DDoS反击基本原理及防雷科学研究
随着网络时代的来临,信息安全变得越来越关键。在信息安全领域,DDoS(Distributed denial of Service,分布式掌控系统DNS)反击技术以其保密性和INS13ZD成为网络反击者最常见的反击方式,威胁着网络的安全。
一、DDoS反击的工作基本原理
1.1分布式掌控系统DNS的表述
DDos的创建者DoS (DenialofService)反击,意为DNS反击。此种反击使网理。当大列佩季哈区电脑的数量达到一定程度时,反击者推送指示操纵者那些反击正方形,对最终目标PS3或网络发动DoS反击,耗用大批的网络带宽和掌控计算资源,导致网络或掌控系统失去知觉或暂停提供恒定的网络服务。由于DDos的分布式掌控系统优点,它具备相比而言Dos更强悍的反击能力和破坏力。
1.2 DDOS反击基本原理
两个相对完备的DDos反击掌控系统分成四个部份,依次是反击者(也称女主人)、掌控魁儡(处理者)、反击魁儡(怪物,也称全权)和被害者(被害者)。第三和第三部份依次用于掌控和前述策动反击。第三部份,掌控机只发布指示,不参与前述反击。第三部份,DDoS的前述反击包是从反击魁儡机收到的。反击者对第三部份和第三部份中的计算机系统拥有掌控权或部份掌控权,并将相应的DDoS流程上传至那些网络平台。那些流程像恒定流程一样运行,并等待反击者的指示。通常,它会使用各种手段来暗藏自己。在平常,那些魁儡机并没有什么异常,但是一旦反击者相连到它们进行掌控并收到指示,攻击的魁儡机就变成了反击者策动反击。
DDoS反击基本原理及防雷科学研究
采用此种结构的两个关键目的是隔绝网络相连,保护反击者在反击操作过程中不被监视掌控系统追踪。与此同时能更快的协同反击,因为反击主导者太多,与此同时两个掌控系统发出指示会造成掌控掌控系统的网络冗余,影响反击的potentially和均衡性。而且网络流量的突然增加很容易曝露反击者的位置和企图。整个操作过程能分成:
1)扫描器大批PS3,寻找能侵略PS3的最终目标;
2)具备恶意软件和阻抗掌控的PS3;
3)在侵略PS3中安装反击流程;
4)用侵略的PS3继续扫描器侵略。
当大列佩季哈区反击全权的数量达到反击者满意时,反击者能通过反击主控电脑随时收到反击指示。因为反击主掌控器的位置非常灵活,收到指示的时间很短,所以定位起来非常隐蔽。反击指示一旦传至反击掌控机,主控机就能关机或离开网络以避免追踪,反击掌控机会将指示下发到各个反击全权机。收到反击指示后,反击全权开始向最终目标PS3推送大批服务请求包。那些数据包经过伪装,致掌控系统崩溃。
此外,这会阻塞最终目标网络的防火墙和路由器等网络设备,进一步加剧网络冗余。因此,最终目标PS3根本无法为用户提供任何服务。反击者使用的协议是一些非常常见的协议和服务。这样,掌控系统管理员很难区分恶意请求和主动相连请求,从而无法有效地分离反击包。
二、DDoS反击识别
DDoS(分布式掌控系统DNS)反击(Distributed Denial of Service,分布式掌控系统DNS)反击,其主要目的是使指定最终目标在没有通知的情况下提供恒定服务,甚至从网络上消失,是目前最强悍、最难的反击手段之一。
2.1 DDoS表现
DDoS主要有两种形式,一种是网络流量反击,主要针对网络带宽,即大批的反击包导致网络带宽被阻塞,合法的网络包因为被虚假的反击包充斥而无法到达PS3;另一种是资源耗尽反击,主要是针对服务器PS3的政治反击,即大批反击包导致PS3内存耗尽或CPU核心和应用流程被占用,导致无法提供网络服务。
2.2反击识别
网络流量攻击识别主要包括以下两种方法:
