挥之不去的梦魇——DDOS攻击

　　前段时间，分布式拒绝服务破坏了包括维基解密和万事达卡在内的不少网站。只要利用搜索引擎搜索一下，我们就可以了解到相关情况。

　　维基解密服务器受到的攻击强度是在万兆每秒(Gbps)左右。通常情况下，人们对DDoS的认识是知道它可以利用无用流量占据网络中的所有带宽，导致出现数据拥塞，从而无法进行正常工作的情况。当然，这确实属于DDoS攻击中的一类，不过，这一概念里实际上也包含了可以通过攻击占据服务器资源的其它类型。这就意味着，由于针对的是服务器资源，所以，不管网络带宽有多大，DDoS攻击也是有可能获得成功的。为了真正确保网络不受到类似攻击，互联网连接和服务器都需要进行防护。

　　通常情况下，DDoS攻击针对的是网络中的TCP/IP基础设施。这些攻击可以分为三种类型：一种是利用TCP/IP协议栈中存在的已知缺陷;一种是针对TCP/ IP的漏洞;最后一种就是尝试并进行真正的暴力攻击。

　　实际上，现在攻击者甚至不需要利用任何黑客的支持就可以发动拒绝服务攻击。根据ZDNet调查显示，只要8.94美元每小时的价格，就可以从犯罪分子那里租用一张僵尸网络。

　　利用傻瓜软件就可以发动DDoS攻击的话，为什么还要付费呢?来自系统管理、网络和安全协会互联网风暴中心的消息显示，在这波针对商业公司发起的DDoS攻击浪潮中，人们开始使用低轨道离子加农炮(Low Orbit Ion Cannon，以下简称LOIC)，一种开源的DoS攻击工具来对卡或者维萨卡网站的端口进行攻击。使用者要做的事情仅仅就是用鼠标点击一下，攻击就正式开始了。

　　LOIC是一个功能非常强大的工具。它可以使用大规模的垃圾流量对目标网站实施攻击，从而耗尽网络资源，导致网络崩溃，无法提供服务。关于这起攻击，唯一“有趣”的事情是，推特被用来对攻击过程进行协调。

　　如果希望了解DDoS攻击是如何进行攻击的话，下面就是我对DDoS攻击技术的全面介绍。

　　DDoS攻击技术的详尽分析

　　TCP/IP协议栈实现中存在的漏洞

　　对于利用TCP/IP协议中存在漏洞进行攻击的模式来说，典型的例子就是死亡之Ping攻击。利用这一漏洞，攻击者可以创建一个超过IP标准最大限制65536字节的IP数据包。当该巨型数据包进入使用存在漏洞的TCP/ IP协议栈和操作系统的系统时，就会导致崩溃。

　　所有的最新操作系统和协议栈都可以防范采用死亡之Ping模式的攻击，但是，时不时的，我就会发现有人还在运行无法防范死亡之Ping攻击的系统。这种情况告诉我们，大家都应该及时对网络设备和软件进行更新。仅仅因为它依然可以运行，并不等于这样的情况是安全的。

　　对TCP/IP运行中的漏洞进行攻击的另一种方式是撕毁模式，它利用的是系统对IP数据包分片进行重新组合时间存在的漏洞。由于网络是四通八达的，所以，IP数据包可能被分解成更小的分片。所有这些部分都包含了来自原始IP数据包的报头，以及一个偏移字段来标识里面包含哪些字节来自原始数据包。有了这些信息，在出现网络中断的情况下，被破坏的普通数据包就可以在目的地重新组合起来。而在撕毁攻击中，服务器将遭到来自包含了含有重叠偏移的伪造分片数据包的攻击。如果服务器或者路由器不能忽略这些分片，并尝试对他们进行重新组合的话，就会导致系统崩溃的情况很快出现。但如果系统及时进行了更新，或者拥有可以防范撕毁攻击的防火墙的话，就不用担心这类问题了。

　　TCP/IP协议中的漏洞

　　另一种古老而有效的DDoS攻击模式是同步攻击。同步的工作是用来在两个互联网应用之通过协议建立握手。它的实现方法是通过一个应用程序发送一个TCP SYN(同步)数据包到另一个程序来启动会话过程。对应的应用程序将返回一个TCP SYN-ACK(同步确认)包;原始程序接下来就利用个ACK(确认)响应。一旦程序间建立了会话过程，就可以实现协同工作了。

