今年10月份,DDoS攻击又开始猖獗,全球13台互联网域名解析服务器被攻破,险些造成世界互联网的灾难!
拒绝服务(DoS/DDoS)攻击最早可追述到1996
年,在2000年发展到极致。全球包括Yahoo、CNN、eBay在内的十多个著名网站都遭遇过这种流量堵塞技术的攻击,仅Yahoo一家就造成了50万美元的损失。
对于业界来说,DoS攻击的原理极为简单,也早已为人们所熟知。不过,至今为止仍然没有一项技术能很好解决这类简单攻击,目前全球每周所遭遇的DoS攻击依然达到4000多次。专家认识到,虽然各种攻击层出不穷,但DoS/DDoS攻击依然是互联网面临的主要威胁。
针对正在抬头的DDoS攻击,本报结合近日出现的新技术和产品,推出相关技术专题,分析未来的攻击手段变化以及可能的抵抗措施。
重新审视DoS攻击事件,从商业网站、政府网站到互联网的命根子――域名服务器,黑客的攻击一次比一次升级,而采用的攻击技术却几乎没有改变――用最简单的流量堵塞让整个网络瘫痪。这不能不说是对目前网络安全技术的一种嘲讽。
DoS攻击日渐升级
美国东部时间2002年10月21日下午5时左右,国际互联网系统的核心,位于美国、瑞典、英国、日本等国家和地区的13个根名服务器,遭受了有史以来规模最大、最复杂的一次“分布式拒绝服务攻击”(DDoS)。整个袭击横跨全世界,规模巨大,并持续了1小时左右。
域名解析服务器是维系全球互联网正确通信的命根子,如果攻击得逞,整个互联网世界将会崩溃,就如同一个城市,如果所有的地址、门牌号码全部弄乱,人们之间的通信、联络将完全无法进行,整个城市将陷入混乱之中。国际互联网软件合作协议公司主席保罗?维克谢表示,如果10月21日黑客攻击的时间再长一点,全世界范围的国际互联网用户将可能会觉察到连网速度减慢,或是根本无法连接。
如果不是那么健忘的话,许多人对两年前那次全球黑客对商业网站的“集体绞杀”应该还记忆犹新,那是人们第一次广泛知道“拒绝服务攻击”(DoS)以及它的巨大威力。当时,全球媒体对这一事件进行了广泛报道。
为了解当时的攻击状况,记者特从故纸堆中找来当时的报道。《华盛顿邮报》称:“2000年美国当地时间2月7日上午10:15至下午1:25分,世界最大和最受欢迎的网站之一――雅虎被黑客攻击,该网站自设立以来破天荒头一次中断服务长达3个小时之久。黑客来自因特网上多个网址,显然是事先约定的,这次攻击被人称为‘分布式拒绝访问’。”一星期后,美国CNN、亚马逊、eBay、BUY.COM等商业网站都遭到了类似攻击,致使eBay、BUY等网站被迫关闭,黑客们使用了同样简单的攻击手段,向网站发送大量的信息使线路阻塞从而导致系统瘫痪。
与此同时,中国互联网站们也不容乐观:2000年2月8日下午到2月9日上午,新浪声称遭到了黑客长达18小时的攻击,致使电子邮箱系统完全瘫痪;而当当网上书店状告当时的8848公司的黑客攻击事件,更是闹得满城风雨,媒体称,“这开创了互联网时代的第一例‘黑客诉讼案’”。
DDoS攻击给商业网站造成的经济损失是巨大的。雅虎网平均每日给客户发送4.65亿个网页。事发后,虽然雅虎的发言人一再表示从经济角度说,没有造成任何影响。分析家们却不这么认为,由于雅虎的主要收入来自网上广告,在关闭的两小时内本来应该有1亿个页面被访问,也就是说黑客攻击造成该网站至少损失了50多万美元。
但是,在两三天之内,互联网发生了这样多类似的攻击似乎除了给媒体增加了新的素材外并没有引起人们更多的关注。因为,事态发展到最后,许多小网站开始声称自己遭到了类似的攻击,“我被攻击我自豪”,被攻击似乎成了网站炒做的题材之一。这让许多人感觉无聊,于是,掩盖了人们对DDoS攻击的真正关注。
此后的两年多,攻击者多次故伎重演。2001年5月,中美黑客采用同样手法发动了著名的“中美黑客大战”,美国白宫、国家安全局等站点不得不关闭服务,而中国的某些政府网站也遭到了同样的攻击。
近日发展到攻击解析全球域名的域名服务器,是DDoS攻击的一次升级活动,似乎在向全球网络安全界的技术专家示威:看你能把我怎么样!黑客似乎抱着玩的心态而“手下留情”,没有让互联网真正瘫痪。不过,谁能保证将来?