1) Ping测试:如果发现Ping超时或丢包严重,可能会被反击;如果发现同一台交换机上的服务器无法访问,基本能确定为网络流量反击。测试的前提是受害PS3与服务器之间的ICMP协议没有被路由器、防火墙等设备屏蔽;
2) Telnet测试:其明显特点是远程终端相连服务器失败,容易判断相对网络流量反击和资源耗尽反击。如果网站访问突然非常慢或者无法访问,但是能pinged通,很可能是被反击了。如果用Netstat-na指示在服务器上观察到大批的SYNRECEIVED、TIMEWAIT、FIN WAIT1等状态,但是很少有EASTBLISHED的情况,能判断为资源耗尽反击,表现为受害PS3无法Ping通或者丢包严重,但是Ping通同一台交换机上的服务器是恒定的。原因是掌控系统内核或应用CPU利用率达到100%无法响应ping指示,但是因为还有带宽,能Ping通同一台交换机上的PS3。
第三,DDoS反击模式
DDoS反击有很多,种类也很多。就他们的反击手段而言,最流行的DDoS反击有三种。
3.1 SYN/ACK泛洪反击
此种反击方式是一种经典有效的DDoS反击方式,能杀死各种掌控系统网络服务。它主要是向受害PS3推送大批伪造源P和源端口的SYN或ACK包,导致PS3缓存资源耗尽或忙于推送响应包,造成DNS。很难追踪,因为源头都被破坏了。缺点是实现起来比较困难,需要高带宽僵尸PS3的支持。少量此类反击会导致PS3服务器无法访问,但能Pinged通。在服务器上使用Netstat-na指示时,会观察到大批的SYN接收状态,大批这样的反击会导致ping失败,TCP/IP栈失败,掌控系统会死机,也就是对键盘鼠标没有反应。大多数普通防火墙都无法抵御此种反击。
反击操作过程如图2所示。恒定的TCP相连是三次握手。掌控系统B向掌控系统A推送SYN/ACK包后,暂停在SYN RECV状态,等待掌控系统A返回ACK包。此时,掌控系统B已经分配了用于准备建立相连的资源。如果反击者掌控系统A使用假的源IP,掌控系统B将一直处于“半相连”等待状态,直到超时,相连将从相连队列中被清除;由于定时器的设置和满相连队列,掌控系统A只要持续高速向掌控系统B推送伪造源IP的相连请求,就能在短时间内成功反击掌控系统B,而掌控系统B则无法再响应其他恒定的相连请求。
DDoS反击基本原理及防雷科学研究
图2 SYN泛洪反击操作过程
3.2 TCP全相连反击
此种反击旨在绕过传统防火墙的检查。一般来说,大多数常规防火墙都具备过滤诸如TearDrop和Land之类的DOS反击的能力,但是它们会放过恒定的TCP相连。鲜为人知的是,很多网络服务流程(如IIS、Apache等Web服务器)能接受的TCP相连数是有限的。一旦出现大批TCP相连,即使恒定,也会导致网站访问非常缓慢甚至无法访问。TCP全相连反击是指许多僵尸PS3不断地与受害服务器建立大批的TCP相连,直到服务器的内存等资源耗尽而被拖跨,从而导致DNS。此种反击的特点是绕过一般防火墙的保护,达到反击目的。缺点是需要找到很多僵尸PS3,而且由于僵尸PS3的IP是曝露的,这样的DDOs反击者很容易追踪到。
3.3 TCP刷脚本反击
此种反击主要针对存在ASP、JSP、PHP、CGI等脚本并调用MSSQL Server、My SQL Server、Oracle等数据库的网站掌控系统。它的特点是与服务器建立恒定的TCP相连,不断向脚本提交查询、列表等耗用数据库资源的调用。典型的反击方式是小而广。一般来说,向客户端提交GET或POST指示的成本和带宽几乎能忽略不计,但服务器可能要从数万条记录中找出一条记录才能处理这个请求。这个过程耗用大批资源,普通数据库服务器很少支持上百条查询指示与此同时执行,这对客户端来说很容易。因此,反击者只需要通过全权向PS3服务器提交大批查询指示,只需要几分钟就能耗用服务器资源,造成DNS。常见的现象有网站慢如蜗牛,ASP流程失败,PHP相连数据库失败,数据库主流程占用CPU高。此种反击的特点是能完全绕过常见的防火墙保护,很容易找到一些Poxy全权来实施反击。缺点是对付静态页面的网站效果会大打折扣,有些全权会曝露DDOS反击者的IP地址。
