分布式拒绝服务攻击研究

  • 格式:doc
  • 大小:17.00 KB
  • 文档页数:4

龙源期刊网 http://www.qikan.com.cn
分布式拒绝服务攻击研究
作者:徐澄宇
来源:《科技创新与应用》2013年第31期

摘 要:分布式拒绝服务攻击是网络攻击中非常常见的攻击方式,在进行攻击的时候,这
种方式可以对不同地点的大量计算机进行攻击,进行攻击的时候主要是对攻击的目标发送超过
其处理能力的数据包,使攻击目标出现瘫痪的情况,不能提供正常的服务。为了更好的对这种
攻击进行防御,对攻击的特点和攻击的程序以及分类都要进行研究,找到最近的防御措施。

关键词:分布式拒绝服务攻击;分类;攻击原理
分布式拒绝服务攻击可以对多个联合起来的计算机进行攻击,进行攻击的时候可以对一个
或者是多个目标来进行攻击,在进行攻击的时候危害是非常大的。在进行攻击的时候,攻击人
员可以通过窃取账号的方式来对某个计算机来进行主控程序的安装,在主控程序安装完成以后
再通过大量代理程序来进行通讯,在进行攻击以前,代理程序已经通过互联网被安装到多台计
算机上,代理程序的作用就是在收到攻击的指令后就进行攻击,攻击的时候,主控程序可以在
短时间内就激活上千次的代理程序,导致攻击目标出现无法正常使用的情况。

1 分布式拒绝服务攻击概述
分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常
使用,分布式拒绝服务攻击已经出现了很多次,导致很多的大型网站都出现了无法进行操作的
情况,这样不仅仅会影响用户的正常使用,同时造成的经济损失也是非常巨大的。分布式拒绝
服务攻击方式在进行攻击的时候,可以对源IP 地址进行伪造,这样就使得这种攻击在发生的
时候隐蔽性是非常好的,同时要对攻击进行检测也是非常困难的,因此这种攻击方式也成为了
非常难以防范的攻击。

1.1 分布式拒绝服务攻击分析
分布式拒绝服务攻击在进行主机攻击的时候是要花费大量的时间来进行准备,在主机完成
攻击以后才能对更多的从机进行攻击。在对从机进行攻击的时候需要在从机上安装必要的程
序,在接到攻击的指令以后,程序会向服务器发送非常多的虚假地址,服务器在接收这些信息
以后要得到信息回传,因为发送的地址都是伪造的,这样就会导致服务器在回传信息方面要一
直进行等待,在服务器等待一定的时间以后,会因为连接超时导致传输的信息被切断,这时受
到攻击的从机还会继续向服务器发送新的请求,这样反复的发送,会使得服务器的资源被耗
尽,导致系统出现崩溃的情况。

1.2 分布式拒绝服务攻击的特点
龙源期刊网 http://www.qikan.com.cn
分布式拒绝服务攻击采取的攻击手段就是分布式的,在攻击的模式改变了传统的点对点的
攻击模式,使攻击方式出现了没有规律的情况,而且在进行攻击的时候,通常使用的也是常见
的协议和服务,这样只是从协议和服务的类型上是很难对攻击进行区分的。在进行攻击的时
候,攻击数据包都是经过伪装的,在源IP 地址上也是进行伪造的,这样就很难对攻击进行地
址的确定,在查找方面也是很难的。这样就导致了分布式拒绝服务攻击在检验方法上是很难做
到的。

1.3 分布式攻击会出现的现象
计算机在遭受到分布式拒绝服务攻击以后会出现特定的现象,主要表现就是被攻击的主机
会出现大量的TCP连接等待,这时在网络中就会出现大量的没有用处的数据包,这些无用的
数据包出现会导致网络在运行的过程中出现堵塞的情况。被攻击的主机在受到攻击以后是无法
同外界进行联系的,同时主机在提供服务和传输协议上是存在缺陷的,这样就会导致主机在不
断反复的进行服务请求的发出,使得主机无法对请求进行处理,进而会出现系统瘫痪的情况。

1.4 分布式拒绝服务攻击的特性
对分布式攻击进行必要的分析,就可以得到这种攻击的特性。分布式拒绝服务在进行攻击
的时候,要对攻击目标的流量地址进行集中,然后在攻击的时候不会出现拥塞控制。在进行攻
击的时候会选择使用随机的端口来进行攻击,会通过数千端口对攻击的目标发送大量的数据
包,使用固定的端口进行攻击的时候,会向同一个端口发送大量的数据包。

