Evo. G Tech Team Forum
Welcome to Evo. G Tech Team Forum. We have moved to a new website : www.evogtechteam.com

Thanks you.

by Evo. G Tech Team Management.

DDoS攻击 ,防御以及介绍

View previous topic View next topic Go down

DDoS攻击 ,防御以及介绍

Post by cyjian on December 12th 2014, 10:25

随着黑客们隐藏自己的手段愈发高明、攻击招式更为凶狠,各行各业的安全领导者们需要尽快做好准备。

如果向全国各大主要银行的CSO们询问近几个月来所遭遇过的分布式拒绝服务攻击(简称DDoS),他们一定会三缄其口。没错,保持沉默正是安全人士的首选态度。

安全高管们从不愿意谈论这些攻击活动,因为他们不希望自己的言论使企业受到更多关注。他们甚至担心光是提供防御策略的基本信息就足以吸引攻击者前来并找到安全漏洞。

很多企业在初次受到攻击时就已经发现端倪,而安全管理者也需要针对恶意攻击是否还将卷土重来给出答案。因此尽管CSO们不愿多谈,但我们仍然希望能了解他 们的处理态度。为了避免意外的麻烦,我们以不具名的形式转述几位CSO在工作中所亲历的情况,并探讨原先一直奏效的安全策略为何最终折戟沉沙。

DDoS 攻击在过去几年中的凶猛程度可谓史无前例,黑客行动主义者们清楚,金融服务网站一旦停机意味着每分钟都将造成数百万美元的业务损失。曾针对美国银行、第一 资本金融公司、大通银行、花旗银行、PNC银行以及富国银行的攻击可谓冷酷无情而又精妙复杂,使得众多安全高管甚至畏惧到不敢对细节进行深入讨论。

这些DDoS攻击活动已经成为非常敏感的话题,我们现在无法进行公开讨论,某家太平洋西北部地区中型银行的CISO如是说。

企业通信部门目前禁止我们与媒体探讨具体情况,高调声张可能会导致公司成为更多攻击者的关注目标,某位美国东南部金融服务企业的安全负责人表示。

管二次世界大战的宣传海报曾经道出言多必失这一真理,但知识就是力量同样是不容置疑的箴言,在现代业务技术系统的保护方面更是如此。毫无疑问,作 为一位新兴银行组织的首席信息安全官,在遭遇首**击后选择避而不谈绝对有失水准。面对安全威胁,大家需要的是畅通的信息、新型攻击资料以及防御体系发展 趋势,而这一切都需要良好的交流环境。

有人认为,监管部门、公共部门以及金融机构之间长期以来的紧张关系至少应该为网络安全事故承担一部分责任,因为企业正是由于这种矛盾而往往选择大事化小、小事化了。

动协作与信息共享进程的最佳途径在于确保机构之间能够顺利交流关于成功与失败的任何信息,同时不会引发后续风波。如果一家机构在提交了攻击活动报告后,监 管部门反倒第一个跳出来准备进行处罚,那么没人会愿意再把安全情况放到桌面上来谈,安永会计师事务所信息安全咨询服务主管ChipTsantes指出。

谈到最近兴起的一股股DDoS攻击波澜,是否有能力识别出攻击活动并迅速组织威胁应对手段成为决定事故结果的关键性因素。做到这两点,企业就能保持自己的服务持续可用;一旦失败,服务将只能**下线。

最近这些DDoS攻击发展势头非常迅猛,每次出现的新攻击都采取与之前不同的实施策略,”IBM公司财务部门安全战略专家LynnPrice表示。从本质上讲,攻击者的策略旨在提高自身攻击能力,借助先进的基础设施与应用程序指向工具并实现攻击活动的自动化进行。

他们的攻击能力越来越复杂且难以捉摸,安全人员甚至很难发现到底哪些IT堆栈成为其攻击目标,她解释道。

这种环境下,保持沉默几乎成了一种协助犯罪行为。因此尽管CSO们对于分享信息采取非暴力不合作态度,我们仍然设法通过一些内幕会议及采访活动收集到 一部分资料,借以了解安全专家原先是如何帮助这些受害企业构建防御机制的。通过这样的方式,我们为各位读者朋友总结出以下应对DDoS攻击的诀窍。

为实时防御调整做好准备

这些攻击不仅指向多个目标,其具体战术也在实时进行改变,”Arbor网络美国公司解决方案架构师GarySockrider表示。攻击者们会观察站点的响应情况,并在站点重新上线之后立即组织新的攻击方式。

他们绝不会半途而废,尝试不同端口、不同协议或者从新的源头实施攻击,总之他们不达目的誓不罢休。战术总是处于变化之中,他指出。企业用户必须理解对手的这种快速灵活特性,并为之做好准备。