第四,DDoS防雷策略
DDoS防雷是两个掌控系统工程。依靠某个掌控系统或产品来预防DDoS是不现实的。能肯定的是,目前完全消除DDoS是不可能的,但是通过采取适当的措施来抵御大部份DDoS反击是可能的。由于反击和防御都是有成本的,如果通过采取适当的措施来增强抵御DDoS的能力,就意味着增加了反击者的反击成本,那么大多数反击者就不会继续,放弃,这就相当于成功抵御了DDoS反击。
4.1采用高性能网络设备。
要抵御DDoS反击,首先要保证网络设备不能成为瓶颈。所以在选择路由器、交换机、硬件防火墙等设备时,尽量选择知名度高、口碑好的产品。如果与网络提供商有特殊关系或协议,那就更快了。当大批反击发生时,要求他们限制网络相连处的网络流量来对抗某种DDoS反击是非常有效的。
4.2尽量避免使用NAT
无论是路由器还是硬件防雷墙设备都要尽量避免使用NAT,除非必须使用NAT,因为采用此种技术会大大降低网络通信能力。原因很简单,因为NAT需要来回转换地址,转换操作过程中需要计算网络包的校验和,浪费了大批的CPU时间。
4.3足够的网络带宽保证
网络带宽直接决定了抵御反击的能力。如果只有10M带宽,无论采取什么措施,都难以对抗目前的SYNFlood反击。目前至少要选择100M的共享带宽,1000M的带宽会更快。但是需要注意的是,PS3上的网卡是1000M并不代表它的网络带宽是千兆的。如果相连的是100M的交换机,它的前述带宽不会超过100M,而且即使相连了100M的带宽,也不代表它有100兆的带宽,因为网络服务商很可能在交换机上把前述带宽限制在10M。
4.4升级PS3服务器硬件
在保证网络带宽的前提下,尽量提高硬件配置。要有效对抗每秒100,000个SYN反击包,服务器的配置至少应该是P42.4G/DDR512M/SCSI-HD。CPU和内存起着关键作用。内存一定要选择DDR高速内存,尽量选择SCSI硬盘。否则将保证硬件的高性能和稳定性,或者付出高性能的代价。
4.5把网站做成静态页面。
大批事实证明,把网站做得尽可能的静态页面,不仅能大大提高抵御反击的能力,也会给黑客带来很多麻烦。到目前为止,还没有出现HTML的溢出。新浪、搜狐、网易等门户网站主要是静态页面。
另外,在需要调用数据库的脚本中最好拒绝全权访问,因为经验表明,80%的全权访问我们的网站都是恶意的。
动词(verb的缩写)摘要
DDoS反击在不断发展,变得越来越强悍、越来越隐秘、越来越有针对性、越来越复杂,已经成为信息安全的主要威胁。与此同时,随着掌控系统的升级,新的掌控系统漏洞不断出现,DDoS反击技能的提升也加大了保护DDoS的难度。有效应对此种反击是两个掌控系统工程,不仅需要技术人员探索防雷手段,还需要网络用户具备防范网络反击的基本意识和手段。只能用技术手段。
无忧云推出DDOS高防雷IP解决方案
无忧云推出DDOS高保护IP,100T超大保护带宽,1800G超大网络流量保护,价格低至1000元/月。为您提供超级DDOS反击防御保障。DDoS防IP服务是面向游戏、金融、电商、网站等用户的付费增值服务。,遭受高网络流量DDoS反击,服务不可用。用户能配置高防IP(无需备案),将反击网络流量引流到高防IP,保证源站的稳定可靠。
