洪水包
也就是说通过发送大量欺骗请求数据包(来源地址为victim受害服务器或目标服务器)给Internet上大量服务器群而这些服务器群收到请求后将发送大量应答包给victim
结果是原来用于攻击洪水数据流被大量服务器所稀释并最终在受害者处汇集为洪水使受害者更难以隔离攻击洪水流并且更难以用Traceback 跟踪技术去找到洪水流来源 在分布式DOS攻击(DDOS)中
攻击者事先入侵了大量服务器并在这些服务器上植入了DDOS攻击
然后结合这些被入侵服务器网络传输力量发动攻击利用大量服务器发动攻击不仅增加了攻击力度而且更难于防范http://www.hackbase.com/down/images/g
/20039191.jpg';" hspace=3 src="http://www.hackbase.com/down/images/g/20039191.jpg" align=center vspace=1 border=1>图 1: DDOS 攻击
结构图
显示了以往DDOS攻击结构:个主机主服务器(Master)作用是发送控制消息给事先入侵并已植入DDOS从服务器群(Slave)控制从服务器群发起对目标服务器攻击从服务器群将产生高容量源地址为伪造或随机网络数据流并把这些数据流发送给目标服务器
数据流源地址是伪造增加了追查难度 利用成百上千
从服务器不仅可以另追查难度加大(难以识别大量区别来源需要查询大量路由器)而且极大阻碍了当成功追查后所需采取行动(这要和大量网络管理员联系安装大量网络过滤器)http://www.hackbase.com/down/images/g
/20039192.jpg';" hspace=3 src="http://www.hackbase.com/down/images/g/20039192.jpg" align=center vspace=1 border=1>图 2: 利用反弹进行DDOS 攻击
结构而今考虑周密
攻击者可以通过利用反弹服务器(Reflector)更好组织他们攻击反弹服务器是指当收到个请求数据报后就会产生个回应数据报主机例如所有WEB服务器DNS服务器及路由器都是反弹服务器他们会对SYN报文或其他TCP报文回应SYN ACKs或RST报文以及对些IP报文回应ICMP数据报超时或目地不可达消息数据报而攻击者可以利用这些回应数据报对目标服务器发动DDOS攻击 攻击者首先锁定大量
可以做为反弹服务器服务器群比如说100万台(这并不是件很难工作在Internet上光是WEB服务器就不止这么多更何况还有更多其他机器可以作为反弹服务器)然后攻击者们集中事先搞定从服务器群向已锁定反弹服务器群发送大量欺骗请求数据包(来源地址为victim受害服务器或目标服务器)反弹服务器将向受害服务器发送回应数据报结果是:到达受害服务器洪水数据报不是几百个几千个来源而是上百万个来源来源如此分散洪水流量将堵塞任何其他企图对受害服务器连接图 2显示了利用反弹进行DDOS攻击
结构注意到受害服务器不需要追查攻击来源所有攻击数据报源IP都是真实都是反弹服务器群IP而另方面反弹服务器管理人员则难以追查到从服务器位置他所收到数据报都是伪造(源IP为受害服务器IP)原则上
我们可以在反弹服务器上利用追踪技术来发现从服务器位置但是反弹服务器上发送数据报流量远小于从服务器发送流量每个从服务器可以把它发送网络流量分散到所有或者大部分反弹服务器例如:如果这里有Nr 个反弹服务器Ns 个从服务器每个从服务器发送网络流量为F那么每个反弹服务器将产生网络流量为http://www.hackbase.com/down/images/g/20039193.jpg';" hspace=3 src="http://www.hackbase.com/down/images/g/200391913.jpg" align=center vspace=1 border=1>而Nr 远大于Ns 所以服务器根据网络流量来自动检测是否是DDOS攻击源这种机制将不起作用值得注意
是不象以往DDOS攻击利用反弹技术攻击者不需要把服务器做为网络流量放大器(发送比攻击者发送更大容量网络数据)他们甚至可以使洪水流量变弱最终才在目标服务器回合为大容量洪水这样机制让攻击者可以利用区别网络结构机制服务器作为反弹服务器使其更容易找到足够数量反弹服务器用以发起攻击我们
分析显示有 3种特别具威胁性反弹服务器是:DNS服务器、Gnutella服务器、和基于TCP-IP服务器(特别是WEB 服务器)基于TCP实现将遭受可预测
序列号威胁篇文章: 自己编写Email 炸弹篇文章: Win2000下进程隐藏种方案
最新评论