拒绝服务攻击详解之基础篇.docVIP

[翻译]拒绝服务攻击详解之基础篇 目录绪论拒绝服务三大类五花八门的拒绝服务攻击手法包欺骗和原始套接防止拒绝服务攻击尾声相关连接免责条款绪论：这份资料是为那些对拒绝服务（Denial of Service，DoS）有一些了解的网络管理员准备的，资料中涉及到了大量关于拒绝服务攻击（Denial of Service attacks）的基础以及相关知识。互联网上的拒绝服务攻击正变得越来越常见。发起一场拒绝服务攻击对于一个老练的黑客来说已经不是什么难事儿，甚至是一个非常普通的脚本小子都可以通过使用从互联网上下载的工具做到。由于可以被轻易上演，拒绝服务攻击已经逐渐成为当今因特网上的严峻问题。很多网上银行和娱乐站点由于拒绝支付黑金而被不法份子采用拒绝服务的手段攻击，调查显示攻击速度几乎可以达到1G/s，而且问题仍然在恶化。目前，大概一些攻击者已经可以达到1T/s，而仅仅1G/s的攻击强度就足够让雅虎（）和亚马逊（）这样的大站倒塌了。您无法防止恶徒对您进行拒绝服务攻击，但是多了解一点儿这种手法，以便当您的服务器遭到拒绝服务攻击的时候能尽可能的阻止他或者把损失降到最低却是很有必要的。这篇文章的作者是Aelphaeis Mangarae，中文翻译由冰血封情[E.S.T]完成。 拒绝服务三大类：DoS：DoS攻击是一种攻击者自他或她自己的机器发起的攻击。通过对远程计算机发送攻击数据包，每发送一个远程的计算机收到一个。这种攻击已经比较罕见了，因为大多数情况下这种攻击不能得手，并且在攻击的时间段上很容易被追踪。一般的说，使用DoS攻击手段的大多数都是那些喜欢用“黑客工具”而没有大脑的业余脚本小子，他们异想天开的以为有机会用自己的破电脑搞塌一台web服务器。多数情况下这些脚本小子最终会发觉自己信赖的攻击工具没有效果，从而转而使用一种新的所谓的“黑客工具”或者很可能使用工具发动一场分布式拒绝服务（Distributed Denial Of Service）攻击。DDoS：分布式拒绝服务（Distributed Denial of Service，DoS）攻击是拒绝服务攻击者群体中最常用的手法了。如果一个攻击者想发动一场拒绝服务攻击，他可以召唤数千甚至是数万数十万被安装了傀儡软件（一种类似IRC客户端的程序，但是功能可就牛了，有些时候被称做DDoS蠕虫）的机器（后面叫肉机）。通常情况下这些客户端会从肉机上登录到一个IRC聊天室，等待攻击者发号施令。攻击者只要键入类似如下的命令”$flood ICMP ”后，这些IRC聊天室里的客户端接收命令并且开始向目标发送ICMP包。由于攻击者有足够的客户端安装在很快的服务器肉机上，那么很轻易就造成了远程目标掉线或者是拒绝合法用户的访问通常，攻击者选择手工添加可以用来攻击的肉机，他们通常把IRC攻击程序客户端作成网页木马的方式，通过利用社会工程学诱使他人访问那张网页。通过利用IE的某一个漏洞（通常IE的安全性都很差劲儿），在对方计算机上下载并执行客户端。目前，组建一直庞大的亏累军团用于攻击已经不是什么难事儿，因特网上有很多傀儡软件可供下载，比如Forbot、RxBot以及Agobot。这些傀儡软件通过扫描特定的服务或端口并且尝试渗透并感染远程计算机（有点象蠕虫），如果这些傀儡终端使用了0day exploit来运做那将是非常实用的。DoS客户端一般都支持标准的洪水攻击，比如ICMP，UDP，TCP以及SYN洪水。DRDoS：分布式反映射拒绝服务（Distributed Reflected Denial of Service，DRDoS）是相当罕见的一种拒绝服务攻击种类，因为攻击一台大型服务器都没必要使用DRDoS，尽管这种手法仍然曾经一度被声名狼藉的Mafia Boy用来攻击、、和。DRDoS的原理是攻击者命令他的肉机使用伪造的包去洪水攻击一个特殊的媒介主机而引发的。打个比方，攻击者命令他手下一半数量的肉机去使用伪造的ICMP包洪水攻击，同时再命令他手下另外一半数量的肉机去使用伪造的ICMP包洪水攻击，由于这些伪造的攻击数据包都看起来象是来自。那么和就会在不知觉中洪水攻击，因为伪造的ICMP数据包都标识为源地址是，那么和将向这个伪造的地址（也就是微软）进行回复。可是大家知道，任何一个精心伪造的ICMP数据包发送到和的时候，和可能有数千台机器在这同一个IP地址上，而每台机器都将对这个伪造的地址进行回复，因此这个攻击效果将被放大很多倍。下面我专门附带了一张图示用来说明DRDoS是怎样运做的。 红线：是连接攻击者和肉机的，攻击者通过这条线路去命令肉机发动攻击。蓝线：肉机发送伪造的ICMP包，这些ICMP包都看起来象是来自受害者的因特网中枢路由。绿线：连