本文帶你了解DoS 攻擊時(shí)會(huì)有哪些異常表現(xiàn)形式
2022年06月29日
DoS 攻擊時(shí)會(huì)有以下這些異常表現(xiàn)形式:
大量目標(biāo)主機(jī)域名解析:根據(jù)分析,攻擊者在進(jìn)行 DDoS 攻擊前總要解析目標(biāo)的主機(jī)名��。BIND 域名服務(wù)器能夠記錄這些請(qǐng)求���。每臺(tái)攻擊服務(wù)器在進(jìn)行攻擊前會(huì)發(fā)出 PTR 反向查詢請(qǐng)求����,也就是說(shuō)在 DDoS 攻擊前域名服務(wù)器會(huì)接收到大量的反向解析目標(biāo) IP 主機(jī)名的 PTR 查詢請(qǐng)求�。雖然這不是真正的 DDoS 通信,但能夠用來(lái)確定 DDoS 攻擊的來(lái)源��。
極限通信流量:當(dāng) DDoS 攻擊一個(gè)站點(diǎn)時(shí)�����,會(huì)出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時(shí)的極限通信流量的現(xiàn)象。現(xiàn)在的技術(shù)能夠?qū)Σ煌脑吹刂酚?jì)算出對(duì)應(yīng)的極限值�����。當(dāng)明顯超出此極限值時(shí)就表明存在 DDoS 攻擊的通信����。因此可以在主干路由器端建立訪問(wèn)控制列表(Access Control List,ACL)和訪問(wèn)控制規(guī)則���,以監(jiān)測(cè)和過(guò)濾這些通信�。
特大型的 ICMP 和 UDP 數(shù)據(jù)包:正常的 UDP 會(huì)話一般都使用小的 UDP 包����,通常有效數(shù)據(jù)內(nèi)容不超過(guò) 10 B。正常的 ICMP 消息長(zhǎng)度在 64128 B 之間�。那些明顯大得多的數(shù)據(jù)包很有可能就是 DDoS 攻擊控制信息,主要含有加密后的目標(biāo)地址和一些命令選項(xiàng)���。一旦捕獲到(沒(méi)有經(jīng)過(guò)偽造的)控制信息����,DDoS 服務(wù)器的位置就暴露出來(lái)了,因?yàn)榭刂菩畔?shù)據(jù)包的目標(biāo)地址是沒(méi)有偽造的����。
不屬于正常連接通信的 TCP 和 UDP 數(shù)據(jù)包:最隱蔽的 DDoS 工具隨機(jī)使用多種通信協(xié)議(包括基于連接的和無(wú)連接協(xié)議)發(fā)送數(shù)據(jù)。優(yōu)秀的防火墻和路由規(guī)則能夠發(fā)現(xiàn)這些數(shù)據(jù)包�。另外���,那些連接到高于 1024 而且不屬于常用網(wǎng)絡(luò)服務(wù)的目標(biāo)端口的數(shù)據(jù)包也非常值得懷疑�����。
數(shù)據(jù)段內(nèi)容只包含文字和數(shù)字字符:例如��,沒(méi)有空格����、標(biāo)點(diǎn)和控制字符的數(shù)據(jù)包����。這往往是數(shù)據(jù)經(jīng)過(guò) Base 64 編碼后的特征。TFN2K 發(fā)送的控制信息數(shù)據(jù)包就是這種類型���。TFN2K 及其變種的特征模式是在數(shù)據(jù)段中有一串 A 字符(AAA…)���,這是經(jīng)過(guò)調(diào)整數(shù)據(jù)段大小和加密算法后的結(jié)果�����。如果沒(méi)有使用 Base64 編碼���,對(duì)于使用了加密算法的數(shù)據(jù)包,這個(gè)連續(xù)的字符就是空格���。
應(yīng)對(duì) DoS 攻擊的方法有以下這些:
分組過(guò)濾:為了避免被攻擊����,可以對(duì)特定的流量進(jìn)行過(guò)濾(丟棄)�,例如,用防火墻過(guò)濾掉所有來(lái)自某些主機(jī)的報(bào)文����,為了防止 Smurf 攻擊而設(shè)置過(guò)濾器過(guò)濾掉所有 ICMP 協(xié)議的 ECHO 報(bào)文。這種基于特定攻擊主機(jī)或者內(nèi)容的過(guò)濾方法只限于已經(jīng)定義的固定的過(guò)濾器����,不適合動(dòng)態(tài)變化的攻擊模式。還有一種 “輸入診斷” 方案���,由受害者提供攻擊特征��,沿途的因特網(wǎng)服務(wù)提供商(Internet Service Provider�����,ISP)配合將攻擊分組過(guò)濾掉���,但是這種方案需要各個(gè) ISP 的網(wǎng)絡(luò)管理員人工配合,工作強(qiáng)度高�����、時(shí)間耗費(fèi)大�����,因此較難實(shí)施�����,但效果明顯���。
源端控制通:常參與 DoS 攻擊的分組使用的源 IP 地址都是假冒的����,因此如果能夠防止 IP 地址假冒,就能夠防止此類 DoS 攻擊��。通過(guò)某種形式的源端過(guò)濾可以減少或消除假冒 IP 地址的現(xiàn)象��,從而防范 DoS 攻擊�����。例如���,路由器檢查來(lái)自與其直接相連的網(wǎng)絡(luò)分組的源 IP 地址��,如果源 IP 地址非法(與該網(wǎng)絡(luò)不匹配)則丟棄該分組�����。電信服務(wù)提供商利用自身的優(yōu)勢(shì)加強(qiáng)假冒地址的控制�,可大大降低 DDoS 攻擊的影響?,F(xiàn)在越來(lái)越多的路由器支持源端過(guò)濾。但是���,源端過(guò)濾并不能徹底消除 IP 地址假冒�����。例如�,一個(gè) ISP 的客戶計(jì)算機(jī)仍然能夠假冒成該 ISP 網(wǎng)絡(luò)內(nèi)成百上千臺(tái)計(jì)算機(jī)中的一臺(tái)。
追溯:追溯發(fā)起攻擊的源端的方法很多�,這些方法假定存在源地址假冒,它試圖在攻擊的源處抑制攻擊���,并識(shí)別惡意的攻擊源����。它在 IP 地址假冒的情況下也可以工作�����,是日后采取必要的法律手段防止將來(lái)攻擊的必要一步�。但是追溯過(guò)程中并不能實(shí)時(shí)控制攻擊的危害�����,當(dāng)攻擊很分散時(shí)也不能做到有效追溯�����。
路由器動(dòng)態(tài)檢測(cè)和控制:這種方法的基本原理是在路由器上動(dòng)態(tài)檢測(cè)和控制 DoS 攻擊引起的擁塞,其主要依據(jù)是 DoS 攻擊分組雖然可能來(lái)源于多個(gè)流�����,但這些流肯定有某種共同特征����,比如有共同的目的地址或源地址(或地址前綴),或者都是 TCP SYN 類型的報(bào)文�。這些流肯定在某些路由器的某些輸出鏈路上聚集起來(lái)并造成大量的分組丟失。這些有共同特征的流可以稱為流聚集(aggregate)�。
其主要設(shè)想是流聚集所通過(guò)的路由器有可能通過(guò)分析分組丟失的歷史辨識(shí)出這種流聚集。如果一個(gè)路由器辨識(shí)出了這些高帶寬的流聚集����,它就可以通知送來(lái)這些流聚集的上游路由器限制其發(fā)送速率。這種由發(fā)生擁塞的路由器發(fā)起的回推(pushback)信號(hào)可能一直遞歸地傳播到源端���。
這種機(jī)制從直觀上不難理解�����,如果能夠?qū)嶋H使用�,則對(duì)于解決 DoS 攻擊問(wèn)題有很好的效果��。但是這種機(jī)制在實(shí)際的網(wǎng)絡(luò)中能否實(shí)用面臨著檢測(cè)標(biāo)準(zhǔn)、公平性機(jī)制�、高效實(shí)現(xiàn)及運(yùn)營(yíng)管理等很多未解決的問(wèn)題。
