TCP/IP協(xié)議中的漏洞

DDoS攻擊模式中比較古老而有效的是同步攻擊。同步的工作是用來在兩個(gè)互聯(lián)網(wǎng)應(yīng)用之通過協(xié)議建立握手。它的實(shí)現(xiàn)方法是通過一個(gè)應(yīng)用程序發(fā)送一個(gè)TCP SYN(同步)數(shù)據(jù)包到另一個(gè)程序來啟動(dòng)會(huì)話過程。對(duì)應(yīng)的應(yīng)用程序?qū)⒎祷匾粋€(gè)TCP SYN-ACK(同步確認(rèn))包;原始程序接下來就利用個(gè)ACK(確認(rèn))響應(yīng)。一旦程序間建立了會(huì)話過程，就可以實(shí)現(xiàn)協(xié)同工作了。

同步攻擊的方式是發(fā)送大量TCP SYN數(shù)據(jù)包。每個(gè)SYN數(shù)據(jù)包都會(huì)迫使目標(biāo)服務(wù)器產(chǎn)生一個(gè)SYN-ACK響應(yīng)，并等待合適的應(yīng)答。這樣很快就導(dǎo)致在SYN-ACK的背后都積壓一堆其他注冊(cè)的隊(duì)列。當(dāng)積壓隊(duì)列爆滿，系統(tǒng)就將停止確認(rèn)收到SYN請(qǐng)求。

如果同步攻擊發(fā)送的同步數(shù)據(jù)包中包含了錯(cuò)誤的網(wǎng)絡(luò)源IP地址的話，攻擊的效果就會(huì)更好。在這種情況下，由于SYN-ACK發(fā)送出去后，ACK不再返回。通常情況下，迅速滿溢的積壓隊(duì)列就會(huì)將合法程序發(fā)送的SYN請(qǐng)求結(jié)束。

內(nèi)地攻擊就是采用欺騙同步數(shù)據(jù)包模式攻擊的新變種，它可以將網(wǎng)絡(luò)地址偽裝成為來自網(wǎng)絡(luò)內(nèi)部的情況。現(xiàn)在，同步攻擊針對(duì)的似乎主要是防火墻，給管理者制造麻煩。

同樣，大部分最新的操作系統(tǒng)和防火墻都可以防御同步攻擊。這里有一種簡單的方法，可以對(duì)防火墻進(jìn)行設(shè)置，以防止所有包含已知錯(cuò)誤源網(wǎng)絡(luò)IP地址的傳入數(shù)據(jù)包。該列表中包含了下列僅在內(nèi)部使用的保留網(wǎng)絡(luò)IP地址：10.0.0.0到10.255.255.255，127.0.0.0到127.255.255.255，172.16.0.0到172.31.255.255以及192.168.0.0到192.168.255.255。

但是，如果可以方便地直接摧毀系統(tǒng)，還為什么要擔(dān)心偷偷摸摸躲在窗后的敵人呢?地址欺騙攻擊以及利用用戶數(shù)據(jù)報(bào)協(xié)議(UDP)過度使用的洪水攻擊就屬于這樣的情況。

在地址欺騙攻擊中，攻擊者會(huì)向路由器發(fā)送過量的網(wǎng)際消息控制協(xié)議(ICMP) 回送請(qǐng)求數(shù)據(jù)包，這是一種特殊的ping包。每個(gè)數(shù)據(jù)包的目的網(wǎng)絡(luò)IP地址也是網(wǎng)絡(luò)中的廣播地址，這會(huì)導(dǎo)致路由器將ICMP數(shù)據(jù)包廣播給網(wǎng)絡(luò)中的所有主機(jī)。不用說，在一張大型網(wǎng)絡(luò)中，這將迅速導(dǎo)致出現(xiàn)大量數(shù)據(jù)傳輸堵塞的情況。此外，類似內(nèi)地攻擊，如果黑客將兩種模式結(jié)合到一起的話，事情就會(huì)變得更糟。

防范地址欺騙攻擊的最簡單方法就是關(guān)閉路由器或者交換機(jī)的地址廣播功能，或者在防火墻中進(jìn)行設(shè)置拒絕ICMP回送請(qǐng)求數(shù)據(jù)包。管理員還可以對(duì)服務(wù)器進(jìn)行設(shè)置，這樣的話，在遇到發(fā)送給廣播網(wǎng)絡(luò)IP地址的ICMP數(shù)據(jù)包時(shí)，就不會(huì)進(jìn)行響應(yīng)。由于很少有應(yīng)用需要網(wǎng)絡(luò)IP地址廣播功能，所以這些調(diào)整不會(huì)對(duì)網(wǎng)絡(luò)的正常運(yùn)行帶來影響。

