黑客攻擊,可能是接觸電腦的人都很熟悉的一個名詞。在不懂的人的眼中,黑客,代表的是神祕、技術高超、來無影去無蹤、破壞性強等等。其實,黑客並沒有那麼的神祕,電腦攻擊也沒那麼的可怕。現在,小編就帶大家去認識一下黑客攻擊中的一種很經典卻又很實用的攻擊,那就是洪水攻擊,英文縮寫為DDOS。
方法/步驟
一、瞭解阻斷服務(Denial of Service)
在探討 DDoS 之前系統之家再次強調,我們必須先對 DoS 有所瞭解,DoS泛指黑客試圖妨礙正常使用者使用網路上的服務,例如剪斷大樓的電話線路造成使用者無法通話。而以網路來說,由於頻寬、網路裝置和伺服器主機等處理的能力都有其限制,因此當黑客產生過量的網路封包使得裝置處理不及,即可讓正常的使用者無法正常使用該服務。例如黑客試圖用大量封包攻擊一般頻寬相對小得多的撥接或 ADSL 使用者,則受害者就會發現他要連的網站連不上或是反應十分緩慢。
二、分散式阻斷服務(Distributed Denial of Service)
DDoS 則是 DoS 的特例,黑客利用多臺機器同時攻擊來達到妨礙正常使用者使用服務的目的。黑客預先入侵大量主機以後,在被害主機上安裝 DDoS 攻擊程控被害主機對攻擊目標展開攻擊;有些 DDoS 工具採用多層次的架構,甚至可以一次控制高達上千臺電腦展開攻擊,利用這樣的方式可以有效產生極大的網路流量以癱瘓攻擊目標。早在2000年就發生過針對Yahoo, eBay, Buy.com 等知名網站的DDoS攻擊,阻止了合法的網路流量長達數個小時。
三、DDOS攻擊的分類:
可以依照幾種方式分類,以自動化程度可分為手動、半自動與自動攻擊。早期的 DDoS 攻擊程式多半屬於手動攻擊,黑客手動尋找可入侵的計算機入侵併植入攻擊程式,再下指令攻擊目標;半自動的攻擊程式則多半具有 handler 控制攻擊用的agent 程式,黑客散佈自動化的入侵工具植入 agent 程式,然後使用 handler 控制所有agents 對目標發動 DDoS 攻擊;自動攻擊更進一步自動化整個攻擊程式,將攻擊的目標、時間和方式都事先寫在攻擊程式裡,黑客散佈攻擊程式以後就會自動掃描可入侵的主機植入 agent 並在預定的時間對指定目標發起攻擊,例如近期的 W32/Blaster 網蟲即屬於此類。
若以攻擊的弱點分類則可以分為協議攻擊和暴力攻擊兩種。協議攻擊是指黑客利用某個網路協議設計上的弱點或執行上的 bug 消耗大量資源,例如 TCP SYN 攻擊、對認證伺服器的攻擊等;暴力攻擊則是黑客使用大量正常的聯機消耗被害目標的資源,由於黑客會準備多臺主機發起 DDoS 攻擊目標,只要單位時間內攻擊方發出的網路流量高於目標所能處理速度,即可消耗掉目標的處理能力而使得正常的使用者無法使用服務。
若以攻擊頻率區分則可分成持續攻擊和變動頻率攻擊兩種。持續攻擊是當攻擊指令下達以後,攻擊主機就全力持續攻擊,因此會瞬間產生大量流量阻斷目標的服務,也因此很容易被偵測到;變動頻率攻擊則較為謹慎,攻擊的頻率可能從慢速漸漸增加或頻率高低變化,利用這樣的方式延緩攻擊被偵測的時間。
四、判斷是否被DDos攻擊:
DDOS的表現形式主要有兩種,一種為流量攻擊,主要是針對網路頻寬的攻擊,即大量攻擊包導致網路頻寬被阻塞,合法網路包被虛假的攻擊包淹沒而無法到達主機;另一種為資源耗盡攻擊,主要是針對伺服器主機的攻擊,即通過大量攻擊包導致主機的記憶體被耗盡或CPU被核心及應用程式佔完而造成無法提供網路服務。
如何判斷網站是否遭受了流量攻擊呢?可通過Ping命令來測試,若發現Ping超時或丟包嚴重(假定平時是正常的),則可能遭受了流量攻擊,此時若發現和你的主機接在同一交換機上的伺服器也訪問不了了,基本可以確定是遭受了流量攻擊。當然,這樣測試的前提是你到伺服器主機之間的ICMP協議沒有被路由器和防火牆等裝置遮蔽,否則可採取Telnet主機伺服器的網路服務埠來測試,效果是一樣的。不過有一點可以肯定,假如平時Ping你的主機伺服器和接在同一交換機上的主機伺服器都是正常的,突然都Ping不通了或者是嚴重丟包,那麼假如可以排除網路故障因素的話則肯定是遭受了流量攻擊,再一個流量攻擊的典型現象是,一旦遭受流量攻擊,會發現用遠端終端連線網站伺服器會失敗。
相對於流量攻擊而言,資源耗盡攻擊要容易判斷一些,假如平時Ping網站主機和訪問網站都是正常的,發現突然網站訪問非常緩慢或無法訪問了,而Ping還可以Ping通,則很可能遭受了資源耗盡攻擊,此時若在伺服器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在,而ESTABLISHED很少,則可判定肯定是遭受了資源耗盡攻擊。還有一種屬於資源耗盡攻擊的現象是,Ping自己的網站主機Ping不通或者是丟包嚴重,而Ping與自己的主機在同一交換機上的伺服器則正常,造成這種原因是網站主機遭受攻擊後導致系統核心或某些應用程式CPU利用率達到100%無法迴應Ping命令,其實頻寬還是有的,否則就Ping不通接在同一交換機上的主機了。
五、如何抵禦DDoS攻擊:
對付DDOS是一個系統工程,想僅僅依靠某種系統或產品防住DDOS是不現實的,可以肯定的是,完全杜絕DDOS目前是不可能的,但通過適當的措施抵禦90%的DDOS攻擊是可以做到的,基於攻擊和防禦都有成本開銷的緣故,若通過適當的辦法增強了抵禦DDOS的能力,也就意味著加大了攻擊者的攻擊成本,那麼絕大多數攻擊者將無法繼續下去而放棄,也就相當於成功的抵禦了DDOS攻擊。
1、採用高效能的網路裝置
首先要保證網路裝置不能成為瓶頸,因此選擇路由器、交換機、硬體防火牆等裝置的時候要儘量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關係或協議的話就更好了,當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。
2、儘量避免NAT的使用
無論是路由器還是硬體防護牆裝置要儘量避免採用網路地址轉換NAT的使用,因為採用此技術會較大降低網路通訊能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網路包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。