1、脉冲式拒绝服务攻击的特征
与传统的泛洪式拒绝服务攻击相比,脉冲式拒绝服务攻击(pulsing-baesd denial of service,PDoS)更为隐蔽。首先,脉冲式拒绝服务攻击只是在较短时间拥塞链路,可以使用较小的流量达到相近的攻击目的。意味着黑客不需要控制大量的傀儡机器就可以发动攻击,更容易达到攻击的目的。第二,脉冲式拒绝服务攻击可以采用多种形式进行攻击,可以使用单台主机发动,可以采用多种形式进行攻击, 可以使用单台主机发动,也可以采用多台主机联合发动攻击,多台主机发动的攻击可以使得每台攻击主机的攻击流量进一步减少,更容易逃避检测。第三,脉冲式拒绝服务攻击只需要造成链路拥塞就可以达到攻击目的, 因此它可以使用任何流量,包括TCP 流。攻击流混合在正常TCP 流中更难被过滤, 同时流量的目的地址也可以有所变化, 如图1 的攻击主机可以把攻击流量发向主机B, 也可以发向主机C,只要流量通过瓶颈链路即可。
图1 PDoS攻击场景
2、脉冲式拒绝服务攻击原理
TCP 协议采用滑动窗口机制和差错控制机制实现端到端流量控制, 在实际应用中, 这两种机制和其他一些措施结合使用, 以达到拥塞检测、拥塞避免以及拥塞恢复的目的。这些措施包括: RTT 方差估计、指数RTO 退避、Karn 算法、慢启动、拥塞避免、快速重传、快速恢复等。其中, 前三者属于重传定时器( retransmission timer) 管理机制, 其余属于窗口管理机制。TCP 的拥塞控制机制使得TCP 用户能充分利用带宽, 是TCP 应用蓬勃发展的一个重要原因。但与其他一些机制类似, TCP 的拥塞控制机制在设计的时候没有充分考虑安全性, 因
而有可能成为拒绝服务攻击的目标。
考虑图1 所示的简单场景, 主机A 和主机B 使用TCP 进行通信, 路由器A 和路由器B之间的链路是主机A 和主机B 通信链路中的瓶颈链路, 攻击机器也通过瓶颈链路发送流量到主机B 或者主机C。如果瓶颈链路拥塞产生丢包, 使用TCP 进行通信的主机A 将根据TCP 拥塞控制机制进行相应的处理,可能出现两种情况。
第一种情况, 如果瓶颈链路拥塞持续的时间足够长, 主机A 在一个往返时间(round trip time, RTT)发送的所有数据都被丢弃, 那么主机A 将无法收到
主机B 对其数据的确认, 认为网络中存在严重的拥塞, 它将等待重传超时(retransmission time out, RTO)再重新传输数据, 在此期间,TCP 发送端不发送任何数据, 这种机制称为超时等待机制。为了获得更好的性能, RFC2988
建议TCP 流的RTO 的最小值为1 s, 而且每经历一次超时就增加1 倍。在结束等待后, 主机A 将使用慢启动算法传输数据, 开始的拥塞窗口为一个报文段, 只有在收到接收端回应之后才成倍增加拥塞窗口。超时等待机制避免了TCP 流在网络拥塞的时候加剧网络拥塞, 慢启动算法又使得TCP 流在网络拥塞消失后有效增加吞吐量。但是, TCP只根据对端返回的响应报文判断网络是否拥塞, 容易被欺骗, 如果攻击主机在主机A 每次超时重传开始的时候造成瓶颈链路的拥塞, 主机A 将反复进入等待超时状态, 无法发送数据。
第二种情况, 瓶颈链路拥塞的持续时间不长, 主机A的部分数据到达主机B, 根据TCP 协议, 主机B 将发送重复的响应给主机A( 即在传给主机A 的报文段中响应序号不变) , 而主机A 收到3 个重复响应之后将立刻重传认为已经丢失的数据, 而不需要等待超时。当主机A 使用快速重传机制重传报文段时, 它认为网络中存在拥塞, 需要采取拥塞避免措施。除了使用慢启动算法外, 主机A 还可能
使用快速恢复算法探测网络的拥塞情况传输数据。慢启动算法需要将拥塞窗口置为一个报文段再开始执行, 而快速恢复算法则根据加性增加乘性减(additive-increasemultiplicative-decrease, AIMD)的方法, 把拥塞窗口减少至原来的一半再逐渐增加。无论采用慢启动还是快速恢复算法, 主机A 的拥塞窗口都会经历先大幅减少再重新增加的过程, 需要一定时间才能恢复到拥塞前的大小。如果攻击机器在短时间内造成瓶颈链路拥塞, 主机A 的拥塞窗口无
法恢复到较大的值, 主机A 的吞吐量也将大幅下降,理想情况下, 没有其他流占用链路带宽时, TCP 流通过AIMD 算法可以在充分利用带宽和不造成拥塞之间取得平衡, 拥塞窗口保持一个较大的均值, 而在受攻击情况下, TCP 流为了不加剧拥塞, 会不断减少拥塞窗口直到达到新的平衡为止, 这种情况下拥塞窗口的均值往往较小,从而导致吞吐量减少。需要指出的是, 攻击机器并不需要造成瓶颈链路长期拥塞, 只需要在主机A 的拥塞窗口未完全恢复以前造成短时间拥塞就可以达到攻击目的。
5276
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