不要仅仅依靠内部防御机制

在与所有采访对象的交流中,我们发现传统的内部安全体系——防火墙、入侵防御系统以及负载均衡机制——都无法阻止攻击活动。

们亲眼见证这些设备在攻击面前被一一摧毁。得到的教训非常简单:只有在攻击真正抵达这些设备前就加以扼制,我们才能真正缓和DDoS危机。安全设备同样存 在漏洞,其漏洞之多与我们想要保护的服务器本身并无二致,”Sockrider解释称。为了实现更理想的防御效果,我们必须依赖上游网络运营商或托管安全 服务供应商们的支持,他们的协助能将攻击活动阻隔在网络体系之外。

当面对大规模攻击时,从上游开始抵御攻击就显得更加重要。

如果我们的互联网连接只能承载10GB数据传输量,而攻击活动却带来100GB传输量,那么希望将其降低至10GB的任何努力都将是徒劳的,因为上游导入的信息总量已经注定了服务崩溃的悲惨命运,”Sockrider总结道。

在内部扑灭应用程序层攻击

指向特定应用程序的攻击活动一般比较隐蔽,规模较小而且更有针对性。

这类攻击着力改进自身隐蔽性,因此我们需要在内部或者数据中心体系中实施保护,这样才能实现深度包检测并掌握应用程序层中的全部情况。这是缓解这类攻击的最佳方式,”Sockrider告诉我们。

协作

银行业已经在遭遇攻击时采取了一定程度的协作机制。他们所披露的一切信息都会受到严格保护,并只与内部同行进行分享。这种结合了**机制的协作途径让银行业在安全协作方面的表现优于大多数其它行业。

他们与其它银行同仁及电信供应商开展交流,而且直接与服务供应商展开合作。当然,他们别无选择,因为单凭自己的力量根本无法在严酷的安全世界中生存下来,”Price指出。

他们还向金融服务信息共享及分析中心寻求技术支持,并与其分享自己的安全威胁信息。

在这类信息交流会议上,有一些大型银行采取非常开放的沟通态度,积极与他人分享自身所遭遇的安全威胁以及切实有效的处理方案。通过这种方式,大型银行至少打开了沟通渠道,”Akamai技术公司金融服务部门首席战略专家RichBolstridge评价称。

金融行业的战略视角可以也应该被广泛推广到各行各业当中。

提前准备应急预案

企业必须努力预测应用程序及网络服务可能面临的安全威胁,并通过制定安全应急预案来缓解这些攻击所造成的后果。

企业应该将注意力集中在攻击本身,并提前制定规划以部署响应流程。他们还可以汇总内部攻击信息并将其提供给供应商,从而形成同仇敌忾的攻击对抗联盟,”Tsantes建议道。

IBM公司的Price对此也表示赞同。

企业需要组织起更理想的响应措施。他们需要将内部应用程序团队与网络团队进行整合,帮助技术人员了解攻击活动出现时应如何做出响应,这样才不至于由于慌乱而导致坐以待毙的状况。由于攻击者们越来越狡猾,金融机构也要快速成长才能跟上形势,她进一步解释道。

目前,许多大型金融机构已经开始着手强化DDoS防御体系,但观察家们担心攻击者会将攻击目标转移到规模较小的银行、信用社甚至其它行业身上。

**击活动的肆虐已经引起了某些地区银行管理层的高度重视,他们开始积极帮助企业做好应对准备,这也算是恶意事故的正面影响,大西洋中部地区某家银行的IT安全官评论称。

而受到大型机构的启发,很多规模较小的银行也开始着手筹备,因为他们已经意识到自己同样可能成为攻击活动的下一个目标,并由于担忧而激发出强大的主观能动性,”Bolstridge指出。

Pirce则解释称,这意味着大多数企业都将更多依赖于服务供应商与管理安全服务供应商所提供的支持。

他们需要对自家系统做出弹性评估,并确保其服务供应商已经准备好应对潜在攻击并能为其提供足够的保护,她总结称。

当心次要攻击

由于攻击活动的组织成本不断提高,某些恶意侵袭甚至有可能成为规模更大、手段更凶猛的安全威胁的掩护活动。

“DDoS攻击还可能充当一种障眼法,旨在为其它更为险恶的攻击提供掩护。银行一定得明白,他们不仅需要监测并防御DDoS攻击,同时也必须时刻当心尝试窃取账户或其它敏感信息的次要攻击——虽然名为次要,但这才是犯罪分子的真正目的,”Price表示。

