百花齐放 拒绝服务攻击(DDOS)现状分析(4)

　　杠杆作用

　　Psh标记

　　PSH标记是基于协议的平衡因子，其针对任何基于TCP的攻击。当信息包被堆栈接收到时，其是与接收到的其他信息包一起存储在特定的缓冲中。一旦缓冲存满后，便发送信息包以供进一步处理。信息包的传输产生了可观的额外负担，而此处的缓冲优化了上下文更改的“成本”。PSH 标记强制堆栈释放缓冲。在像 SYN、SYN-ACK 或异常洪水或甚至应用程序层攻击等基于 TCP 的攻击情况下，攻击者在 TCP 标头中添加 PSH 标记的成本为零。另一方面，因上下文的永久性更改而显著增加服务器的额外负担。

　　恶意数据流量中继

　　在某些情况下，攻击系统的强度可能到达极限。这主要是针对在LAN上执行攻击的情况，因为在此情况下使用标准的PC 很难达到千兆的吞吐量。可以利用若干工具提供的信息包中继能力来克服这一困难。原理相对比较简单。为了消除创建信息包所需的 CPU 使用率，就需要获取随机源地址／端口、计算长度、校验和等。在发动攻击时嗅探数据流量。然后以一高倍增因子来循环中继捕获文件，以确保达到攻击资源的极限。要确保目标难以识别循环方案而只筛选出来源，原始数据包的样本必定是相对重要的。

　　反射

　　反射是将其他系统用作中继和／或放大攻击的机制。对于大多数攻击类型，可以在网络或应用程序级执行反射。前一种情况的目的是为了获取发送到目标的信息包数量的倍增因子。在第二种情况下，使用反射来获取（攻击者发送的数据）/（目标接收的数据）的最高可能比率。

　　smurfing攻击是网络反射攻击的最佳范例。基本上，它是以向一个广播地址发送ICMPECHO REQUEST 信息包来构成攻击，且有一个针对攻击目标的伪造来源。防护不周的网络可能允许存在这种广播 ping，使得网络上的每个系统都向目标发送回 ICMP ECHO REPLY 信息包。对中继网络的选择很重要。选择的中继网络必须明显允许存在广播 ping。而且，为了能够以很高的速率传输巨量 ICMP ECHO REPLY 信息包，选择的中继网络应能够提供较高的带宽。攻击的效率非常易于评估。在 256kbps 的 ADSL 上行链路中，可以每秒发送大约 1100 个 ICMP 信息包。假如中继网络“只有”50 个系统，则将在每秒内针对大约 10 Mbps 的总带宽发送 50,000 多个 ICMP 信息包来对目标进行洪水攻击。这种攻击很容易实现，任何人只要有一台标准 PC 机和宽带因特网接入，输入以下一条命令即可。

　　#hping3--icmp--spoof --flood

　　在应用程序层，攻击的目标是对目标应用程序进行洪水攻击，或者用中继主机所发送的数据来填满因特网链路。以上所述的基本DNS范例（请参阅副作用／上行链路洪水攻击）是基于应用程序的反射的极佳范例，其可用于攻击另一台DNS 服务器。因为应用程序依赖于无态协议，所以只要一条命令行便可轻易地将巨量响应（而请求很少）发送回给获得 UDP/53 数据流量授权的伪造的 DNS 服务器。

　　#dnsreflect

　　此外，最近越来越多的应用程序反射攻击依赖于供RTP（实时传输协议）用于信令用途的SIP（会话初始化协议）。为了互连SIP UA（用户代理）而在 SIP 服务器之间需要代理服务器，这意味着必须在 SIP INVITE 请求的标头中指定通信信道的末端。特别是在：“通过”字段标识必须与之建立通信的系统。因为没有执行任何认证且 SIP 依赖于 UDP，所以伪造很容易实现。因此，相当容易理解可能产生的杠杆作用。一个典型的 SIP INVITE 请求大约 1 KB。采用这种请求，可让服务器连续向伪造的来源发送数十个 kbps 的数据流媒体。在 256 kbps ADSL 上行链路上，便可以在每秒内创建大约 64 个这种连接，从而迅速填满目标的上行链路。

　　第三方

　　信息包生成和带宽不是攻击者在发送拒绝服务攻击时可能要面对的瓶颈问题。在处理依赖于TCP会话的应用程序时，尤其是在待决会话的情况下，由攻击堆栈来进行的处理可能成为一项限制因素。如果采用标准堆栈函数来执行这种操作，则web 服务器中心接受的会话总数极有可能高于系统能够建立的会话的最大数目。在这种情况下，待决会话攻击将没有效果，且唯一会受到攻击影响的系统将是攻击系统本身。

　　一种可能是，为了能够建立比预期极限数目还要多的会话，可以让第三方服务器把加工过的RST信息包发送到攻击站点。第三方是设在攻击系统的网络上，其嗅探攻击者与目标之间的数据流量。建立会话时，第三方主机不断跟踪会话信息、IP地址、端口和序列号。当 3 向握手完成时，第三方根据其保存在内存中的信息而将一个完全合法的 RST 信息包发送到攻击系统。通过这一方式，攻击系统释放连接，而目标服务器仍然将此连接视为打开。

　　Botnet

　　最后但也是最著名的杠杆作用是使用bot。其目的只是要巨量的第三方系统执行攻击。这显然可以提高由单个系统执行的单一攻击的强度，而且可以严重破坏高性能的网络和系统。使用bot时必须考虑若干参数。首先是 bot 在第三方系统上的安装方式。其次是传输命令的命令通道，最后是所执行的操作。

　　Bot的第一个特点是它们以系统的合法所有者的名义进行操作。这意味着它们是秘密安装并假定为是悄悄运行的。Bot在聚合数百或数千台受到攻击的主机时非常有效，这意味着其安装有赖于蠕虫或大规模黑客攻击机制。大规模黑客攻击是自动安装的基础。通过试图攻击若干漏洞的脚本来执行大规模黑客攻击。在成功的情况下，数据净荷安装代理程序。此时传播速度相对缓慢，且易于追溯botnet 的来源。出现蠕虫以后，这种技术得到了改善。在这第二个阶段，内嵌在攻击中的数据净荷安装代理程序，然后从这个新的起点自动尝试攻击其他系统。这个阶段的传播速度更快，且更难识别 botnet 的来源，这是因为必须逐步跟踪感染才能查出蠕虫的始作俑者。

　　支持命令通道的这种架构现在通常包含3层架构：一台或多台主控端、一个或多个代理处理程序以及若干个代理程序。主控端是启动攻击命令的发出点。代理处理程序是这种架构中最重要的部分。它们的目的是寻找可用的代理程序，并从主控端传送命令。代理程序也称为巫毒，是在受到攻击的主机上运行的进程。这些代理程序负责亲自执行攻击。

　　代理处理程序是网络中最灵活的部分，通常定义在架构中各个部分之间进行通信所使用的协议。关键点是代理程序和代理处理程序之间通信的方向和本质。通过代理程序建立的与代理处理程序的通信通常更加有效，这是因为防火墙更可能让从内部网络传出的数据流量通过。作为传输层的合法协议也更加有效。通过HTTP获取命令的代理程序几乎不受阻止，因为与外部web 服务器的通信通常得到公司安全策略的授权。如果使用的协议不是 HTTP，但代理处理程序依赖于 TCP 端口 80 来通信，则需要进行协议异常情况检测来阻止这种数据流。因此，通常可以阻止在非标准（HTTP、SMTP 等）端口上进行的通信，但是如果配置的防火墙不好，则阻止很困难。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有