1.5 分布式拒绝服务攻击的程序
在进行网络攻击的时候,分布式拒绝服务攻击主要有几种攻击的程序。第一种是Trinoo,
这种程序是出现最早的攻击程序,在进行攻击的时候主要是通过远程控制程序和主控通讯,对
服务器程序发动攻击。服务器程序是存在于系统中的,在进行攻击的时候,攻击者要控制多台
计算机,在这些计算机上进行分布式拒绝服务软件的安装,然后建立起来相应的网络,这样就
可以随时对攻击的目标进行攻击。第二种是TFN,它由客户端程序和守护程序组成。通过绑定
到TCP端口的Root Shell控制,实施ICMP Flood,SYN Flood,UDP Flood和Smuff等多种拒
绝服务的分布式网络攻击。TFN客户端、主控端和代理端主机相互间通信时使用ICMP Echo
和Icmp Echo Reply数据包。第三种是Stacbeldraht,它结合了Trinoo与TFN的特点,并添加
了一些补充特征,如加密组件之间的通信和自动更新守护进程。Stachd-draht使用TCP和
ICMP通信,攻击者与主控端交互,同时主控端控制代理端。Stacheldraht在功能上与Trlnoo和
TFN相近。最后一种是TFN2k,TFN2k代表TFN 2000版。它允许端口上随机通信及加密,这
样就绕过了边界路由器上端口阻挡的防护措施和入侵检测软件。TFN2k攻击不但可以与
SYN、UDP、ICMP和Smud攻击相配合。而且还可以在不同的攻击方式之间随机切换。

2 分布式拒绝服务攻击的分类
龙源期刊网 http://www.qikan.com.cn
按照TCP/MP协议的层次可将DDOS攻击分为基于ARP的攻击、基于ICMP的攻击、基
于IP的攻击、基于UDP的攻击、基于TCP的攻击和基于应用层的攻击。

2.1 基于ARP的攻击
ARP是无连接的协议,当收到攻击者发送来的ARP应答时。它将接收ARP应答包中所提
供的信息。更新ARP缓存。因此,含有错误源地址信息的ARP请求和含有错误目标地址信息
的ARP应答均会使上层应用忙于处理这种异常而无法响应外来请求,使得目标主机丧失网络
通信能力。产生拒绝服务,如ARP重定向攻击。

2.2 基于ICMP的攻击
攻击者向一个子网的广播地址发送多个ICMP Echo请求数据包。并将源地址伪装成想要
攻击的目标主机的地址。这样,该子网上的所有主机均对此ICMP Echo请求包作出答复,向
被攻击的目标主机发送数据包,使该主机受到攻击,导致网络阻塞。

2.3 基于IP的攻击
TCP/IP中的IP数据包在网络传递时,数据包可以分成更小的片段。到达目的地后再进行
合并重装。在实现分段重新组装的进程中存在漏洞,缺乏必要的检查。利用IP报文分片后重
组的重叠现象攻击服务器,进而引起服务器内核崩溃。如Teardrop是基于IP的攻击。

2.4 基于应用层的攻击
应用层包括SMTP,HTTP,DNS等各种应用协议。其中SMTP定义了如何在两个主机问
传输邮件的过程,基于标准SMTP的邮件服务器,在客户端请求发送邮件时,是不对其身份进
行验证的。另外,许多邮件服务器都允许邮件中继。攻击者利用邮件服务器持续不断地向攻击
目标发送垃圾邮件,大量侵占服务器资源。

3 结束语
网络技术在现在的使用范围是非常广的,在使用的时候也是经常会出现被攻击的情况,网
络攻击在很多的时候会是多种多样的,其中分布式拒绝服务攻击就是网络攻击中重要的方式,
在对这种攻击方式进行分析以后,就能避免这种攻击带来的危害。

参考文献
[1]曹爱娟,刘宝旭.抵御DDOS攻击的陷阱系统[J].计算机工程,2004,30(1).
[2]徐呜涛,陆松,杨树堂.五种IP返回艰踪拒绝服务攻击方法的比较[J].计算机应用研究,
2004,21(3).
龙源期刊网 http://www.qikan.com.cn