非银行业也需要警惕

虽然目前大部分攻击活动都集中在金融领域,但专家们提醒称其它行业同样有可能受到波及。

我们不希望看到这种级别的攻击出现在医疗保健等其它行业,因为这些行业由于缺乏成为攻击目标的心态而很少配备充分的保护措施,”Bolstridge提醒道。希望大家能将此视为安全警钟,并以适当方式评估自身面临的风险。

而信息共享正是攻击活动中的重要环节。

攻击者们彼此之间当然也会共享信息。事实上,只有第一位攻击者才是真正的技术天才,其他人则只能称为跟风而上的受益者,他总结道。

坏家伙们的行事方式也应当成为好人们的行为准则。信息共享、携手合作,这才是对抗恶意活动的绝佳方式。

cyjian
Spammer
Spammer

Posts : 211
Points : 24475
Reputation : 0
Join date : 2014-06-18

View user profile

Back to top Go down

Re: DDoS攻击 ,防御以及介绍

Post by cyjian on December 12th 2014, 10:26

浅谈Ddos攻击攻击与防御

原文标题有点别扭,尊重原文吧

EMail: jianxin#80sec.com
Site:
[You must be registered and logged in to see this link.]
[
目录]
背景
应急响应
常见ddos攻击及防御
根源及反击
总结
  
背景
  
前几天,我们运营的某网站遭受了一次ddos攻击,我们的网站是一个公益性质的网站,为各个厂商和白帽子之间搭建一个平台以传递安全问题等信息,我们并不 清楚因为什么原因会遭遇这种无耻的攻击。因为我们本身并不从事这种类型的攻击,这种攻击技术一般也是比较粗糙的,所以讨论得比较少,但是既然发生了这样的 攻击我们觉得分享攻击发生后我们在这个过程中学到得东西,以及针对这种攻击我们的想法才能让这次攻击产生真正的价值,而并不是这样的攻击仅仅浪费大家的时 间而已。
外,我们发现大型的企业都有遭受攻击的案例,但是大家遭受攻击之后的应对措施及学到的经验却分享都比较少,这导致各家都是自行的摸索经验,依然停留在一家 企业对抗整个互联网的攻击的局面,而对于攻击者却是此次攻击针对你,下次攻击却是针对他了,而且攻击之后无论是技术还是资源都没有任何的损耗,这也是导致 这种攻击频繁并且肆无忌惮的原因。
我们来尝试做一些改变:)
  
  
应急响应
  
在攻击发生后,第一个现象是我们的网站上不去了,但是依然可以访问到管理界面,我们登陆上去简单执行了命令:
  
netstat -antp
  
们看到有大量的链接存在着,并且都是ESTABLISHED状态,正常状态下我们的网站访问量没有这么高,如果有这么高我们相信中国的信息安全就有希望 了,对于这样的情况其实处理就比较简单,这是一次四层的攻击,也就是所有ip都是真实的,由于目前为止只是消耗了webserver的网络连接资源,所以 我们只需要简单的将这些ip在网络层封禁就可以,很简单,用下面的命令即可:
  
for i in `netstat -an | grep -i ‘:80 ‘|grep ‘EST’ | awk ‘{print $5}’ | cut -d : -f 1 | sort | uniq -c | awk ‘{if($1 > 50) {print $2}}’`
echo $i
echo $i >> /tmp/banip
/sbin/iptables -A INPUT -p tcp -j DROP -s $i
done
  
然后作为计划任务一分钟执行一次即可,很快,iptables的封禁列表就充斥了大量的封禁ip[You must be registered and logged in to see this link.] 我们简单的统计了下连接数最大的一些ip发现都来自韩国。为了保证系统的性能,我们调大了系统的可接受的连接数以及对Nginx进行了每个连接能够进行的请求速率,系统于是恢复了正常的运行。
正常状态一直持续到第二天,但是到中午之后我们发现访问又出现了问题,网络很慢,使用ping发现大概出现了70%左右的丢包,在艰难的登陆到系统上之后,发现系统已经很少有TCP的正常连接,为了查明原因,我们对系统进行了抓包:
  
tcpdump -w tmp.pcap port not 22
tcpdump -r tmp.pcap -nnA
  
们发现攻击已经从应用层的攻击调整到了网络层的攻击,大量的目标端口是80udpicmp包以极快的速度充满了网络,一个包大小大概在1k左右,这次 占据的资源纯粹是带宽资源了,即使在系统上做限制也解决不了这个问题,不过也没有关系,对于网络层的问题我们可以在网络层上做限制,我们只需要在网络上把 到达我们ip的非TCP的所有包如UDPICMP等协议都禁止掉即可,但是我们没有自己的服务器也缺乏对网络设备的控制权,目前是由工信部CERT提供 支持的,由于临时无法协调进行相应的操作,后果如大家看到,我们的服务很慢,基本上停止了服务,在一段时间之后攻击者停止了攻击,服务才进行了恢复,很憋 屈是么?但是同时我们得到了很多热心朋友的帮助,得到了更好的网络和服务器资源,在网络资源方面的能力得到了很大的提升,缓解了这方面的问题,这里对他们 表示感谢。
  
