分布式拒绝服务攻击及其防范

1、第26卷 增 利VoL 26 Supplementary Issue计算机工程Computer Engineering2000年10月October 2000-171-171-2000年CERNET第七届学术会议论文集文标识码A网络安全和信息安全技术文章壊号:10003428(2000)1«刊TH7D4分布式拒绝服务攻击及其防范胡伟栋，汪为农(上海交通大学网络伯息中心，上海200030)«本文具体分析丁分布式拒细眼务攻击(DDoS)工具TFN2K的攻击转点，并根据一次实际阻击，提出了一些初步的防范措施縛关词：拒绝服貳驾布式拒绝服务 中图分类号* TP393.08Distri

2、buted Denial of Service Attacks and the DefenseHu Weidong Wang Weinong(Network & InformMion Center of Shanghai Jiaotong University*ShAgnhai 200030)41-171-171-AbstractThis paper introduced the technical features of DDoS attacks and DDoS attack toolTFH2K byconcluding the eiperience of fighting bac

3、k DDoS attack, some defending metbodi were recommend Key words Denial of service; DDoS; FireWill; Backdoor1分布式网络攻击和拒绝服务攻击拒绝服务攻击(DoS Denial of Service)是指以耗尽系统资源为目的的恶童購络攻击手段遭受到 DoS攻击的症状一般是网络阻塞、系统响应服务缓慢、甚至主机或网络设备痪常见的拒绝服务攻 击方法有；邮件炸弹，泪滴攻击，致使目标死机,Cisco路由器的LANDS*；以及TCP/SYN 洪水、Bonk、Pong等等.随着网络攻击的不斷升级，出现了一些分

4、布式的网络攻击工具，这些工具能利用分布在不同网络 节点上的主机对目标实施协同攻击叫这类攻击王具有以下特点：基于客户徳务器模虱攻击者卷客 户端控制；成千上百的主机被利用同肘向目标发起攻击，以提高攻击的成功率：直接攻击目标的主机 往往是已被侵入并安装了特定的程序，躍踪真正的攻击者几乎不可能*使用了假的IP地址*攻击 者采用一系列的自动化措施，从扫描目标、侵入主机尝试各种侵入手段)、安装后门、剖除日志、 发起新一轮攻击这些过程只需要使用一条命令。分布式拒绝服务(DDoS Distributed Denial of Services)攻击就是其中一种常见的DDoS工具 WTrinoos TFN、TFN

5、2K 及 sgcheldraht.作者1W介*胡伟栋(1977)，男，硕士研宪生，主要研究方向,计算机网络安全，两皓购G汪为农，男，博士生导师定确日期* 2000-08-01(1) DDOoS 模型典型的DDoS工具包含以下几个部分：客户(Client)端：攻击者在Client端操纵攻击过程。主控(Master端：被攻击者控制的主机，并运行了 DDoS主控端程序.客户端一般通过远程登 陆控制主控竭.代理端(翹切t)：每个代理端也是一台已被入侵并运行了特定程序的系统主机。主控瑞控制多个 代理，为了达到更好的隐蔽性，主控端只是单向发送命令到代理，并且使用了假冒的IP地址，主控 端发送到代理命令往往

6、经过加密。每个响应攻击命令的代理端会向被攻击目标主机发送拒绝服务攻击 数据包。(2)攻击过程一次典型的攻击过程可分为下面几个部分：探测扫描大量主机以寻找可入侵主机目标：对一个大范围的网络进行扫描以确定潜在的入侵目 标.最有可能的是那些可能存在各种远程缓冲区溢出漏洞的主机，jn wu-ftpd. RPC服务©nsd,剜td, ttdbserverd,amd).存在安全漏洞的CGI程序、口令猜测等等.在得到入侵主机清单后，实施入侵攻击.被侵入的主机将被用于放置后门、监听程序或代理端程 序或主控程序利用已入侵主机继续进行扫描和入侵。由于整个过程是自动化的，如果攻击者能够在5秒钟内入 侵一台

