关于网络上DDoS攻击的分析和检测.pdfVIP

关于网络上DDOS攻击的分析与检测 高行字 姜建国 中国工程物理研究院信息安全技术中心 摘要： 拒绝服务攻击是当前黑客普遍采用的一种攻击手段．本文在讨论拒 绝服务攻击(Dos)的基础上深入研究分布式拒绝服务攻击的攻击原理及 它的实现模式，分析分布式拒绝服务攻击工具tfn2K和trinoo的攻击过 程，并给出在一种网络入侵捡测系统中检测这类攻击的实现途径． 关键词：拒绝服务 分布式拒绝服务 主控程序 守护程序 服务器 引言： 伴随现代网络技术的应用与发展，我们已完全步入网络时代。然而 正当我们在领受网络所带给我们莫大好处的同时，我们的网络也正追受着 黑客们强烈而又致命的攻击．二我们经常可以听到网站、系统被攻击或闯 入．井造成网络瘫痪及经济损失的事件发生，如2月7、8、9三天荧田著 名的几大同站Yahoo!、eBay、Btly、洲相继遭到黑客分布式拒绝服务的 攻击．导致网站瘫痪、服务暂时停止，造成巨大的经济损失，关于这样的 攻击还有很多．由此可见．我们的网络是无所不能的，但我们的网络也是 脆弱的．因此我们在不断开发网络可用程度的同时，网络的安全也是一个 不容忽视的问题。 1、 DOS及DDoS概论 1．1：拒绝服务攻击(DoS)的概念 拒绝服务攻击是指一个用户占用了大量的系统资源，使得系统没有 剩余的资源给其他的用户使用。这类攻击的结果表现形式往往是系统瘫 痪、磁盘空间曩满、CP【I来不及响应、服务无法进行．这类攻击的危害是 极大的．尤其是对于一些大型网站的提供网络服务的服务器、路由器．它 会导致同络短时间瘫痪、网络服务终止．拒绝服务的攻击方式为：攻击者 传送大量的要求确认的信息到服务器，而所有的信息的回复地址都是一个 虚假的地址。当服务器试图回应时，却无法找到这样的地址，服务器就处 于暂时等待状态，直到超时，然后切断连接．服务器切断连接时．黑客再 度传送新一批需要确认的信息，然后继续．展终导致服务器无法动弹．瘫 痪死机． 1．2：拒绝服务攻击的分类 根据攻击造成的原因，拒绝服务攻击人致可以分成两种类型： 【1)攻击者破坏或者毁坏了某个资渊．使得其他人无法使用这个资 源．这种攻击多为恶意攻击型，如攻击者删除了磁盘文件 66 ／etc／pas滞d、格式化磁盘或切断电源，这些行为都会造成它人 无法使用资源．为防止这类攻击，我们必须要采用较好的安全策 略，要严格限制关键帐号和重要文件不受未授权用户访问，严格 控制文件的读写权限． (．z)攻击者过载一些系统般务或消耗一些资源，使得他人无法使用资 源。这类攻击可能为攻击者故意的行为，也可能是一个用户无意 中的错误所导致。最简单的如添满硬盘、垃圾邮件、大量数据 包．这些都会导致系统过载而无法响应其他用户。有名的攻击 如：Te”drop、Udpflood等。 1．3：分布式拒绝服务攻击 分布式拒绝服务(DDos)是将Dos又向前推进了一步。Dos需要攻击 者对目标进行手工操作．而DDoS则将这种攻击行为自动化。分布式攻击 可以很方便地协调从多台机器启动进程对一个目标网络进行攻击。在这种 情况下，就会有大量的拒绝服务(Dos)洪流冲击网络，并使其园过载而 崩溃，就好象多个Dos在同时实施攻击，最终的后果远比前面的DoS结果 严重得多。分布式拒绝服务攻击的攻击方式为在不同的主机上置入DoS服 务程序，然后由中央控制端通知各个Dos服务程序命令他们对同一个目标 进行大量的Dos攻击，直到目标瘫痪。 2、 叻oS的攻击原理透视 分布式拒绝服务攻击并不是神秘而义可怕的．实际上叻oS并没有带 米任何技术上的更新．而只是使得Dns更加易于实施和集中控制，且实施 得更加隐蔽。DDos在设计上更好地剐L}j了网络协议上的缺陷．使得攻击 力更为强大．如uDP协议缺乏对源地址帕认证和无连接的特点，这样就很 容易被利用．DDos就属于这种情况。FI!=』就将DD0s的攻击原理及实现模 式洋细分析如下： 遵循黑客攻击的普遍模式，黑客喽汴先对网络上的主机进行扫描，寻 找安全性非常脆弱的主机群，井取衔l、j这些主机的控制权