常见ddos攻击及防御
  
续秉承80sec”Know it then hack it”,这里简单谈一下ddos攻击和防御方面的问题。ddos的全称是分布式拒绝服务攻击,既然是拒绝服务一定是因为某些原因而停止服务的,其中最重要 的也是最常用的原因就是利用服务端方面资源的有限性,这种服务端的资源范围很广,可以简单的梳理一个请求正常完成的过程:
  
1
用户在客户端浏览器输入请求的地址
2
浏览器解析该请求,包括分析其中的dns以明确需要到达的远程服务器地址
3
明确地址后浏览器和服务器的服务尝试建立连接,尝试建立连接的数据包通过本地网络,中间路由最终艰苦到达目标网络再到达目标服务器
4
网络连接建立完成之后浏览器根据请求建立不同的数据包并且将数据包发送到服务器某个端口
5
端口映射到进程,进程接受到数据包之后进行内部的解析
6
请求服务器内部的各种不同的资源,包括后端的API以及一些数据库或者文件等
7
在逻辑处理完成之后数据包按照之前建立的通道返回到用户浏览器,浏览器完成解析,请求完成。
  
上面各个点都可以被用来进行ddos攻击,包括:
  
1
某些著名的客户端劫持病毒,还记得访问百度跳搜狗的事情么?:)
2
某个大型互联网公司发生的dns劫持事件,或者直接大量的dns请求直接攻击dns服务器,这里可以使用一些专业的第三方dns服务来缓解这个问题,如Dnspod
3
利用建立网络连接需要的网络资源攻击服务器带宽使得正常数据包无法到达如udp的洪水攻击,消耗前端设备的cpu资源以使得数据包不能有效转发如icmp 和一些碎片包的洪水攻击,消耗服务器方建立正常连接需要的资源如syn flood或者就是占用大量的连接使得正常的连接无法发起,譬如这次的TCP flood
4
利用webserver的一些特点进行攻击,相比nginx来说,apache处理一个请求的过程就比较笨重。
5
利用应用程序内部的一些特性攻击程序内部的资源如mysql,后端消耗资源大的接口等等,这也就是传统意义上的CC攻击。
  
里涉及到攻防的概念,但是实际上如果了解对方的攻击点和攻击手法,防御会变成简单的一个拼资源的过程,不要用你最弱的地方去抗人家最强的地方,应该从最合 适的地方入手把问题解决掉,譬如在路由器等设备上解决应用层攻击就不是一个好的办法,同理,在应用层尝试解决网络层的问题也是不可能的,简单来说,目标是 只让正常的数据和请求进入到我们的服务,一个完善的防御体系应该考虑如下几个层面:
  
1
作为用户请求的入口,必须有良好的dns防御
2
与你的价值相匹配的带宽资源,并且在核心节点上布置好应用层的防御策略,只允许你的正常应用的网络数据包能够进入,譬如封杀除了80以外的所有数据包
3
有支持你的服务价值的机器集群来抵抗应用层的压力,有必要的话需要将一个http请求继续分解,将连接建立的过程压力分解到其他的集群里,这里似乎已经有 一般的硬件防火墙能做这个事情,甚至将正常的http请求解析过程都进行分解,保证到达后端的是正常的请求,剔除掉畸形的请求,将正常的请求的请求频度等 行为进行记录和监控,一旦发生异常就在这里进行应用层的封杀
  
个公司都有自己对自己价值的评估从而决定安全投入上的大小,每一次攻击也会涉及到利益的存在,正如防御因为种种原因譬如投入上的不足和实施过程中的不完 美,有着天生的弱点一样,攻击也是有着天生的弱点的,因为每一次攻击涉及到不同的环节,每个环节都可能由不同水平的人完成,他所拥有的资源,他使用的工具 和技术都不会是完美的,所以才有可能进行防御,另外,我相信进行DDOS攻击的人是一个固定的行业,会有一些固定的人群,对于其中使用的技术,工具,资源 和利益链都是比较固定的,与之相对的是各个企业却缺乏相应的沟通,以个人企业对抗一个产业自然是比较困难,而如果每一个企业都能将自己遭受攻击时的经验分 享出来,包括僵尸网络的大小及IP分布,攻击工具的特征,甚至有能力的可以去分析背后的利益点及操作者,那么每一次攻击都能让大家的整体防御能力上升,让 攻击者的攻击能力有损失,我们很愿意来做这个事情。
  