这是2002年黑客对全球互联网脆弱性一次升级的挑衅和嘲讽。专家们现在已经清醒地认识到,DoS或DDoS攻击目前以至将来都是互联网面临的头号威胁。
虽然多数人声称DoS/DDoS攻击方式简单,其原理和攻击源代码也早已公布,但全球DoS攻击却屡屡得逞,这不能不令人为之惊叹。
利用协议弱点
通俗地讲,DoS攻
击通过伪造超过服务器处理能力的访问数据耗尽系统资源而造成服务器响应阻塞,使目标计算机无法提供正常的服务。系统资源包括网络带宽、文件系统空间容量、开放的进程或者允许的连接等。
从攻击类型来看,DoS攻击主要分为针对一切网络设备的流量型攻击(这是目前主要的DoS攻击形式)、针对主机的堆栈突破型攻击和针对系统漏洞的特定型攻击。典型流量型攻击方法有SYN Flood、ACK Flood、UDP Flood、ICMP Flood和MStream Flood等;而堆栈突破型攻击包括Winnnuke、Jolt、Teardrop等。
流量型攻击之所以屡屡得逞并很难预防,在于它利用了TCP协议本身的弱点。以用小带宽冲击大带宽的SYN Flood为例,TCP协议规定一次正常的传输需要在通话的双方建立“三次握手”。(如图1所示)第一次握手,客户端向服务端提出连接请求;第二次握手,服务端作出回应,按照IP源地址返回数据包;第三次握手,客户端确认收到服务端返回的数据包,至此双方才算建立了完整的TCP连接。通常情况下,服务端的操作系统会使用一块限定的内存处理TCP连接请求,这个限定的内存被称为TCP缓存,如果这个缓存队列被填满,任何其他新的TCP连接请求都会被丢弃。当DoS攻击发生时,黑客用伪造的IP地址向服务端发出请求,由于它的IP地址是假的,因此在第二次握手时,数据包无法返回原来的IP地址,但服务端却会不断地尝试“握手”直到超时为止(大约75秒),这形成了“半连接”。大量的“半连接”将目标主机的TCP缓存队列填满,而无法接受新连接,这就形成了一次成功的DoS攻击。(如图2所示)
图1 TCP“三次握手”建立连接
图2 SYN Flood攻击原理
由于攻击所针对的TCP协议层的缺陷短时无法改变,因此DoS也就成为了流传最广,最难防范的攻击方式。从它的攻击方式可以看出,这种攻击会导致资源的匮乏,无论服务器的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。
用于域名解析服务器的ICMP/UDP Flood攻击的原理甚至更简单,它是非连接协议,黑客可采用大量经过伪造的小包攻击,降低目标主机和网络的处理能力,如果调动多台攻击机,甚至可造成直接的带宽阻塞。
多数DoS攻击形成的条件是需要大带宽,单个黑客一般不具备此条件。但他可将其他大量计算机变成“僵尸”,自动向目标网站发送大量信息,这就是分布式DoS攻击――DDoS攻击。它依靠黑客开发的各类软件实现,如Trin00、TribeFlood Network (TFN),TFN2K和Stacheldraht等,它们多数利用操作系统的漏洞,能像病毒一样在网上传染,还能够像病毒一样潜伏,更重要的是能让“僵尸”计算机接收黑客发布的指令,在某一时刻向某个网站集体发动攻击。比如,去年流行的红色代码、Nimda等,最终可认为是对网络进行的一次DDoS攻击。
可以说,DDoS攻击是由黑客集中控制发动的一组DoS攻击的集合,而DoS攻击方式可由上述的各类方式组成。 DDoS现在被称作“黑客的终极武器”,是目前最有效也最猖獗的攻击形式,非常难以抵挡也非常难以查找攻击源,只能从网络源头、网络运营商一级通过路由回溯等技术才能缩小包围圈,但准确定位攻击源几乎难以实现。
目前全球发生的多起DoS攻击事件,基本都是在上述原理基础上的简单扩展。黑客们采用的伎俩似乎并不高明,但为什么我们很少能逃脱这类攻击呢?
我们不能责怪研究人员不关注DoS攻击。坦率地讲,自从1996年全球出现第一例DoS攻击时起,世界各地的研究人员就在着力开发解决这类攻击的有效方法,不过收效不大。为什么呢?
解决办法有缺陷
DoS/DDoS的攻击原理和源代码早已公布,但基于同样原理的攻击依然频繁发生而目前却鲜有完全有效的解决方法。2001年,加州大学研究机构发布的一份报告中指出: 世界范围内每周至少发生四千次拒绝服务攻击。
研究人员想出了一切应对DoS攻击的方法:在人们熟知的防火墙、IDS、VPN甚至杀毒软件中,增加了预防DoS/DDoS攻击的技术,如设置诸如Random Drop、SYN Cookie、带宽限制之类的防护算法;有的专家建议让IDS与防火墙联动,在IDS通过旁路检测到DoS攻击后,立即给防火墙发布指令,抛弃无效的连接或半连接;有的在操作系统中,如微软的WIN NT4中增加了抵抗DoS的功能;对那些资金力量雄厚的服务商,专家建议采用负载均衡技术,让海量流量均衡地分配到不同的服务器中,以防止服务器的瘫痪;而许多对DoS攻击敏感的用户,往往聘请专业的安全服务公司,帮助从IDS的海量报警中,分析出真实的攻击事件,一旦发生DoS攻击事件,一般采取让技术专家将攻击源的IP地址截断的方法。因此,全
