Sockstress:可导致灾难的新型DOS攻击

　　拒绝服务类型的攻击并不是什么刚刚产生的新事物，并且对于破坏网络资源来说，它们一直显得非常有效。现在，最新类型的拒绝服务攻击Sockstress让它们的潜在威胁性变得更大。

　　来自Outpost 24的安全研究员杰克·C·路易斯和罗伯特·E·李宣布发现了一种 相对简单的方法可以轻松地实施拒绝服务(DoS)攻击，该方法不需要进行大规模的阻断式服务攻击(SYN Floods)。两位研究人员没有公布攻击方法的详细信息，只是提供了布鲁诺·德·温特做的一个非常有趣的专访。Slashdot网站提供了一篇题为“新类型的拒绝服务攻击是网络杀手”的文章，文中包含了采访的MP3音频文件。这个文件非常大，而且开始的几分钟不是相关的信息。这里是一个精简的版本(将立体声进行转换并清除了无关部分)的MP3文件连接，以及和Sockstress相关的几个连接，你可以在吉布森研究公司联系页面的底部附近找到需要的信息。

　　由攻击过程引发的争议

　　攻击过程的具体情况目前大家并不了解。费奥多尔(网络映射器(Nmap)的作者，也是我崇拜的一位英雄)阐述了他对具体攻击过程的猜测：

　　“基本情况应该是，首先利用类似iptables(Linux系统中)的命令隔离系统的源地址(es)以防止本身的操作系统干扰将要进行的攻击。接下来，就可以创建数百或数千个连接到希望进行破坏的传输控制协议目标(TCP)端口(如网络服务器的八○端口)，具体步骤如下：

　　1. 攻击者从自己的网络IP地址(或他所控制的一个网络IP地址)发送一个传输控制协议的同步数据包到目标端口，要求进行连接。

　　2. 目标端口处于开放的状态，所以将响应同步数据包并发送回同步数据包的确认包(SYN/ACK)，以便进行传输控制协议的第二个步骤，三路握手。请记住，攻击者是利用内部应用发送的同步数据包，而不是自己的操作系统里的连接应用程序接口来建立连接的。因此，当攻击者的操作系统的传输控制协议堆栈看到意想不到的同步/确认回来，它通常会通过发送一个复位(RST)数据包关闭新建立的连接。这就是为什么在隔离规则中特别提到，以防止攻击者操作系统的这种干扰。应该是由攻击者的攻击客户端(通常情况下使用的是libpcap)处理所有这些数据包，并对数据包进行回复。

　　3. 使用初始序列号和其他的同步/确认信息，攻击者就可以通过发送一个确认分组数据包(三路握手的最后一步)来完成连接的建立。”

　　罗伯特·李的答复

　　罗伯特·李迅速在他的网络日志上指出，费奥多尔的猜测是不完全正确的：

　　“在费奥多尔的文章中：包含了一些非常有用的信息。尽管他在文章中对如何进行sockstress类型攻击的描述，以及为什么为导致这种结果的原因进行了分析，但他的猜测和我们发现的攻击模式并不相同。

　　杰克[罗伯特的合作伙伴]进一步强调，关闭服务器端同步SYN-Cookie保护将没有什么用处，只会让你再次受到阻断式服务攻击(就象费奥多尔的文章中描述的那样)。

　　此外，攻击的目的就是耗尽系统资源，而不得不重新启动。而不是让具体的某个服务失去作用。在公开的交流中，我们已经明确地提到了这一点，不过在这里，我认为需要重复一下。”

　　费奥多尔的回答

　　当有人问费奥多尔，他发现的漏洞与路易斯和李发现的是否是同一个的时间，他是这样回答的：

　　“因为他们拒绝说明全部的细节，所以我不知道。但是，看起来这象是同样的漏洞。罗伯特和杰克都是非常聪明的人，所以，我相信他们找到了在某些情况下扩大和加强攻击效果的方式。”

　　费奥多尔进一步解释说：

　　“我认为重点不是在研究本身，而是拒绝说明全部的细节以进行炒做。我不认为共享细节会在互联网上引起任何问题，因为已经有许多简单而有效的方法可以抵御针对传输控制协议服务进行的拒绝服务攻击(包括列举在此网页中的一些方法)。许多用来抵御所有其它类型的传输控制协议服务拒绝服务攻击的同类技术，也将可以用来针对这些较新的攻击类型。”

　　可能的解决方案

　　由于攻击的很多细节现在并不明确，所以，安全专家建议按照一个典型的拒绝服务攻击进行防范，禁止可能的网络地址。目前来看，Sockstress类攻击显然是没有能力进行网络地址欺骗，因此，禁止网络地址应该是有效的。专家们还提到，入侵检测/入侵防御软件(如IPtables或Snort的产品)应能够检测到这样的攻击，并防止恶意的传输控制协议/网间协议连接。

　　最后的思考

　　由于卡明斯基的错误，边界网关协议显得相当脆弱，这让现在流行的对传输控制协议/网间协议栈的拒绝服务攻击变得非常有趣。大家现在关注的是路易斯和李将会在什么时间以什么样的方式公布相关的细节。在我的记忆中，从2005年起路易斯和李就试图为传输控制协议/网间协议的安全找到解决方案。

　　现在看来，我们没有什么可以做的，希望刚刚知道的漏洞不会给我们带来什么坏处。我们必须再等待几个星期，在芬兰首都赫尔辛基举行的一个T2′08国际安全会议上，路易斯和李将会发布关于这种类型攻击的详细报告。