根源及反击
  
困惑的是一点,攻击我们并不能得到实际的好处为什么还是有人来攻击,而且听说其他公司都有被攻击的情况,我觉得有一点原因就是攻击我们的确得不到什么好 处,但是实际上攻击者也并不损失什么,无论是资源上还是法律风险上,他不会因为一次攻击而损失太多,而相比之下,服务提供者损失的东西却太多了,这从经济 学角度来讲就是不平衡的,我们处于弱势。
一般而言,的确对于作恶者是没有什么惩罚措施,但是这次,我们觉得我们是可以做一些事情的,我们尝试挖掘背后的攻击者,甚至清除这个僵尸网络。
先这次攻击起源于应用层的攻击,所以所有的ip都是真实的,经过与CERT沟通,也发现这些ip都是韩国的,并且控制端不在国内,因为期间没有与国内有过 通讯,即使在后面换成了udp+icmpflood,但是依然是那些韩国的ip,这很有意思,正常情况下udp+icmp的数据包是可以伪造的,但是这 里居然没有伪造,这在后面大概被我们证实了原因。
ip是真实存在的ip,而且这些ip肯定在攻击完我们之后一定依然跟攻击者保持着联系,而一般的联系方式因为需要控制的方便都是dns域名,既然如此, 如果我们能挖掘到这个dns域名我们就可能间接的挖掘出真正幕后黑手在哪里。首先,我们迅速的找出了这次攻击ip中开放了80端口的机器,因为我们对80 端口上的安全问题比较自信,应该很快可以获知这些ip背后的细节(80sec名称由来),我们发现大部分是一些路由器和一些webvpn设备,我们猜测 这次攻击的主要是韩国的个人用户,而个人用户的机器操作系统一般是windows所以在较高版本上发送数据包方面可能有着比较大的限制,这也解释了为什么 即使是udp+icmp的攻击我们看到的大都是真实ip。发现这些路由设备之后我们尝试深入得更多,很快用一些弱口令譬如admin/admin登陆进 去,果然全世界的网民都一样,admin/admin是天生的入口。
陆进去一些路由之后我们发现这些路由器里面存在一个功能是设置自己的dns,这意味着这下面的所有dns请求都可以被定向到我们自己设置的dns服务器, 这对于我们去了解内部网络的细节会很有用,于是我们建立了一个自己的dns服务器,并且开启了dns请求的日志功能以记录所有请求的细节。我们大约控制了 20台路由器的dns指向,并且都成功重定向到我们自己的服务器。
剩下的就是简单的数据分析,在这之前我们可以对僵尸网络的控制域名做如下的猜测:
  
1
这个dns应该为了灵活的控制域名的缓存时间TTL一般不会特别长
2
这个dns应该是定期的被请求,所以会在dns请求里有较大的出现比例
3
这个dns应该是为了控制而存在的,所以域名不应该在搜索引擎以及其他地方获得较高的访问指数,这与2中的规则配合起来会比较好确定,是一个天生的矛盾。
4
这个dns应该在各个路由下面都会被请求
  
些通过简单的统计就很容易得出答案,我们发现了一些3322的通用恶意软件域名但是发现它并不是我们需要的,因为只有少数机器去访问到,经过一些时间之后 最后我们发现一个域名访问量与naver(韩国的一个门户)的访问量持平,workgroup001.snow****.net,看起来似乎对自己的僵尸 网络管理很好嘛,大概有18台机器访问过这个域名,这个域名的主机托管在新加坡,生存时间TTL1800也就是半小时,这个域名在所有的搜索引擎中都不 存在记录,是一个韩国人在godady一年前才注册的,同时我们访问这个域名指向主机的3389,简单的通过5shift就判断出它上面存在着一个典型 windows后门,似乎我们找到它了,不是么?经过后续的观察,一段时间后这个域名指向到了127.0.0.1,我们确信了我们的答 ,workgroup001.snow****.net,看起来似乎对自己的僵尸网络管理很好嘛:)
是一次典型的ddos攻击,攻击之后我们获得了参与攻击的主机列表和控制端的域名及ip,相信中国和韩国的cert对于清理这次的攻击源很有兴趣,我们是 有一些损失,但是攻击者也有损失了(大概包括一个僵尸网络及一个控制端域名,甚至可能包括一次内部的法律调查),我们不再是不平等的了,不是么?
  
