缺的技术来看,危险无处不在。
拒绝服务攻击是一种遍布全球的系统漏洞,黑客们正醉心于对它的研究,而无数的网络用户将成为这种攻击的受害者。
TribeFloodNetwork,tfn2k,smurf,targa…还有许多的程序都在被不断的开发出来。
这些程序想瘟疫一样在网络中散布开来,使得我们的村落更为薄弱大部分网络都很容易受到各种类型的黑客攻击。
拒绝服务攻击(DoS)是一个完全不同的攻击方式,你无法阻止黑客对你的网站发动DoS攻击,除非你主动断开互联网连接。
自从1999年下半年以来,DoS攻击事件不断发生,据统计2006年DoS/DDoS攻击次数占到了全年的攻击次数的50%。
DoS攻击目标虽然不会窃取目标系统的资料,但它会造成服务中断,间接产生重要的时间和经济的损失。
在2007年的报告中,DoS攻击接受调查的530家机构带来的经济损失达到上亿美元,仅次于信息窃取。
可见DoS攻击已成为网络安全领域最为严重的问题之一。
DDoS(distributeddenialofserver)是DoS的变种。
它主要借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高DoS攻击的威力。
1.2主要研究内容
本文主要研究DDoS攻击的原理及其主流的一些DDoS攻击工具的使用方法。
1.3论文组织
本文分为五章,第一章主要简述了DDoS攻击研究的背景和意义,重点讲述了在现代网络条件下DDoS对网络的影响及发展趋势。
第二章重点讲述DDoS的概念及原理。
第三章主要重要讲述了DDoS的常用工具及其基本原理。
第四章主要是对目前对DDoS攻击的检测和防范的相关内容。
第五章是对全文的总结。
第二章DDoS攻击概述
2.1DoS和DDoS的定义
2.1.1拒绝服务攻击DoS
DoS即DenialOfService,拒绝服务的缩写。
DoS是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。
这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。
这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。
要知道任何事物都有一个极限,所以总能找到一个方法使请求的值大于该极限值,因此就会故意导致所提供的服务资源匮乏,表面上好象是服务资源无法满足需求。
所以千万不要自认为拥有了足够宽的带宽和足够快的服务器就有了一个不怕DoS攻击的高性能网站,拒绝服务攻击会使所有的资源变得非常渺小。
其实,我们作个形象的比喻来理解DoS。
街头的餐馆是为大众提供餐饮服务,如果一群地痞流氓要DoS餐馆的话,手段会很多,比如霸占着餐桌不结账,堵住餐馆的大门不让路,骚扰餐馆的服务员或厨子不能干活,甚至更恶劣……相应的计算机和网络系统则是为Internet用户提供互联网资源的,如果有黑客要进行DoS攻击的话,可以想象同样有好多手段!
今天最常见的DoS攻击有对计算机网络的带宽攻击和连通性攻击。
带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。
连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
2.1.2分布式拒绝服务攻击DDoS
DDoS(DistributedDenialOfService)把DoS又向前发展了一大步,这种分布式拒绝服务攻击是黑客利用在已经侵入并已控制的不同的高带宽主机(可能是数百,甚至成千上万台)上安装大量的DoS服务程序,它们等待来自中央攻击控制中心的命令,中央攻击控制中心在适时启动全体受控主机的DoS服务进程,让它们对一个特定目标发送尽可能多的网络访问请求,形成一股DoS洪流冲击目标系统,猛烈的DoS攻击同一个网站。
在寡不敌众的力量抗衡下,被攻击的目标网站会很快失去反应而不能及时处理正常的访问甚至系统瘫痪崩溃。
可见DDoS与DoS的最大区别是人多力量大。
DoS是一台机器攻击目标,DDoS是被中央攻击中心控制的很多台机器利用他们的高带宽攻击目标,可更容易地将目标网站攻下。
另外,DDoS攻击方式较为自动化,攻击者可以把他的程序安装到网络中的多台机器上,所采用的这种攻击方式很难被攻击对象察觉,直到攻击者发下统一的攻击命令,这些机器才同时发起进攻。
可以说DDoS攻击是由黑客集中控制发动的一组DoS攻击的集合,现在这种方式被认为是最有效的攻击形式,并且非常难以抵挡。
2.2DDoS攻击存在的原因及特点
2.2.1DDoS攻击存在的原因
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。
单一的DOS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等各项性能指标不高时,它的效果是明显的。
随着计算机及网络技术的发展,计算机的处理能力迅速增长,网络带宽也从百兆发展到了千兆、万兆,DoS攻击很难奏效。
DDoS攻击是DoS攻击的一种演变,它改变了传统的一对一的攻击方式,利用网络调动大量傀儡机,同时向目标主机发起攻击,攻击效果极为明显。
