DoS攻击

 

一、DoS攻击简述
　　DoS攻击（拒绝服务攻击)，通常是以消耗服务器端资源、迫使服务停止响应为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的。由于一些网络通讯协议本身固有的缺陷，拒绝服务攻击通常能够以较小的资源耗费代价导致目标主机很大的资源开销，因此往往可以通过一台或有限几台主机给被攻击方造成很大的破坏。特别是DDoS攻击（分布式拒绝服务攻击），通过控制多台傀儡主机策划进攻，更加强了攻击的破坏性，甚至可以造成一些包括防火墙、路由器在内的网络设备的瘫痪。


二、Syn flood攻击简介

Syn flood属于DDoS攻击的一种。由于这种攻击方式利用了TCP协议中的某些固有缺陷，Syn flood攻击对攻击方的资源要求是很小的。甚至可以这样说，对一台一般的服务器而言，只要用自家的PC、ADSL，加上网上随处可以下载的傻瓜式攻击工具，就可以发起足够令服务器拒绝访问的攻击。换言之，由于很难防范，而使得遭遇这种攻击方式的风险大大增加了。

三、DDoS攻击的特点

破坏力强：全球诸多大型网络服务商都曾饱受其害，国内受害单位、个人也不在少数。

具有普遍性：攻击门槛低，攻击工具已经泛滥，一些具有初级安全知识的人也可以很容易策动和实施一次危害很大的攻击。

追查困难：高水平的DoS攻击几乎无法追查。

危害面广：除了导致主机停止服务外，还可能导致整个网络瘫痪。

四、针对性的防范措施，如何来解决DDOS攻击？

针对DDoS攻击，目前有以下几种防范措施

1、系统优化
2、电信路由防范
3、DNS轮回
4、防火墙

本系列短文将介绍DDOS(Distributed Denial of Service Attack)的部分内容。

一：简介

DDOS作为DOS攻击的一种扩展，其理论原型从1997年开始得到广泛的讨论，在1999年出现第一个DDOS的工具。并且在2000年二月七日到二月十一日第一次举世闻名的DDOS攻击开始了。yahoo, buy.com,ebay, Amazon,Datek, CNN等等网站都出现了不同程度的数小时
之内的不可访问。于是，DDOS的问题从入侵者讨论的范围扩大到学术界。之后出现了 DDOS技术的突飞猛进，也于学术界介入DDOS攻击有着很明显的关系。 DDOS在概念上是很简单的。两台或者两台以上的机器参与对一个目标的服务失效攻击就被认为是服务失效攻击。
DOS攻击的种类：
1:Smurf: Smurf IP Denial of Service Attack. 这种服务失效攻击起源于IP direct broadcast,是最早出现的一种DOS攻击。
more details in:http://www.cert.org/advisories/CA-1998-01.html

2:Land attack:这种攻击是由于TCP/IP协议编写的不健壮而到处出现漏洞。是很早的DOS 攻击。
more details in:http://www.cert.org/advisories/CA-1997-28.html

3:WinNuke attack: OOB attack. 感染win95和winNT的机器。
more details in:http://www.jtan.com/resources/winnuke.html

4: SYN FLOOD: DDoS攻击的原子形式。也是使用最多的方法。绝大部分的DDOS都是使用这

种原子作业方式来完成的。
more details in:http://www.cert.org/advisories/CA-1996-21.html

5: UDP FLOOD:对unused UDP端口进行攻击。经过TCP/IP协议的一再修正，影响力已经不

强。
more details in:http://www.cert.org/advisories/CA-1996-01.html

6: ICMP FLOODS:大部分DDOS攻击仍然采用这种方式。ICMP是网络上用来计算流量的一个

基本工具，比如LUCENT BELL LAB的CHFENG大侠完成的PATHCHAR 就是一个在SUN SOLARIS

下运行的流量发生器。基本上是打谁谁死。
more details in: http://www.cert.org/advisories/CA-1996-26.html

DDOS攻击普及的原因：
1:协议开发的开放性决定了任何人都可以拿到第一手的协议开发资料，并且独立研究，

发现漏洞。

2:互联网上有大量的界面友好的，具备复杂功能的DDOS工具。

3:在很多网站上有free的attack source。比如http://packetstormsecurity.nl/
在这些网站上一个稍具经验的人可以获得大量的攻击性代码并且可以自由的修改，发展

。

常用的DDOS工具：
1:Trin00
  在互联网上出现的第一个DDOS工具。
  running protocols: TCP/UDP Communications
  运行平台：
    Solaris
    Linux
    Windows

  code:
    Handler: master.c
    Agent:  ns.c

  TrinOO 配置方式：
  Client to Handler: TCP 27665 用户和主控程序的交互端口
  Handler to Agent : UDP 27444
  Agent to Handler : UDP 31335

  攻击模式: UDP FLOOD.
   

2:Tribe Flood Network(TFN)
3:Stacheldraht
  在TFN被流传之后出现的后继版本。
  Running Protocol: TCP/ICMP Communication
  德国人制造。
  运行平台：
    Solaris
    Linux(Not reliable)
  Code:
    Handler: mserv.c
    Agent : leaf.c, td.c

  Stacheldraht配置方式：
  Client to Handler: TCP 16660, encrypted channel
  handler to agent : TCP 65000, ICMP_ECHOREPLY
 
  攻击模式：ICMP FLOOD, SYN FLOOD, UDP FLOOD, SMURF.

4:Shaft
  在trin00流传开之后出现的后继版本。
  Running Protocol: TCP/UDP Communication
  运行平台：
    Solaris
    Linux
  Code:
    Handler:  shaftmaster.c
    Agent : shaftnode.c

  Shaft配置方式：
  Client to Handler: TCP 20432
  Handler to Agent : UDP 18753
  Agent to Handler : UDP 20433

  攻击模式: SYN FLOOD, UDP FLOOD, ICMP FLOOD running concurrently

5:TFN2K
  TFN后续版本
  running protocol:
  运行平台：
    Solaris
    Linux
    Windows NT
  Code:
    Handler: tribe.c
    agent : td.c

  TFN2K配置方式：
  Client to Handler: numerous ways
  Handler to Agent : TCP, UDP, ICMP, or all three running concurrently. 
  Agent to Handler : ICMP_ECHORELAY
  在agent和handler之间的control flow有256-bit加密通讯保护。
 
  攻击模式：SMURF, ICMP FLOOD, UDP FLOOD, TCP FLOOD, "Combo attack"

6:Mstream

Reference: Sean Krulewitch
  Staff
  Indiana University