总结
  
如一个朋友所讲的,所有的防御是不完美的正如攻击是不完美的一样,好的防御者在提升自己的防御能力趋于完美的同时也要善于寻找攻击者的不完美,寻找一次攻 击中的漏洞,不要对攻击心生恐惧,对于Ddos攻击而言,发起一次攻击一样是存在漏洞的,如果我们都能够擅长利用其中的漏洞并且抓住后面的攻击者那么相信 以后的ddos攻击案例将会减少很多,在针对目标发起攻击之前攻击者也会做更多的权衡,损失,利益和法律。

cyjian
Spammer
Spammer

Posts : 211
Points : 24475
Reputation : 0
Join date : 2014-06-18

View user profile

Back to top Go down

Re: DDoS攻击 ,防御以及介绍

Post by cyjian on December 12th 2014, 10:27

浅谈无线局域网DDoS攻击(来源:baidu)


随着计算机网络技术的发展,无线局域网成为高速发展的无线通信技术在计算机网络中实现通信移动性、个性化和多媒体应用等。但是,由于无线通信的传播介质是毫无实体保护的空气,无线 发送的数据就有可能到达覆盖范围内的所有终端,或者是预期之外的接收设备,这为黑客等 恶意用户提供了更多、更隐蔽的可攻击机会。在目前出现的各种针对无线网络的攻击方式中,分布式 拒绝服务DDoS(DistributedDenialofService)攻击以其隐蔽性好、破坏性强的特点成为了黑客攻击的首选方式。本文将对各种无 线网络DDos攻击手段做一概述。

一、DDoS简介

DoS(DenialofService)拒绝服务攻击是一种拒绝用户或客户端对特定的系统和网络资源进行访问的技术。其实现可以是利用操作系统或软件的 漏洞,也可以在使用非常大数量的合法请求,其 结果都会形成过多的资源消耗或使资源崩溃,以实现对资源的拒绝访问目的。DDoS全名是DistributedDenialofservice(分布式拒 绝服务),很多DoS攻击源一起攻击某台服务器就组成了DDoS攻击 。DDoS最早可追溯到1996年初,在中国2002年开始频繁出现,2003年已经初具规模。

DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当被攻击目标CPU速度低、内存小或者网络 带宽小等各项性能指标不高时,它的效果更 明显。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了,由于目标 对恶意攻击包的处理能力加强 了不少,假如攻击方每秒钟可以发送3,000个攻击包,但被攻击方的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效 果。这时候分布式的拒绝服务攻击手段(DDoS)就出现了。

总的来说,可以将一个典型的DDoS攻击的体系结构划分为四个部分:攻击者、主控机、攻击机、受害者。攻击者通过主控机控制大量的攻击机,拥有攻击机的控 制权或者是部分的控制权,可以 把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自攻击者的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这 些机器并没有什么异常,一旦攻 击者连接到它们并发出指令的时候,攻击机就会发起攻击。这种攻击非常隐蔽,因为要想找出真正的攻击者就必须先查出攻击机,然后依据攻击机的日志等文件查找 上一级的控制者,一级级直 到找出攻击者为止。攻击者想要快速干净地擦除大量攻击机上记录攻击痕迹的文件(如日志文件)很不容易,但他清除少量主控机的这些记录文件则非常简单,从而 避免被发现。黑客利用现在的 高速网络,以及各种操作系统的漏洞和缺陷,同时控制大量的傀儡计算机,然后在同一时间利用傀儡计算机向攻击目标发起攻击,快速消耗目标的带宽和CPU时 间,从而对合法用户造成拒绝服 务。由于攻击来自网络上不同地址的大量傀儡计算机,不仅攻击的破坏性很大,而且对攻击的防御和追踪带来了困难。特别是现在的无线网络,由于其固有的协议缺 陷和接入点隐蔽等特点,更 容易受到恶意攻击。下面将对各种针对无线网络的DDoS攻击方法做一介绍。
二、无线网络DDoS攻击

1、概述

随着信息技术的发展,各种网络安全问 题也是层出不穷。无线局域网虽然具有易于扩展、使用灵活、经济节约等优点,但是由于其采用射频工作方式,使得WLAN在安全方面显得尤为脆弱。基于 IEEE802.1l的无线网络得到了广泛的应用,但也成为极有吸引力的攻击目标。由于IEEE802.11的WEP加密机制和认证协议存在严重的缺陷, 经过大量的研究,产生了一系列的扩展协议,以加强 无线网络的访问控制和机密性。但无线网络由于其开放特性,还是很容易受到攻击,其中,分布式拒绝服务攻击是最难检测和控制的。无线局域网的各个层面都有可 能受到DDoS的攻击。