對(duì)于采用UDP洪水模式的DDoS攻擊來說，就不是那么容易處理了。原因很簡單，類似域名系統(tǒng)(DNS)和簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)，很多應(yīng)用都需要UDP協(xié)議的支持。在UDP洪水攻擊中，攻擊者通過欺騙手段連接到系統(tǒng)的UDP 字符發(fā)生器服務(wù)上，在接受到數(shù)據(jù)包后，字符發(fā)生器將會(huì)針對(duì)另一臺(tái)系統(tǒng)發(fā)送回送服務(wù)包。結(jié)果就是，系統(tǒng)之間來自字符發(fā)生器的半隨機(jī)字符泛濫，導(dǎo)致帶寬迅速被充滿，常規(guī)應(yīng)用的使用受到了影響。

防范UDP攻擊的一種方法是禁用或者過濾所有針對(duì)主機(jī)的UDP服務(wù)請(qǐng)求。只要容許被服務(wù)型的UDP請(qǐng)求，需要使用UDP或作為備份數(shù)據(jù)傳輸協(xié)議的普通應(yīng)用，將可以繼續(xù)正常工作。

暴力攻擊

看起來，有這些多種方法都可以用來阻止DDoS攻擊，因此，有人可能會(huì)認(rèn)為這不會(huì)比垃圾郵件更難處理。但可惜的是，這種想法是完全錯(cuò)誤的。在任何心存不滿的人都可以糾集從數(shù)百到數(shù)萬臺(tái)計(jì)算機(jī)對(duì)網(wǎng)站進(jìn)行DDoS攻擊的時(shí)間，防范工作將會(huì)是非常困難的。他們所要做的工作僅僅是從網(wǎng)絡(luò)上對(duì)可能存在的信息進(jìn)行了解，就可以迅速進(jìn)行所需要的攻擊。

類似Conficker的惡意軟件將數(shù)以十萬計(jì)的Windows系統(tǒng)變成了潛在攻擊者可以使用的武器。由此導(dǎo)致的直接攻擊浪潮不會(huì)被寥寥無幾的防御措施所阻擋。防御者所能依靠的只有服務(wù)器，這也是為什么維基解密試圖選擇亞馬遜網(wǎng)絡(luò)服務(wù)或者大量增加網(wǎng)絡(luò)托管主機(jī)的資源才能防止洪水攻擊的原因。

我擔(dān)心，實(shí)際上，并且確信，在未來會(huì)看到更多這種類型的DDoS攻擊。隨著互聯(lián)網(wǎng)范圍的進(jìn)一步擴(kuò)大，越來越多的使用者通過寬帶接入，為攻擊者提供了更多未受保護(hù)的Windows系統(tǒng)來進(jìn)行控制。更糟的是，在類似低軌道離子加農(nóng)炮之類工具的幫助下，只要獲得一些志同道合朋友的幫助，任何中型網(wǎng)站都可以被摧毀。

請(qǐng)不要忘記，使用這些工具的話，可能會(huì)被跟蹤，并可能會(huì)面臨刑事指控。最近，一名大學(xué)生就因?yàn)槔肈DoS攻擊工具攻擊保守派的網(wǎng)站被判入獄30個(gè)月。

DDoS攻擊，一定會(huì)變得越來越普遍。非常嚴(yán)重的威脅已經(jīng)籠罩在了攻擊者的頭上，但我們似乎并沒有看到絲毫停止的跡象。朋友們，我們生活在一個(gè)并不那么美好的網(wǎng)絡(luò)時(shí)代。希望大家多多掌握有關(guān)DDoS攻擊的知識(shí)。

【編輯推薦】

1. DDoS攻擊來勢(shì)洶洶
2. DDoS攻擊難以防御
3. 四類新型的DDoS攻擊
4. 淺析如何預(yù)防DDOS攻擊
5. 詳解DDoS攻擊技術(shù)的方法
6. DDOS攻擊的三種常見方式
7. DDOS攻擊之互聯(lián)網(wǎng)安全主要威脅的表現(xiàn)