　　同步攻击的方式是发送大量TCP SYN数据包。每个SYN数据包都会迫使目标服务器产生一个SYN-ACK响应，并等待合适的应答。这样很快就导致在SYN-ACK的背后都积压一堆其他注册的队列。当积压队列爆满，系统就将停止确认收到SYN请求。

　　如果同步攻击发送的同步数据包中包含了错误的网络源IP地址的话，攻击的效果就会更好。在这种情况下，由于SYN-ACK发送出去后，ACK不再返回。通常情况下，迅速满溢的积压队列就会将合法程序发送的SYN请求结束。

　　内地攻击就是采用欺骗同步数据包模式攻击的新变种，它可以将网络地址伪装成为来自网络内部的情况。现在，同步攻击针对的似乎主要是防火墙，给管理者制造麻烦。

　　同样，大部分最新的操作系统和防火墙都可以防御同步攻击。这里有一种简单的方法，可以对防火墙进行设置，以防止所有包含已知错误源网络IP地址的传入数据包。该列表中包含了下列仅在内部使用的保留网络IP地址：10.0.0.0到10.255.255.255，127.0.0.0到127.255.255.255，172.16.0.0到172.31.255.255以及192.168.0.0到192.168.255.255。

　　但是，如果可以方便地直接摧毁系统，还为什么要担心偷偷摸摸躲在窗后的敌人呢?地址欺骗攻击以及利用用户数据报协议(UDP)过度使用的洪水攻击就属于这样的情况。

　　在地址欺骗攻击中，攻击者会向路由器发送过量的网际消息控制协议(ICMP) 回送请求数据包，这是一种特殊的ping包。每个数据包的目的网络IP地址也是网络中的广播地址，这会导致路由器将ICMP数据包广播给网络中的所有主机。不用说，在一张大型网络中，这将迅速导致出现大量数据传输堵塞的情况。此外，类似内地攻击，如果黑客将两种模式结合到一起的话，事情就会变得更糟。

　　防范地址欺骗攻击的最简单方法就是关闭路由器或者交换机的地址广播功能，或者在防火墙中进行设置拒绝ICMP回送请求数据包。管理员还可以对服务器进行设置，这样的话，在遇到发送给广播网络IP地址的ICMP数据包时，就不会进行响应。由于很少有应用需要网络IP地址广播功能，所以这些调整不会对网络的正常运行带来影响。

　　对于采用UDP洪水模式的DDoS攻击来说，就不是那么容易处理了。原因很简单，类似域名系统(DNS)和简单网络管理协议(SNMP)，很多应用都需要UDP协议的支持。在UDP洪水攻击中，攻击者通过欺骗手段连接到系统的UDP 字符发生器服务上，在接受到数据包后，字符发生器将会针对另一台系统发送回送服务包。结果就是，系统之间来自字符发生器的半随机字符泛滥，导致带宽迅速被充满，常规应用的使用受到了影响。

　　防范UDP攻击的一种方法是禁用或者过滤所有针对主机的UDP服务请求。只要容许被服务型的UDP请求，需要使用UDP或作为备份数据传输协议的普通应用，将可以继续正常工作。

　　暴力攻击

　　看起来，有这些多种方法都可以用来阻止DDoS攻击，因此，有人可能会认为这不会比垃圾邮件更难处理。但可惜的是，这种想法是完全错误的。在任何心存不满的人都可以纠集从数百到数万台计算机对网站进行DDoS攻击的时间，防范工作将会是非常困难的。他们所要做的工作仅仅是从网络上对可能存在的信息进行了解，就可以迅速进行所需要的攻击。

　　类似Conficker的恶意软件将数以十万计的Windows系统变成了潜在攻击者可以使用的武器。由此导致的直接攻击浪潮不会被寥寥无几的防御措施所阻挡。防御者所能依靠的只有服务器，这也是为什么维基解密试图选择亚马逊网络服务或者大量增加网络托管主机的资源才能防止洪水攻击的原因。

　　我担心，并且确信，在未来会看到更多这种类型的DDoS攻击。随着互联网范围的进一步扩大，越来越多的使用者通过宽带接入，为攻击者提供了更多未受保护的Windows系统来进行控制。更糟的是，在类似低轨道离子加农炮之类工具的帮助下，只要获得一些志同道合朋友的帮助，任何中型网站都可以被摧毁。

　　请不要忘记，使用这些工具的话，可能会被跟踪，并可能会面临刑事指控。最近，一名大学生就因为利用DDoS攻击工具攻击保守派的网站被判入狱30个月。

　　不过，即使这样的威胁笼罩在攻击者的头上，我也没有看到丝毫停止的迹象。