荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: ymboy (危险人物), 信区: Security
标  题: Re: 讨论一下DDoS攻击阿?
发信站: 荔园晨风BBS站 (Thu Jul 17 09:36:19 2003), 站内信件

黑客是如何组织一次DDoS攻击的?
这里用"组织"这个词,是因为DDoS并不象入侵一台主机那样简单。一般来说,黑客进行DD
.oS攻击时会经过这样的步骤:

1. 搜集了解目标的情况
下列情况是黑客非常关心的情报:

被攻击目标主机数目、地址情况
目标主机的配置、性能
目标的带宽

对于DDoS攻击者来说,攻击互联网上的某个站点,如http://www.mytarget.com,有一个
重点就是确定到底有多少台主机在支持这个站点,一个大的网站可能有很多台主机利用
负载均衡技术提供同一个网站的www服务。以yahoo为例,一般会有下列地址都是提供htt
p://www.yahoo.com服务的?
?

66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86


如果要进行DDoS攻击的话,应该攻击哪一个地址呢?使66.218.71.87这台机器瘫掉,但
其他的主机还是能向外提供www服务,所以想让别人访问不到http://www.yahoo.com的
话,要所有这些IP地址的机器都瘫掉才行。在实际的应用中,一个IP地址往往还代表着
数台机器:网站维护者使用了四层或七层交换机来做负载均衡,把对一个IP地址的访问
以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了,
他面对的任务可能是让几十台主机的服务都不正常。

所以说事先搜集情报对DDoS攻击者来说是非常重要的,这关系到使用多少台傀儡机才能
达到效果的问题。简单地考虑一下,在相同的条件下,攻击同一站点的2台主机需要2台
傀儡机的话,攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越
好,不管你有多少台主机我都
用尽量多的傀儡机来攻就是了,反正傀儡机超过了时候效果更好。

但在实际过程中,有很多黑客并不进行情报的搜集而直接进行DDoS的攻击,这时候攻击
的盲目性就很大了,效果如何也要*运气。其实做黑客也象网管员一样,是不能偷懒的。
一件事做得好与坏,态度最重要,水平还在其次。

2. 占领傀儡机
黑客最感兴趣的是有下列情况的主机:

链路状态好的主机
性能好的主机
安全管理水平差的主机

这一部分实际上是使用了另一大类的攻击手段:利用形攻击。这是和DDoS并列的攻击方
式。简单地说,就是占领和控制被攻击的主机。取得最高的管理权限,或者至少得到一
个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说,准备好一定数量的傀儡
机是一个必要的条件,下面说
一下他是如何攻击并占领它们的。

首先,黑客做的工作一般是扫描,随机地或者是有针对性地利用扫描器去发现互联网上
那些有漏洞的机器,象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不
胜举啊),都是黑客希望看到的扫描结果。随后就是尝试入侵了,具体的手段就不在这里
多说了,感兴趣的话网上有很多关于这些内容的文章。

总之黑客现在占领了一台傀儡机了!然后他做什么呢?除了上面说过留后门擦脚印这些
基本工作之外,他会把DDoS攻击用的程序上载过去,一般是利用ftp。在攻击机上,会有
一个DDoS的发包程序,黑客就是利用它来向受害目标发送恶意攻击包的。

3. 实际攻击
经过前2个阶段的精心准备之后,黑客就开始瞄准目标准备发射了。前面的准备做得好的
话,实际攻击过程反而是比较简单的。就象图示里的那样,黑客登录到做为控制台的傀
儡机,向所有的攻击机发出命令:"预备~
,瞄准~,开火!"。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令,一起
向受害主机以高速度发送大量的数据包,导致它死机或是无法响应正常的请求。黑客一
般会以远远超出受害方处理能力的速度进行攻击,他们不会"怜香惜玉"。

老到的攻击者一边攻击,还会用各种手段来监视攻击的效果,在需要的时候进行一些调
整。简单些就是开个窗口不断地ping目标主机,在能接到回应的时候就再加大一些流量
或是再命令更多的傀儡机来加入攻击。