这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。
DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。
在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。
而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
2.2.2DDoS特点
DDoS攻击作为一种特殊的DoS攻击方式,相对于传统的拒绝服务攻击有自己很多的特点:
首先,分布式拒绝服务的攻击效果更加明显。
使用分布式拒绝服务,可以从多个傀儡主机同时向攻击目标发送攻击数据,可以在很短的时间内发送大量的数据包,使攻击目标的系统无法提供正常的服务。
另外,由于采用了多层客户机/服务器模式,减少了由攻击者下达攻击命令时可能存在的拥塞,也增加了攻击的紧凑性。
即使攻击目标探测到攻击,也可能来不及采取有效措施来应对攻击。
其次,分布式拒绝服务攻击更加难以防范。
因为分布式拒绝服务的攻击数据流来自很多个源且攻击工具多使用随机IP技术,增加了与合法访问数据流的相似性,这使得对攻击更加难以判断和防范。
最后,分布式拒绝服务对于攻击者来说更加安全。
由于采用了多层客户机/服务器模式,增大了回溯查找攻击者的难度,从而可以更加有效地保护攻击者。
另外,采用多层客户机/服务器模式,使得下达攻击指令的数据流更加分散,不容易被监控系统察觉,从而暴露攻击者的位置与意图。
2.3DDoS攻击原理
DDoS主要采用了比较特殊的3层客户机/服务器结构,即攻击端、主控端和代理端,这3者在攻击中各自扮演着不同的角色。
攻击者:
攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。
攻击者操纵整个攻击过程,它向主控端发送攻击命令。
主控端:
主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机。
主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。
代理端:
代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令。
代理端主机是攻击的执行者,真正向受害者主机发送攻击。
攻击者发起DDoS攻击的第一步,就是寻找在Internet上有漏洞的主机,进入系统后在其上面安装后门程序,攻击者入侵的主机越多,他的攻击队伍就越壮大。
第二步在入侵主机上安装攻击程序,其中一部分主机充当攻击的主控端,一部分主机充当攻击的代理端。
最后各部分主机各司其职,在攻击者的调遣下对攻击对象发起攻击。
这种3层客户机/服务器结构,使DDoS具有更强的攻击能力,并且能较好地隐藏攻击者的真实地址。
下图为DDoS的攻击原理。
DDoS攻击一旦实施,攻击数据包就会像洪水般地从四面八方涌向被攻击主机,从而把合法用户的连接请求淹没掉,导致合法用户长时间无法使用网络资源。
2.4DDoS攻击的典型过程
DDoS攻击和大多网络入侵过程差不多,可分为3个阶段,即信息收集,占领傀儡计算机和实施攻击。
1.信息收集
(1)whois命令
whois为Internet提供目录服务,包括名字、通信地址、电话号码、电子邮箱、IP地址等信息。
其采用的是Client/Server结构,由Client端发出请求,接收结果,并按格式显示到客户屏幕上,而Server端则建立数据库,接受注册请求并提供在线查询服务。
通常UNIX系统自带whois客户程序,也可以直接通过Web查询。
在Unix/Linux平台上使用whois的语法如下:
whois–h<whois服务器><查询对象>
例如,向查询时,采用如下命令:
$whois-h
(2)nslookup命令
nslookup也是获取信息的重要工具,它可以进行DNS查询,用于查询DNS中的各种数据。
在Windows的命令行下直接运行nslookup进入一个交互模式,即可查询各种类型的DNS数据,如图2.5所示。
图2.5 nslookup查询
DNS的名字解析数据可以有各种不同的类型,有设置区域参数的SOA类型数据,有设置名字对应的IP地址的A类型数据,有设置邮件交换的MX类型数据。
这些不同类型的数据均可以通过nslookup的交互模式来查询,在查询过程中可以使用“settype”命令设置相应的查询类型。
(3)网上的公开信息
图2.6 某大学网络拓扑结构图
有些组织机构的网站上会提供一些令人感兴趣的信息,包括机构所在位置、与其关系紧密的公司或实体、电话号码、联系人姓名和电子邮件地址、指示所用安全机制的类型或安全策略、与其相关联的Web服务器链接等,有的甚至会在网站上给出机构的网络拓扑结构图,如图2.6所示即是某大学网络中心在其网页上提供的该大学网络拓扑结构图,从该图上能够看到其网络结构信息,包括带宽。
有的甚至会在网络拓扑图上标明防火墙、路由器等网络设备的品牌与型号!