2、物理层的DDoS攻击

IEEE802.1l协议定义了两种媒体访问控制协议用来实现对无线信道的访问控制。一种采用基于分布式协调功能 (DCF:DistributedCoordinationFunction)的竞争模式来实现异步通信方式;另一 种采用基于点协调功能(PCF:PointCo-ordinationFunction)的非竞争模式来实现同步通信方式。目前的802.1l无线设备基 本上都是采用DCF方式进行通信。

在DCF中802.11采用载波侦听/冲突避免(CSMA/CA:Car- rierSenseMultipleAccesswithCollisionAvoidance)机制进行无线介质共享,它的基本思想是让发送方激发接收 方发出一个短帧,使得 接收方附近的站点可以监听到将要进行的传输,从而避免它们在这个期间内向接收站点发送数据。而这一机制的实现是通过物理层的空闲信道评估 (CCA:ClearChannelAssessment)程序来完成 的。它通过接收信号能量的强弱来确定信道是否空闲,每当信道由空闲转为忙或由忙转为空闲时,物理层的子层 PLCP(PhysicalLayerConvergenceProcedure)都产生一种基元:PHY-CCA。 Indicate(STATE),

STATE为状态变量,当PLCP检测到信道忙时,其值为BUSY,反之,为IDLE。该攻击方法简单但效率很高,不需要特殊的设备与技术。另外,所使用 的攻击设备无需高的发射功率,要发现并定位攻击者相当困难。澳大利亚电脑危机紧急响应小组就宣布了一种DDoS攻击,这种攻击就是利用CCA工作机理和 802.1l物理层管理实体(PLME:PhysicalLayerManagementEntity)提供的一种测试模式 (PLMEDSSSTESMODE)来实施的。它攻击的对象是物理层采用直接序列扩频 (DSSS:DirectSequenceSpreadSpectnlm)工作方式的无线设备,包括采用IEEE802.1l、802.1lb和低速(低 于 20Mbps)802.11g标准的DSSS无线设备。

3、MAC的DDoS攻击

在802.1l网络中,为了解决站点隐藏及报文碰撞等问题,采用了RTS/CTS等通讯控制机制。在WPA中采用消息完整性校验(MIC:MessageIntegrityCode)机制来防范伪造报文,这些机制在提高 网络性能的同时,也带来了新的安全隐患。

802.1l协议中,使用CSMA/CA技术来实现多路访问。

为了避免一个节点长时间占用信道从而导致其他的节点无法传送数据,要求每个节点在发送完一个MAC层的协议数据单元 (MPDU:MACProtocolDataUnit)之后都必须等待一个SIFS(SIFS: ShortInterFrameSpace)时间。基于MAC的拒绝服务攻击其核心思想就是通过修改攻击设备上的通信模块程序,将它的SIFS设得更短, 那么在同等发包速率的情况下,攻击者将以很高的概率占有 信道,从而使合法节点的通信推迟进行。

CSMA/CA为了解决隐藏节点问题引入了RST/CTS控制机制,它能够为一个节点保留一定时间的信道。想要发送数据的节点首先必须向目的节点发送一个 RTS帧,这个RTS帧中包含该节点的ID以及 一个Duration域。Duration域用于告知需要为该节点保留随后数据传输所需要的时间,每个节点上都使用 NAV(NAV:NetworkAllocationvector)来度量保留时间值,它的最大值为215-1。只有当 NAV=0时该节点才可以发送数据,而这个值的更新是通过Duration值进行的。目的节点一旦收到某个节点发来的RTS帧,就立即响应一个CTS帧, 其中也包含ID、Duration域。在信号覆盖范围内的其他节点通过CTS帧来更新NAV值,这样可以解决由于隐藏节点造成的冲突问题。这种 RST/CTS策略很容易引发拒绝服务攻击。如果攻击者不断发送包含较大Duration值的RTS帧,那么,根据CSMA/CA,收到RTS帧的合法节 点会以CTS帧进行响应,响应后很快就会放弃对信道的控制。又因为合法节点要等待一个SIFS甚至一个DIFS后才能再次发送数据帧,而攻击者又不断发 送RTS,这样合法节点就很难抢到时隙,再加上这些节点对CTS的传播带来的影响,整个信道基本上将只会被攻击者占用。因此这种攻击会严重降低被攻击 WLAN内节点的通信效率。另外,802.11 中的完整性校验值(ICV)的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错,因此采用了相对简单高效的CRC算法。但是攻击者可以通 过修改ICV来使之和被篡改过的报文 相吻合,可以说没有任何安全功能。而WPA中的MIC则是为了防止攻击者的篡改而定制的,它利用Michael密钥并通过Michael算法求出一个8字 节的消息完整性校验值(MIC),加在每个数据分组后面。当一个无线客户或AP在一秒钟内收到两个或两个以上的MIC值有误的数据包,WPA认为网络正在 受到攻击,随后将采取一系列保护措施,包括中断通信一分钟,更换密钥等,从而给拒绝服 务攻击带来机会。因为,攻击者只需要每秒向目的节点发送至少两个这种MIC值有误的报文,就会使该节点触发MIC错误保护措施,中断通信一分钟。只要网络 一恢复正常,攻击者就重复这样的 攻击过程,最终将导致网络陷入瘫痪。
4、网络层的DDoS攻击

