详细谈谈网络安全一直很重要的DDOS攻击。
DDoS是什么?
DDoS概念
DDoS工具又称“分布式拒绝服务”攻击,它的前身是DoS拒绝服务攻击。
拒绝服务:是指应用系统无法正常地对外提供服务,如网络阻塞、系统宕机、响应缓慢等都属于拒绝服务的表现。
拒绝服务攻击(DoS):是一种通过各种技术手段导致目标系统进入拒绝服务状态的攻击,常见手段包括利用漏洞、消耗应用系统性能和消耗应用系统带宽。这是以单机的形式发起的。
分布式拒绝服务攻击(DDoS):是一种利用分布全球的僵尸网络发动攻击,能够产生大规模的拒绝服务攻击。也就是说攻击者首先利用网络上现有机器及其系统的漏洞,攻占大量联网主机,使其成为攻击者的代理,当被控制的机器达到一定数量后,攻击者通过发送指令操作这些攻击机同时向目标主机或网络发起DoS攻击。能够达到大量消耗目标网络和系统资源,甚至导致其瘫痪。
DDoS原理
比较完善的DDoS攻击体系主要由四个部分组成:主攻击机(master)、控制傀儡机(handler)、攻击傀儡机(demon)以及受攻击机(victim)。其中控制傀儡机负责控制,只发布指令不参与实际攻击;攻击傀儡机负责实际发起攻击,发送DDoS的实际攻击包;主攻击机对傀儡机有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些宿主机上。在平时,这些傀儡机器并没有什么异常,运行的程序也会利用各种手段隐藏不被发现。
采取这样的结构,能够隔离网络联系,保护主攻击机,使其不会在攻击进行时遭到被攻击方的溯源和追踪,流量突然的增大很容易暴露攻击者的位置和意图。一旦攻击的命令传送到攻击傀儡机,主攻击机就可以关闭或脱离网络,以逃避追踪溯源;而且攻击者利用的协议都是一些非常常见的协议和服务,这样网络管理员就很难区分恶意请求和正常连接请求。
DDoS怎么攻击?
SYN Flood攻击
三次握手
首先先回顾下三次握手过程:
第一次握手,客户端向服务器发送一个SYN请求包报文,包含客户端使用的端口号和初始序列号X
第二次握手,服务器端收到客户端发送过来的SYN请求包,知道客户端想要建立连接,于是向客户端发送一个SYN请求包和ACK回应包,包含确认号X+1和服务端初始序列号Y
第三次握手,客户端收到服务器端返回的SYN请求包和ACK回应包后,向服务端返回一个确认好Y+1和序列号Z的请求包。
全连接是指完成了三次握手,服务端会把这个连接放入全连接队列;
半连接是指还没有完成TCP三次握手的连接,连接只进行了一半,也就是服务端收到客户端的SYN报文之后,服务端会将这个连接放入半连接队列然后再向客户端发送SYN+ACK控制报文之后
全连接和半连接队列在满后,都会进行溢出处理,将后面发送的请求报文丢掉。
SYN Flood攻击原理
SYN Flood洪泛攻击就是针对半连接队列的。攻击者不停向服务端发起连接建立请求,但是当收到第二次连接服务端的SYN+ACK包之后,故意丢掉报文,然后不进行第三次握手再重复进行请求,这样服务端的半连接队列很快就会被打满,其他正常的请求就无法和服务端建立连接,攻击目的就达到了。
hping3工具可以构造TCP/IP协议数据包,对系统进行安全审计、防火墙测试、DDoS攻击测试等,可以利用这个工具进行模拟测试。流量包分析可以利用Wireshark工具,抓取数据包的数据,通过筛选出发送包频率多的ip地址,再进一步分析ip地址发送的数据包协议,如果发现TCP和http占比大,进一步筛选TCP的SYN数据包,发现SYN数据包占比很大,则可以判断这是SYN Flood攻击。
hping3 -5 -p 80 -i u10 受害主机ip
#-5表示设置TCP协议的SYN(同步序列号)
#-p设置目的端口
#-i u10表示每隔10微妙发送一个网络帧UDP Flood攻击