DDoS攻击实例 - SYN Flood攻击
SYN-Flood是目前最流行的DDoS攻击手段,早先的DoS的手段在向分布式这一阶段发展的
时候也经历了浪里淘沙的过程。SYN-Flood的攻击效果最好,应该是众黑客不约而同选择
它的原因吧。那么我们一起来看看SYN-Flood的详细情况。

Syn Flood原理 - 三次握手
Syn Flood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是Syn Flood存在的基
础。

TCP连接的三次握手


图二 TCP三次握手

如图二,在第一步中,客户端向服务端提出连接请求。这时TCP
SYN标志置位。客户端告诉服务端序列号区域合法,需要检查。客户端在TCP报头的序列
号区中插入自己的ISN。服务端收到该TCP分段后,在第二步以自己的ISN回应(SYN标志置
位),同时确认收到客户端的第一个TCP分段(ACK标志置位)。在第三步中,客户端确认收
到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP连接,开始全双工模式的数据传
输过程。

Syn Flood攻击者不会完成三次握手


图三 Syn Flood恶意地不完成三次握手

假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应
答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端
一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这
段时间的长度我们称为SYN
Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常
导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大
量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源---
-数以万计的半连接,即使
是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP
进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢
出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接
请求而无暇理睬客户的正常
请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失
去响应,这种情况我们称做:服务器端受到了SYN Flood攻击(SYN洪水攻击)。

下面是我在实验室中模拟的一次Syn Flood攻击的实际过程

这一个局域网环境,只有一台攻击机(PIII667/128/mandrake),被攻击的是一台Solar
is 8.0
(spark)的主机,网络设备是Cisco的百兆交换机。这是在攻击并未进行之前,在Solaris
上进行snoop的记录,snoop与tcpdump等网络监听工具一样,也是一个很好的网络抓包与
分析的工具。可以看到攻击之前,目标主机上接到的基本上都是一些普通的网络包。


           ? -> (broadcast)  ETHER Type=886F (Unknown), size = 1510 bytes
           ? -> (broadcast)  ETHER Type=886F (Unknown), size = 1510 bytes
           ? -> (multicast)  ETHER Type=0000 (LLC/802.3), size = 52 bytes
           ? -> (broadcast)  ETHER Type=886F (Unknown), size = 1510 bytes
192.168.0.66 -> 192.168.0.255 NBT Datagram Service Type=17 Source=GU[0]
192.168.0.210 -> 192.168.0.255 NBT Datagram Service Type=17 Source=ROOTDC[20]
192.168.0.247 -> 192.168.0.255 NBT Datagram Service Type=17 Source=TSC[0]
           ? -> (broadcast)  ETHER Type=886F (Unknown), size = 1510 bytes
192.168.0.200 -> (broadcast)  ARP C Who is 192.168.0.102, 192.168.0.102 ?
           ? -> (broadcast)  ETHER Type=886F (Unknown), size = 1510 bytes
           ? -> (broadcast)  ETHER Type=886F (Unknown), size = 1510 bytes
192.168.0.66 -> 192.168.0.255 NBT Datagram Service Type=17 Source=GU[0]
192.168.0.66 -> 192.168.0.255 NBT Datagram Service Type=17 Source=GU[0]
192.168.0.210 -> 192.168.0.255 NBT Datagram Service Type=17 Source=ROOTDC[20]
           ? -> (multicast)  ETHER Type=0000 (LLC/802.3), size = 52 bytes
           ? -> (broadcast)  ETHER Type=886F (Unknown), size = 1510 bytes
           ? -> (broadcast)  ETHER Type=886F (Unknown), size = 1510 bytes





接着,攻击机开始发包,DDoS开始了…,突然间sun主机上的snoop窗口开始飞速地翻屏
,显示出接到数量巨大的Syn请求。这时的屏幕就好象是时速300公里的列车上的一扇车
窗。这是在Syn Flood攻击时的snoop输出结果:


 127.0.0.178 -> lab183.lab.net AUTH C port=1352
 127.0.0.178 -> lab183.lab.net TCP D=114 S=1352 Syn Seq=674711609 Len=0
Win=65535
 127.0.0.178 -> lab183.lab.net TCP D=115 S=1352 Syn Seq=674711609 Len=0
Win=65535
 127.0.0.178 -> lab183.lab.net UUCP-PATH C port=1352
 127.0.0.178 -> lab183.lab.net TCP D=118 S=1352 Syn Seq=674711609 Len=0
Win=65535
 127.0.0.178 -> lab183.lab.net NNTP C port=1352
 127.0.0.178 -> lab183.lab.net TCP D=121 S=1352 Syn Seq=674711609 Len=0
Win=65535
 127.0.0.178 -> lab183.lab.net TCP D=122 S=1352 Syn Seq=674711609 Len=0
Win=65535
 127.0.0.178 -> lab183.lab.net TCP D=124 S=1352 Syn Seq=674711609 Len=0
Win=65535
 127.0.0.178 -> lab183.lab.net TCP D=125 S=1352 Syn Seq=674711609 Len=0
Win=65535
 127.0.0.178 -> lab183.lab.net TCP D=126 S=1352 Syn Seq=674711609 Len=0
Win=65535
 127.0.0.178 -> lab183.lab.net TCP D=128 S=1352 Syn Seq=674711609 Len=0
Win=65535
 127.0.0.178 -> lab183.lab.net TCP D=130 S=1352 Syn Seq=674711609 Len=0
Win=65535
 127.0.0.178 -> lab183.lab.net TCP D=131 S=1352 Syn Seq=674711609 Len=0
Win=65535
 127.0.0.178 -> lab183.lab.net TCP D=133 S=1352 Syn Seq=674711609 Len=0
Win=65535
 127.0.0.178 -> lab183.lab.net TCP D=135 S=1352 Syn Seq=674711609 Len=0
Win=65535





这时候内容完全不同了,再也收不到刚才那些正常的网络包,只有DDoS包。大家注意一
下,这里所有的Syn Flood攻击包的源地址都是伪造的,给追查工作带来很大困难。这时
在被攻击主机上积累了多少Syn的半连接呢?我们用netstat来看一下:

# netstat -an | grep SYN


192.168.0.183.9      127.0.0.79.1801          0      0 24656      0 SYN_RCVD
192.168.0.183.13     127.0.0.79.1801          0      0 24656      0 SYN_RCVD
192.168.0.183.19     127.0.0.79.1801          0      0 24656      0 SYN_RCVD
192.168.0.183.21     127.0.0.79.1801          0      0 24656      0 SYN_RCVD
192.168.0.183.22     127.0.0.79.1801          0      0 24656      0 SYN_RCVD
192.168.0.183.23     127.0.0.79.1801          0      0 24656      0 SYN_RCVD
192.168.0.183.25     127.0.0.79.1801          0      0 24656      0 SYN_RCVD
192.168.0.183.37     127.0.0.79.1801          0      0 24656      0 SYN_RCVD
192.168.0.183.53     127.0.0.79.1801          0      0 24656      0 SYN_RCVD





其中SYN_RCVD表示当前未完成的TCP SYN队列,统计一下:
# netstat -an | grep SYN | wc -l
5273
# netstat -an | grep SYN | wc -l
5154
# netstat -an | grep SYN | wc -l
5267
…..

共有五千多个Syn的半连接存储在内存中。这时候被攻击机已经不能响应新的服务请求
了,系统运行非常慢,也无法ping通。

这是在攻击发起后仅仅70秒钟左右时的情况。
? ? 在 jjksam (fight the
future) 的大作中提到: 】 : 有没有人? --         1、承认自己有不足
2、明白哪里有不足                3、知道怎么去改善                    4、督促自
己去改善                发现了一个最简单的真理:比我勤奋的人都比我强。

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 61.144.235.41]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店