7、主机并安装攻击工具，那么在短短的一小时内可以入侵数千台主机入侵完成后将产生一个袖被 控制”主机清单。最后，运行DDoS攻击脚本，该脚本根据上面建立的被入侵主机清单，生成另外的脚本程序，在 后台以最快的速度自动安装并发起对目标的攻击。si拒绝JK务攻击樓型(3) TFN2K的实现方法TFN2K是Tribe Flood Network 2000的缩写，它是分布式拒绝服务(DDoS)攻击工具TEN的 后续版本。TFN2K通过主控端利用大量代理端主机的资源进行对一个或多个目标进行协同攻击。 UNIX (Solaru和Linux)和Windows NT等平台的主机能被用于此类攻击，而且这个工具非常容易

8、-171-被移植到其它系统平台上I叭=1该工具由由两部分组成：在主控端主机上的控制程序（tfn）和在代理端主机上的守护程序（td）. 主控端向其代理端发送攻击指定的目标主机列表。代理端据此对目标进行拒绝服务攻击.由一个主控 端控制的多个代理端主机，能羲在攻击过程中相互协同，保证攻击的连续性.主控端和代理端的网络 通信杲经过加密的，还可能范杂了许多虚假数据包。整个TFN2K网络可能使用不同的TCP、UDP 或ICMP包进行通信。而且主控端还能伪造其IP地址。所有这些特性都使发展防韧TFN2K攻击的 第略籾技术都非常困难或效率低下。（4技术特点主控端通过TCP、UDP. ICMP或随机性使用其中之

9、一的数据包向代理端主机发送命令.对目标的攻击方法包括 TCP/SYN、UDP、ICMP/PING 或 BROADCAST PING 数据包 flood 等.主控端与代理端之间数据包的头信息也是随机的，而ICMP总是使用 ICMP ECHOREPLY类型数据包。代理端守护程序是完全沉默的，它不会对接收到的命令有任何回应.客户端重复发送每一个命令 20次，并且认为守护程序应该至少能接收到其中一个.TFN2K命令不是基于字符串的，而采用了利格式，其中id是代表某个特定命令 的数值，data则是该命令的参数.所有命令都经过了 CASTQS6算法同加密加密关键字在程序编 译时定义，并作为TFN2K客户端

10、程序的口令。所有加密数据在发送前都被編码（Bn/64）成可打印 的ASCII字符。TFN2K守护程序接收数据包并解密数据。TFN2K守护进程试图通过修改argvld内容（或在某些平台中修改进程名）以掩饰自己。伪造的 进程名在编译时指定，每次安装时都有可能不同。这个功能使TFN2K伪装成代理端主机的普通正常 进程.因此，只是简单地检査进程列表未必能找到TFN2K守护进程及其子进程。2检测TFN2K遭到TFN2K攻击的明显特点是网络速度明显下降，网络流童异常。在Solaris主机上使用snoop 命令截获网络上数据包，输出如下（一种可能的情况：192468.1.15 UDP Broadcast.1

11、92.168JJ5 UDP Broadcast n个这类数据包有这样一些特点：出现相当频繁，占用了 80%以上的网络带宽；目的地址为 55； UDP包的长度为60000字节，被分割为40个大小为1500字节的IP包；使用了随机的UDPM口"源IP地址显然也是伪造的。该攻击采用了 UDP广播攻击方式/更常见的攻击方法还有；针对某一台主机的UDP"炸弹S TCP/SYN洪水 ICMP 炸弹”等幫.耍检测TFN2K代理是相当困难的.事实上TFN2K的实现有一个弱点叫 加密后的Base 64编码在每一个TFN2K数据包的見都留下了痕迟 填充了 1到16个歌

