DOS拒绝服务攻击的原理D.docVIP

本章将研究拒绝服务攻击的原理，这里的拒绝服务特指基于网络连接而进行的一种攻击方式。广义而言，一些其他类型的攻击如口令的破解、非法访问等，如果因为网络的安全性不够高，导致其原有用户不能或不敢继续使用相应的服务，也可以称其为拒绝服务攻击，但这不是本书探讨的内容。像通过本地物理地毁坏而使系统不能使用这种拒绝服务攻击，由于没有通过网络，也不是本书讨论的内容。此外，蠕虫也能实施拒绝服务攻击，鉴于蠕虫攻击的特殊性，我们将在第6章专门对其进行探讨，本章就不做详细的讨论。 3.1? 什么是拒绝服务攻击 1．关于拒绝服务攻击的一些概念 这里，对本书涉及的一些概念予以简单地介绍。先从服务开始谈起。 （1）服务——是指系统提供的，用户在对其使用中会受益的功能。 （2）拒绝服务（DoS）——任何对服务的干涉如果使得其可用性降低或者失去可用性均称为拒绝服务。如果一个计算机系统崩溃或其带宽耗尽或其硬盘被填满，导致其不能提供正常的服务，就构成拒绝服务。 （3）拒绝服务（DoS）攻击——是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低。 传统的计算机安全包括三个属性：必威体育官网网址性、完整性和可用性。对于必威体育官网网址性和完整性的攻击可以通过攻击一个东西即密码而获得成功。而对可用性的攻击，则有很多种途径。例如，攻击者可以通过发送大量的数据到受害者，达到拒绝服务攻击的目的，这种攻击在2000年2月针对Yahoo、Amazon、eBay等以后受到广泛的关注。而如果攻击者可以介入到受害者及相应的服务之间，攻击者无须发送数据风暴即可实施DoS攻击。 （4）分布式拒绝服务（DDoS）攻击——如果处于不同位置的多个攻击者同时向一个或数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击，由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。图3.1所示为典型的DDoS的示意图，其中的攻击者可以有多个。一般而言，除了规模以外，DDoS攻击与DoS攻击没有本质上的区别，严格而言，DDoS攻击也是DoS攻击，只是把多个攻击主机（一个或者数个攻击者控制下的分处于不同网络位置的多个攻击主机）发起的协同攻击特称为DDoS攻击。 （5）DDoS网络——指DDoS攻击中牵涉的各方，它由攻击者（Attacker、Client）、控制台（Master、Handler）、攻击主机（傀儡机、Bot、Zombie）和受害者组成，如图3.1所示。一个攻击者可以控制多个控制台，一个控制台一般控制多个攻击主机。 图3.1? 典型的DDoS攻击示意图 为了攻击效果的缘故，受害者通常只有一个或是有紧密联系的多个（如同一个组织机构的数个网络或数台服务器）。比如，美国商务部拥有的全球根域名服务器（Root Server）共有13个，从美国东部时间2002年10月21日下午5点左右起，攻击者就同时对这13个域名服务器进行了持续1小时的DDoS攻击，结果只有4到5个服务器经受住了攻击并能继续提供服务，其余的服务器都瘫痪了。在这次攻击中，普通的网络用户的服务却没有受到影响[McGuire02]。在此次事件中，攻击者很清楚，他们只有同时使得这13个服务器均不能使用，才能造成最严重的危害，单纯地瘫痪其中少数几个，意义不大，因为这些服务器相互间是冗余的。在此次攻击中，如果单独来看，每个根域名服务器都是一个受害者，从而就有13个受害者；如果因为这13个服务器提供的是同样的服务而把它们看做一个整体，则只有一个受害者。 2．DoS攻击与DDoS攻击的比较 广义而言，DDoS攻击属于DoS攻击，狭义而言，DoS指的是单一攻击者针对单一受害者的攻击，如图3.2所示，这是传统的拒绝服务攻击。而DDoS攻击则是多个攻击者向同一个受害者发起攻击，其具有攻击来源的分散性和攻击力度的汇聚性，而攻击力度比单一的DoS攻击大很多，这是相对较新型的拒绝服务攻击。DDoS攻击力度的汇聚性如图3.3所示。DDoS攻击一般都是用于一些需要靠规模才能奏效的攻击种类，如SYN风暴、UDP风暴等，对于只需少数几个数据包即可奏效的攻击（即后面将要讨论的剧毒包攻击），虽然也可以采用分布式，这时候的“分布式”却没有什么实质的意义，因为这是一个主机就可以轻松完成的工作，自然无须多个主机协同进行。 注：分布式攻击不一定是拒绝服务攻击，其他类型的分布式攻击也是存在的。分布式攻击通常有两类，即资源消耗型和隐蔽型，当然，对于其他的非资源消耗型或者无意隐蔽攻击者的一些攻击，也可以以分布式的方式进行，不过，这时候是否采用分布式，没有多大的区别。资源消耗型分布式攻击会消耗攻击者大量的资源，这样分布式就有了充分的意义，当一个攻击点的力量不足时，由多个点同时发起攻击，分布式起到