分散式阻断服务攻击(DDoS)
攻击者从远端控制多个傀儡机器同时对受害主机做大量的攻击。
控制指令:加密或隐藏在正常流量中。
DDoS攻击程序范例
Trinoo
TFN
反射式攻击与放大式攻击
与DDoS不同,中间系统是未被感染的。反射/放大式攻击利用网络系统正常的功能。
攻击程序:
攻击者送出一个伪造来源IP地址的封包给在某一个服务器上执行的服务。
服务器回复一个封包给伪造IP地址(受害主机)。
可以同时寄发大量具有相同伪造来源IP地址的封包给多个服务器。
巨量的回复封包阻塞受害主机的网络或是让受害主机疲于处理大量回复封包。
反射式攻击以小换大,以小封包换大封包,小的request换大的response。
放大式攻击以少换多,以少封包换多封包,一个request换多个response。
反射式攻击(Reflection attacks)
反射器(Reflector):反射攻击封包的中间设备。
攻击者确保攻击流量与正常流量相似,以免被侦测。
回复封包大小>原始封包大小。
中间系统通常是高效能的服务器/路由器。
反射式攻击案例一(TCP/SYN)
利用建立TCP连线的三方握手程序。
SYN反射式攻击并不能放大封包,但是此时服务器(中间设备)也是受害者。
攻击者发送出一系列的连线建立SYN封包给服务器,但来源IP地址伪造成受害主机的IP地址。
服务器回复一系列的SYN/ACK封包给受害主机。
可利用大量服务器来加倍攻击力度。
反射式攻击案例二(DNS)
DNS服务器被当成反射器。
小查询封包换大回复封包。
攻击者发送出一系列的DNS查询封包给DNS服务器,但来源IP地址伪造成受害主机的IP地址。
DNS服务器回复一系列的DNS回复大封包给受害主机。
可利用多个DNS服务器来加倍攻击力度。
放大式攻击(Amplification attacks)
放大器(Amplifier):放大攻击封包的中间设备。
攻击者确保攻击流量与正常流量相似,以免被侦测。
回复封包数量>原始封包数量。
中间系统通常是整个子网络中的主机(通常有多台)。
利用中间网络(intermediate network的大量主机。
利用ICMP echo request封包的ping flooding,例如:Smurf DoS program。
利用UDP service,例如:Fraggle program。
TCP服务不适合放大式攻击,因为只有一对一回复。放大式攻击的防御方法是:不允许外不来的广播封包进入网络。
反射流量分析(Backscatter Analysis)
The UCSD Network Telescope(网络望远镜)是一个被动的异常流量观测系统。又称为网络黑洞(black hole)。
建立在全球连通的但很少使用的Class A网络(/8 network),约占用所有Ipv4网址的1/256,由于ISP很少供应此网段的IP地址给用户,因此该网段平常几乎没有正常流量,就被当成黑洞来收集或是观测异常流量。
互联网背景辐射(Internet Background Radiation,IBR)
将流入黑洞的流量先滤掉合法的流量,剩下的流量代表不请自来的异常流量,这些异常流量可以视为互联网上的背景辐射。
IBR流量可能来自多种事件,如:
随机数假造来源IP地址的DoS攻击的反射封包。
蠕虫或是病毒自动产生的IP地址的封包。
攻击者或恶意程序寻找漏洞主机的封包。
疏忽误输入的IP地址。
The UCSD Network Telescope可用来观测DDoS攻击假造来源IP地址的散布度(spread of random-source)。因为黑洞范围约占1/256的IPv4网址,所以可以收集到约1/256的假造网址。
观测这些异常封包,可以知道关于受害者主机以及相应攻击的信息:
攻击者攻击力道(Volume of the attack)
受害主机频宽(Bandwidth of the victim)
受害主机位置(Location of the victim)
攻击者针对的服务类型(Types of services)
但是无法观测使用真实IP地址和非随机数产生的IP地址攻击。