12、0x00）.经过Base 64编码肓就成为多个连续的0x41CA.潘加到嫂据包尾部的0x41的数量是可变的，但至少会有一个.这些位于数 据包尾部的0x41（A，）就成了捕获TFN2K命令数据包的特征.另外，还有一个值得注意的特征，攻击 者在进行DDoS攻击前总要解析目标的主机名.BIND域名服务器能够记录这些请求由于每台攻击 服务器在进行一个攻击前会发出PTR反向査询请求，也就是说在DDoS攻击前域名服务器会接收到 大童的反向解析目标IP主机名的PTR査询请求3防街措施芈握所有可能导致被入侵和被用于实施拒绝服务攻击的原因和安全灣洞是非常复杂的。没有筒单 和专门的方法保护不受到这些攻击，而只能尽

13、可能地应用各种安全和保护策略至今为止，没有任何 强有力的办法阻止DDoS攻击。服务器无法以零耗费拒绝不友好访问者，因此，只要攻击者能够控制 住一些强大的主机，就能发起攻击。当检测遭到到DDoS攻击后，必须采取以下一些及时的响应措施:获得主要互联网服务供应商（ISP）的协助和合作。分布式拒绝服务（DDoS）攻击主要是耗用带 宽，与ISP协商确保ISP同意帮助实施正确的路由访问控制策略以保护带宽和内部网络。尽可能迅速 地阻止攻击数据包是非常重要的，是否能迅速准确地确定伪造来源将取决于响应动作是否迅速， 路由器中的记录可能会在攻击中止后很快就被清除。检査内部网络主机是否被侵入并安装了 DDOS代理，

14、常用的方法有扫描客户瑞/守护程序的名字； 根据特征字符串扫描所有可执行文件；扫描系统的进程列表.Rootkit常常被安装到系统中以隐藏攻 击程序、文件和网络连接，Rootkit是一种修改系统日志、隐藏系统信息的黑客工具。所以更为有效 的方法是密切监视网络的通信，代理在接受到主控端命令后，会发出大量的攻击数据包，这些数据包 含有上面所述的一些转征.因此，当攻击发生时，可以逐步缩小范围以确定内部网络主机是否安装了 DDoS代理.例如，上例中，可通过切断部分主机网络连接判断代理主机的位置.除了及时的防范外，预防措施也是必不可少的.解决拒绝服务攻击面临最大的困难是如何解决伪 造IP地址问题，文献4建议

15、ISP采取网络入口过滤的方法，但在所有网络上实施该办法仍有一定困 难。事实上，互联网上的主机仍处于面临DDoS攻击毫无对策的极大危险环境中.而对于网络管理员 来说，预防包括两个方面：一是确保所管理的主机不被入侵和是安全的，现在互联网上有许多旧的和 新的漏洞攻击程序.管理员应检査漏洞数据库，以确认的服务器版本不受这些漏洞序响，这些检査包 括：服务器配置和安全问题；运行最新升级的软件版本；只运行必要的眼务。如果能够完全按照以上 思路，系统就可以被认为是足够安全，而且不会被入侵者控制.第二，优化网络结构也是必须的，需 要调整路由表以将拒绝服务攻击的影响减到量小如为了防止SYN flood攻击，应设&

16、#171;TCP侦听功能. 清晰的路由结构有利于在遭到攻击时及时（协助）发现攻击源.4新的防范措施今年2月份几家著名的网站都先后51到了 DDoS攻击，造成了巨大的影响.IETF正在加紧制定 一些更为有效的防范措施，比如有效的流量监控手段、自动的預警工具、直MP反向路径探察、新型 的流量控制技术等等。与此同时，DDoS工具也在不断发展，DDoS工具是由一群参与自由开发的黑 客社团編写的。量近，出现了一种新型的DDoSI具变体nutrewn”叫 安装m$treani代理竭程 序不需要侵入主机系统，而是通过常见的病毒传播的方式，如JavaScript、VBScript等等，代理程序 在被侵入主机中以后门形式存在.接受控制端的命令.就目前而言，仅靠技术手段防范DDoS仍是有 限的，互联网是开放的网络体系，对于ISP而育，一系列规范的操作以及与其他ISP之间的安全协作 是抵御DDoS的必要措施。參考文献1 CERT 安全建议 CA