这些对攻击者来说都是很有用的。
此外,新闻报道也可能泄露很多机密信息,例如:
某某公司采用某某系统或者某某公司购买了某某系统/设备用于某某业务等。
(4)搜索引擎
利用搜索引擎是一个获得组织机构内部网络额外信息的绝好的方法。
如果没有使用搜索引擎查过此类信息,只需搜索你自己的组织机构的域名,你会为你查到的从组织机构连上Internet开始逐渐增加的大量的信息而感到惊讶。
这些信息可能包括:
邮件信息、新闻组帖子以及组织机构的Web网页(如果这些网页可以从外面访问)等。
有时候,搜索的结果中还可能包括一些已经删除的网页信息,因为搜索引擎存有网页的缓存,即使一些网页已经更换或者删除,在短时间内,还可以从搜索引擎的缓存中看到网页修改前的信息。
这些信息对于攻击者来说有时候也是很有用的。
使用搜索引擎,甚至可以获得一些非常敏感的信息,如Web服务器的目录结构、计算机中的缓存信息、个人信用卡和银行账号与口令、企业网用户名和口令,以及一些要害部门的内部信息等。
2.网络刺探
(1)traceroute命令
图2.7 tracerout的输出结果窗口
traceroute命令用于追溯由一个主机到另一个主机的网络路径。
这在需要记录两个主机之间的网段时是很有用的。
traceroute通过修改ICMP或UDP(根据版本不同而异)数据包的TTL选项,从而获得到目的地的路途中每一跳或每一个路由器产生的ICMP超时(ICMP_TIME_EXCEEDED)消息。
在默认的情况下,到一个指定目的地的途中的路由器会检查收到的数据包的IP头中的TTL值,并将其减1。
TTL减1以后如果得到的是0,则路由器会丢弃此数据包并向该数据包的发出端发送一个ICMP超时消息,否则就转发此数据包到下一个路由器。
利用这种机制,可以确保数据包在网络中只能传输有限的跳数。
traceroute先发送数个(通常为3个)TTL设置为1的数据包,看收到的ICMP超时消息是由哪个路由器发出的,则该路由器就是到目的地方向,离发出点1跳的距离。
接着,traceroute发送TTL设置为2、3、…的数据包,并得到相应距离处的路由器发出的ICMP超时消息或者目的地的回应消息(如果目的地到发出端的距离正好是数据包中的TTL初始值)。
如图2.7所示(traceroute在Windows系统下的命令是tracert以满足文件名不超过8个字符的限制)为traceroute的输出结果窗口。
从图3.7中可以看出,利用tracerout可以列出从源端到目的地的整个途中的所有路由器IP地址。
图中的第一列是以跳数(hop)表示的距离,最后一列则是从源端到目的地方向上距离为第一列所示数据的路由器IP地址,中间的3列分别表示的是3个数据包到达最后一列所指示路由器所花费的时间,“*”表示超时。
(2)网络扫描
网络扫描按扫描目标的不同可以分为主机扫描和端口扫描。
主机扫描用于确定在目标网络上的主机是否可达,在对一个网络进行主机扫描时还要尽可能多地映射目标网络的拓扑结构,一般利用较多的是ICMP数据包。
端口扫描主要用于发现远程主机开放的端口或服务。
按照利用协议不同,可以分为ICMP扫描、TCP扫描和UDP扫描等。
ICMP扫描主要用于主机扫描,而TCP扫描和UDP扫描主要用于获得系统提供的服务信息,即端口扫描。
①ICMP扫描
ICMP扫描一般采用ICMPEcho消息,Ping即是发送此类消息测试网络的工具。