针对网络层的攻击也是一种很有威胁的攻击手段,下面列出几种常见的攻击方法:

(1)非法节点成为路由节点。它们丢失一定数量的数据包,使得连接质量下降。如果在传输层采用TCP协议将产生更大的影响。例如:黑洞攻击(偷偷地将所有 到达信息全部丢弃);灰洞攻击(有 选择地丢弃其中一部分信息,如转发路由协议包而丢失数据包)。针对这两种攻击,斯坦福大学的Mani等人提出了一种看门狗和选路人算法。看门狗是指数据包 的发送者将数据包发出去之后还 要监视他的下一跳节点,如果下一跳节点没有对包进行了转发,这说明那个节点可能存在问题。而选路人作为一种响应办法,它评定每一条路的信任等级,使数据包 尽量避免经过那些可能存在 非法节点的路径。结合看门狗和选路人算法能够很好地避免非法节点成为路由节点。此外,为了鼓励空闲的正常节点多转发数据包,Buttyan和Hubaux 将经济学中的思想引入了无线局域网中, 他们提出了虚拟货币的概念,并把它作为转发数据包的报酬。

(2)非法节点传输虚假的路由信息或者重播过时的路由信息,这样将导致路由失败从而影响传输的性能。虫洞攻击(WormholeAttack)和回路攻击 是这种类型攻击的典型代表。虫洞攻击的原理是 在无线局域网中通过有线或者长距离的无线手段建立一条不正常的链路。通过链路的建立来欺骗路由协议,从而造成虚假的路由信息。

(3)通过IP欺骗来隐藏攻击者的真实位置以及利用节点可移动性使攻击源迅速转移,从而使得攻击源的追踪变得异常困难。对于在无线局域网中的DDoS攻击 源追踪的研究在一定的程度上可以借 鉴有线网络的DDoS攻击源追踪技术,但是两者之间还是有很多的区别。我们可以将有线网络中的攻击源追踪技术PPM(采样标记法)、 ITrace(ICMP报文定位法)移植到无线局域网中,并且已经有人 通过实验证明攻击源追踪技术的使用效果与攻击源追踪技术、网络的路由协议以及无线局域网的规模都有一定的联系。

5、传输层、应用层等上层网络结构的DDoS攻击

在无线局域网中的传输层、应用层等上层结构与有线网络同等网络层次具有相同的特征,因此在无线局域中针对上层网络的DDoS攻击与有线网络中的DDoS攻 击基本上一样。其中,TCPSYN洪泛、 TCPRST洪泛攻击就是典型的针对上层网络攻击。此外,有线网络中抵御DDoS攻击的防御方法同样适用于无线局域网。研究表明,在有线网络中DDoS攻 击的攻击对象主要集中在网络层以及传输层 等上层协议。但是无线局域网中节点的物理层、MAC层、网络层、传输层等上层网络都成为DDoS攻击的攻击对象。因此,针对无线局域网中DDoS攻击的防 御显得尤为重要。

6、不完善的认证机制引发的DDoS攻击

IEEE802.11标准提供两种类型的认证:开放系统认证和共享密钥认证。开放系统认证就本质而言是一个空的认证过程,共享密钥认证给予一个预先共享的 密钥,用WEP协议对客户进行认证:AP 发送一个质问串,并要求客户对其进行加密后返回,如果客户的响应被验证成功,则该客户通过验证。这一认证协议有着诸多公开化的缺陷,攻击者可以利用这些缺 陷对网络实施攻击。

三、结束语

本文主要介绍了DDoS在无线局域网中各层的攻击方式,对各种攻击方式的原理和攻击方法均做了较为详细的描述。DDoS攻击对于无线网络来说比有线网络更难防御,所以对各种无线网 络DDoS攻击手段的研究是很有意义的

cyjian
Spammer
Spammer

Posts : 211
Points : 24475
Reputation : 0
Join date : 2014-06-18

View user profile

Back to top Go down

Re: DDoS攻击 ,防御以及介绍

Post by Sponsored content


Sponsored content


Back to top Go down

View previous topic View next topic Back to top


 
Permissions in this forum:
You cannot reply to topics in this forum