UDP属于无连接协议,消耗的系统资源较少,相同条件下,UDP容易产生更高的流量,是流量型攻击的主要手段。
流量型攻击:主要以消耗目标业务系统的带宽资源为攻击手段,通常会导致网络阻塞,从而影响正常业务。
还有其他类型比如漏洞型(利用特定漏洞进行攻击,通常发送特定数据包或少量数据包即可达到攻击效果)、业务型(需要根据业务系统来采取对应的攻击手段,通常流量会远低于流量型)。
当系统收到一个UDP数据包的时候,会确定目的端口正在等待中的应用程序,当发现端口中并不存在正在等待的应用程序时,就会产生一个“目的地址无法连接”的ICMP数据包发送给伪造的源地址。如果攻击者发送大量的UDP数据包给受害者,那受害者系统就会造成拒绝服务攻击。
可以通过Wireshark进行流量包分析,如果看到接受的UDP包占比很多且UDP的大小都是固定字节则可以判断出这是UDP Flood攻击。
ICMP Flood攻击
当ICMP ping产生的大量回应请求超出了系统的最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流。不过将ICMP协议报文丢弃不影响大多数系统运行,所以容易被防护。
可以利用hping3进行ICMP Flood攻击:
hping3 -q -n -a 伪造的源ip –icmp -d 200 –flood 受害主机ip受害主机的CPU和网络流量会明显增多
可以通过Wireshark进行流量包分析,比如有同一ip发送大量ICMP包
慢速拒绝服务攻击
原理:完整的http请求包是以\r\n\r\n结尾的,如果仅发送\r\n,少发送一个\r\n。服务器会认为请求还未发完,服务器就会一直等待直至超时,这就是慢速拒绝服务攻击的原理。
使用slowhttptest进行慢速拒绝服务攻击:
slowhttptest -c 5000 -H -g -o my_header_stats -i 10 -r 5000 -t GET -u “http://10.10.10.10” -x 200 -p 3
#-c指定建立的连接数
#-H指定slowloris模式,即发送只包含部分http头部信息不包含结束标记\r\n\r\n的请求
#-G指定生成cvs和HTML文件统计数据
#-o指定生成的文件名
#-i指定发送数据间的间隔时间
#-x指定发送最大数据长度
-p指定等待时间来确认DoS攻击是否完成受害主机的CPU和网络流量会明显增多
通过Wireshark观察数据包,[PSK,ACK]是攻击机发送给受害主机的ACK包,发现没有2次连续的\r\n,且能够发现ACK数据包占比很大。
DDoS怎么防御?
1. 增强服务器带宽和硬件性能
DDoS攻击通常通过大量请求拥塞服务器带宽或资源,增强服务器的处理能力,比如升级网络带宽、增加服务器资源,如CPU、内存等。这样可以减少影响。这是提升本身性能方面来看。
2. 使用内容分发网络(CDN)
CDN能将网站内容分发到多个服务器上,通过CDN提供商,将网站内容部署到全球各地的服务器上,分散攻击流量。
3. 配置防火墙和入侵检测系统(IDS/IPS)
防火墙能过滤恶意流量,IDS/IPS能检测并阻止异常流量。选择高效的防火墙和入侵检测系统,配置规则以应对DDoS攻击。
4. 域名系统保护(DNS保护)
DDoS攻击有时针对DNS服务器,导致网站无法访问。使用高防护的DNS服务,或配置多个DNS服务器,实现负载均衡和容错。就类似于中转站分流。
6. 定期进行安全审计和渗透测试
及时发现和修复安全漏洞,减少被攻击的风险。聘请专业的安全团队进行安全审计和渗透测试,并根据建议进行改进。
7. 建立应急响应计划
在遭受攻击时,能快速、有效地应对,减少损失。制定详细的应急响应计划,包括攻击识别、通知相关人员、启动防护措施等。