通过Ping发送ICMPEcho消息到目标主机,等待EchoReply消息,可以确定网络和外部主机的状态,因此Ping可以用来调试网络的软件和硬件。
用Ping进行扫描就是利用了其测试功能。
当要测试一个主机是否活动时,可以在Ping命令后加上主机IP地址或域名作为参数。
当要扫描一组主机(或IP地址),如一个网段时,可逐个地Ping这些主机。
这称为Ping扫射(PingSweep)
②TCP扫描
TCP扫描有多种方式,例如,利用TCP-SYN、TCP-FIN等。
a.TCP连接扫描。
通过向目标系统发起一个正常的TCP连接,如果端口是打开的,则连接成功,否则,连接失败。
这种方法的优点是简单且不需要特殊的权限;其缺点则是服务器可以记录下客户端的连接行为,如果同一个客户轮流对每一个端口发起连接,则可以判断其是在扫描,这对攻击者隐藏身份是不利的。
b.TCP-FIN扫描。
TCP-FIN扫描原理是向目标主机发送一个FIN数据包,如果端口是关闭的,则远程主机丢弃该包,并送回一个RST包;否则,远程主机丢弃该包,不回送任何信息。
这种方法的优点是它不是TCP建立连接的过程,所以比较隐蔽。
缺点与TCP半开连接扫描类似,也需要构造专门的数据包。
c.TCPPing扫描。
TCPPing扫描也称为TCP-SYN扫描,前者是根据其类似于ICMP的Ping消息的作用而得名,后者是根据其使用的是TCP-SYN消息而得名。
由于很多组织机构已经禁止来自于公网,如Internet的Ping(ICMPEchoRequest)消息,未收到Ping的回应消息不足以说明主机系统不能访问。
攻击者可以通过向潜在目标的一些常用的TCP、UDP端口(如TCP/80、UDP/TCP/53等)发送连接请求以强化其Ping活动。
TCPPing扫描的原理是通过向目标主机的指定端口发送一个SYN包,根据应答结果判断目标信息。
如果应答包为RST包,则说明该端口是关闭的;否则,会收到一个SYN/ACK包。
于是,发送一个RST,停止建立连接,如图2.8所示。
由于针对主机监听端口的TCP消息比ICMP消息更容易通过防火墙,因此,在ICMP消息受到禁止的情况下可以采用TCP-SYN消息达到目的;同时由于连接没有完全建立,所以这种扫描方式也称为“半开连接扫描”,其优点是很少有系统会记录这样的行为,攻击者可以借此隐藏自己。
缺点是在UNIX平台上,需要Root权限才可以建立这样的SYN数据包。
图2.8 TCPPing扫描
采用端口扫描或Ping扫射(PingSweep)工具如Nmap、HPing、Nessus等,可以自动完成TCPPing功能,此即TCPPing扫描。
d.TCP逆向Ident扫描。
安全专家DaveGoldsmith于1996在Bugtraq的一个帖子上指出,Ident协议(RFC1413)会泄露通过TCP连接进程的所有者的用户名,即使该连接不是由此进程发起的。
因此,攻击者可以连接到HTTP的端口,用Ident守护进程查明服务器是否由Root用户启动。
③UDP扫描
UDP扫描原理是,利用UDP协议,发送UDP数据包到目标端口,看是否有回应包。
由于UDP协议是无连接的,数据接收方不需要对收到的数据进行响应,如果目标UDP端口是开放的,并不需要送回ACK包,而关闭的端口也不要求送回错误包,因此,利用UDP包进行扫描非常困难。
只是有些协议栈实现的时候,对于关闭的UDP端口,会送回一个ICMP的端口不可达消息。
因此,可以根据端口不可达消息确定那些关闭的UDP端口,而对于没有收到端口不可达消息的,则可能是开放的端口。
