DoS攻击及其防御
DoS攻击是当今计算机安全中最重要的网络攻击方式之一,2007年电子犯罪调查中显示,在所有受访者当中,49%的受访者曾受到过DoS攻击(受攻击率排名第五)[1]。据不完全统计,世界上每一秒钟就有两起DoS攻击发生。DoS攻击以其巨大的危害威胁着计算机系统安全。为了更好地保证计算机系统安全,任何计算机使用者都需要对DoS攻击的原理和防御有一定的了解。
1. 什么是DoS攻击
DoS攻击的英文Denial of Service Attack,译作“拒绝服务攻击”。DoS攻击通过消耗或破坏目标系统上的网络带宽、系统资源、服务程序等,使得目标系统无法提供正常的网络服务,使得在合法用户端看来远端服务器好像已关闭或网络链接已断开。
如今,一个公司、企业或政府部门往往会提供一些重要的网络服务,如物流公司会在其网站上提供其物资需求、政府部门会通过网络下达一些机密文件等。如果无法正常地提供某些至关重要的服务,所造成的损失将是无法估计的。而且如今DoS攻击的频度也随着计算机应用的普及而变得越来越高,稍稍对计算机技术有一定了解的攻击者都有可能对某知名部门发起攻击。 当您在浏览器的地址栏里键入某个网站的地址的时候,您是
在向这个网站的计算机服务器发送一个浏览网页的请求。计算机服务只能同时处理有限数量的请求,因此如果一个攻击者向服务器发出了超出其负荷量的请求,该服务器便不能再处理您的请求。因此,您是无法进入这个网站,这就是DoS攻击。当您开启游戏客户端想连接到游戏服务器时,您是向游戏服务器提出了连接请求。同样游戏服务器在同一时刻只能提供有限的连接数,因为攻击者在服务器发出了大量的连接请求,使得您的连接请求无法得到及时响应,漫长的时间等待后,却是显示连接服务器已超时。这就也是DoS攻击。 2. DoS攻击的类型
为了深入地了解DoS攻击,我们先了解其分类。根据DoS攻击所针对的对象,大体上分为三类[2]: 针对网络带宽的DoS攻击; 针对系统资源的DoS攻击; 针对应用程序资源的DoS攻击。
其中最为流行的是针对系统资源的DoS攻击,接下来我们将给出这些类型的攻击的详细介绍以及相关实例。 2.1针对网络带宽的DoS攻击
针对网络带宽的DoS攻击,利用某些技术攻击目标系统的网络带宽。我们知道网络带宽是指计算机连接到因特网的能力。对于大部分服务器来说,网络带宽指的是其连接到ISP路由器的链接能力。然而服务器的网络带宽一般会低于ISP路由器之间的网
络带宽。这就存在一种可能情况:当来自ISP路由器的数据流量超出服务器的网络带宽时,势必有一部分数据流量会被丢弃而无法传输到服务器。在正常情况下,常常会出现正常用户超负荷访问的现象,比如同一时刻大量的用户同时访问一个服务器,由于服务器的网络带宽有限,同一时刻只能传输有限的数据流,那么就有一部分正常用户无法访问服务器。但在受DoS攻击的情况下,攻击者会直接地或间接地制造出大量的数据流量发往服务器。如果攻击数据流量远超过合法数据流量,那么大部分合法数据流量将会被丢弃――有效地拒绝了合法用户的服务器访问。也即,攻击数据流量占据了服务器的网络带宽,使得合法用户无法访问服务器,如图1所示。
Ping洪泛攻击是一种典型的针对网络带宽的DoS攻击,它利用某些拥有较高网络带宽的网络产生大量的远超过服务器网络带宽的数据包来充斥整个服务器的网络,从而使得服务器的网络处于超负荷状态。由于网络带宽被这些恶意数据包所占据,正常用户的数据包则无法传输到目标系统上。 2.2针对系统资源的DoS攻击
任何服务都需要一定的系统资源才能够持续的提供下来,其中系统资源包括CPU、内存等等。针对系统资源的DoS攻击利用某些通信协议的先天性bug或者某些服务程序的bug来实施攻击。相比于针对网络带宽的DoS攻击,这类攻击的“性价比”明显更胜一筹,因为这类攻击可以利用少量的数据流量而获得显著
的效果,两者的关系好比是智取和蛮干。要实施这类攻击,往往要求攻击者对服务器上所提供的服务有着非常深刻的理解,只有对整个服务的流程、运作模式、占用资源等非常的熟悉才能从中找出漏洞,并发起有效的攻击。
SYN欺骗攻击是典型的针对系统资源的DoS攻击,利用TCP三次握手协议的漏洞成功地耗尽系统上的TCP连接请求表,使得新来的TCP连接请求得不到系统的响应,从而表现为拒绝服务。攻击者构造出大量的带有虚假源地址的SYN连接请求数据包并发送给服务器。对这些当中的每一个SYN连接请求数据包,服务器都要将连接请求的详细信息记录到TCP连接请求表中,并发送SYN-ACK响应包给请求数据包中的源地址。如果的确存在一个与虚假源地址匹配的主机,那么源地址所对应的主机将会发送一个RST包给目标系统,让目标系统取消这个莫名其妙的连接请求。服务器接收到RST包后会取消这个连接请求并删除TCP连接表中的相关信息。但是,如果源地址所对应的主机死机或者根本就不存在,那么不会有RST数据包发送给服务器。这时,服务器就会不停地重新发送SYN-ACK包到源地址,直到最后超时次数超过限制后(可以认定连接请求已经失败)再删除连接请求表中的相关信息。由于大量的数据包在TCP连接请求表中等待,因此,对于正常的用户则无法向服务器提出TCP连接请求。 2.3针对应用程序资源的DoS攻击
在这类DoS攻击中,攻击者抓住应用程序的不健全性,利用
大量的合法的服务请求来耗尽服务器上应用程序资源,从而使得服务器无法及时、高效地向合法用户提供服务。这类的DoS攻击往往可以通过更新应用程序就可以很好的防御。
例如,假设某Web网站提供数据库查询服务,并且存在一些相当耗时的查询服务。如果攻击者在短时间内向服务器提出大量请求,那么这个网站就一直在为攻击提供无效服务,而对于正常用户的合法服务请求无法及时地响应。 3. DDoS攻击
前面我们讲到的DoS攻击都是简单的基于当个攻击主机的攻击,这种基于单机的DoS攻击有着明显的局限性:受自己网络带宽的影响、受攻击主机性能影响、极易被跟踪、无法攻击大规模的服务器。基于多台攻击主机的DoS攻击,也就是DDoS攻击衍生出来。DDoS攻击是Distribute Denial of Service攻击的简称,译作“分布式拒绝服务攻击”。分布式拒绝服务攻击很好的解决了以上缺点。
在DDoS攻击中,您的计算机可能会充当两种角色之一。第一,僵尸机,僵尸机指的是被攻击者控制的计算机主机,攻击者可以在其僵尸机上安装、运行、删除应用程序。第二,目标系统。 要发动一次DDoS攻击,攻击者首先要控制大量的僵尸机。攻击者通过操作系统上或者某些常用应用程序的一些著名漏洞来获得访问系统的权限,并在上面安装木马程序,这些被入侵的主机系统就是僵尸机。大量的僵尸机组织在一起就形成一个僵尸
DoS攻击及其防御-2019年文档