端口不可达消息一般要有根用户权限才能读取。
Linux却可以以间接的方式“通知”非根用户端口不可达消息的到达,例如,当用户第二次向一个关闭的(远程)端口进行write()调用时,系统会返回一个失败信息。
很多的扫描器如Netcat、Pscan.c都可以进行这种扫描。
通过这种write()调用,Linux的非根用户就可以确定远程端口是否处于开放状态。
UDP扫描的缺点是速度慢,而且是否收到UDP包或ICMP包都不是可靠的。
(3)漏洞扫描
通过主机扫描和端口扫描以后,攻击者获得了活动主机及其开放端口(服务)的信息,接下来攻击者就希望获得受害者主机是否存在可以利用的漏洞的信息。
由于已发现的可以让攻击者远程控制一台主机的漏洞千千万万,攻击者可以把与这些漏洞相关的攻击手法在受害者主机上一个个地进行测试,但是,这会耗费攻击者很多的时间,也许是数年的时间。
为了加快这一过程,攻击者可以通过一个自动化地漏洞扫描工具测试受害者主机可能具有的漏洞,然后有针对性地攻击。
自动化的漏洞扫描工具本质上是一个常见漏洞的数据库和一个可以阅读此数据库,连接到目标计算机,测试目标主机是否存在此漏洞的引擎。
这种工具的有效性在于其测试的质量以及其漏洞库的完善程度。
因此,好的漏洞扫描工具都会及时提供漏洞库的升级以及编制新的脚本以提供新漏洞的检测。
SATAN(SecurityAdministratorToolforAnalyzingNetwork),一个免费软件,是最早广泛使用的自动漏洞扫描器,出现于1995。
后来出现了著名的开放源码的漏洞扫描器Nessus。
Nessus是一个通用漏洞扫描器,它可以扫描多种系统和平台的漏洞。
另外,也存在一些针对特定系统的漏洞扫描器,如Whisker就是专门扫描Web服务器的CGI脚本漏洞的。
3.占领傀儡机和控制台
在DDoS攻击中,攻击者可以通过自己的机器直接对目标发起攻击,这样攻击者可能会冒着被发现的风险。
通常,为了掩蔽自己不被发现,攻击者需要占领一些傀儡机,用来实施攻击。
另外,为了达到需要的攻击力度,单靠一台或数台机器对一个大型系统的攻击是不够的,因此攻击者也需要大量的傀儡机器用于增强攻击的“火力”。
这些傀儡机器最好具有良好的性能和充足的资源,如强的计算能力、大的带宽等,这样攻击者会获得较大的攻击力。
当然,如果这些机器的管理水平、安全程度低,则更是攻击者的最佳选择,因为这样的机器更容易被攻击者攻破。
比如一些宽带家庭用户的系统就具有高带宽、低安全的特性,而且,由于这些用户一般都是按月或按年度固定地付费的,因此,他们的计算机一般会长时间连在网上,这些都是最受攻击者青睐的。
并且,攻击者还需要向傀儡机发送命令的控制台,因此攻击者还需利用某些被其攻破的机器或者其拥有访问权限的机器作为控制台。
攻击者占领傀儡机的方法有很多种。
早期的占领方法一般是先通过扫描,得到一些容易攻破的机器,然后采用一些较为简单的方法予以攻破。
攻击者也可以通过后门程序,以邮件、网站上的恶意链接等方式,引诱受害者运行后门程序,从而达到控制受害者机器的目的。
目前,获得大量傀儡机的方法主要是通过携带后门程序的蠕虫,如后面将会介绍的Agobot等,随着蠕虫的传播,后门程序也安装到了受蠕虫感染的主机上。
由于系统中运行的软件越来越多,必然的,整个系统的漏洞也越来越多;软件的漏洞使得恶意程序如蠕虫可以自动地攻破大量的主机,然后提供给攻击者作为傀儡机(攻击主机)使用。
攻击者“手工”
升级会员 