2022年06月29日
DoS 攻擊時會有以下這些異常表現(xiàn)形式:
大量目標(biāo)主機域名解析:根據(jù)分析,攻擊者在進行 DDoS 攻擊前總要解析目標(biāo)的主機名。BIND 域名服務(wù)器能夠記錄這些請求。每臺攻擊服務(wù)器在進行攻擊前會發(fā)出 PTR 反向查詢請求,也就是說在 DDoS 攻擊前域名服務(wù)器會接收到大量的反向解析目標(biāo) IP 主機名的 PTR 查詢請求。雖然這不是真正的 DDoS 通信,但能夠用來確定 DDoS 攻擊的來源。
極限通信流量:當(dāng) DDoS 攻擊一個站點時,會出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時的極限通信流量的現(xiàn)象。現(xiàn)在的技術(shù)能夠?qū)Σ煌脑吹刂酚嬎愠鰧?yīng)的極限值。當(dāng)明顯超出此極限值時就表明存在 DDoS 攻擊的通信。因此可以在主干路由器端建立訪問控制列表(Access Control List,ACL)和訪問控制規(guī)則,以監(jiān)測和過濾這些通信。
特大型的 ICMP 和 UDP 數(shù)據(jù)包:正常的 UDP 會話一般都使用小的 UDP 包,通常有效數(shù)據(jù)內(nèi)容不超過 10 B。正常的 ICMP 消息長度在 64128 B 之間。那些明顯大得多的數(shù)據(jù)包很有可能就是 DDoS 攻擊控制信息,主要含有加密后的目標(biāo)地址和一些命令選項。一旦捕獲到(沒有經(jīng)過偽造的)控制信息,DDoS 服務(wù)器的位置就暴露出來了,因為控制信息數(shù)據(jù)包的目標(biāo)地址是沒有偽造的。
不屬于正常連接通信的 TCP 和 UDP 數(shù)據(jù)包:最隱蔽的 DDoS 工具隨機使用多種通信協(xié)議(包括基于連接的和無連接協(xié)議)發(fā)送數(shù)據(jù)。優(yōu)秀的防火墻和路由規(guī)則能夠發(fā)現(xiàn)這些數(shù)據(jù)包。另外,那些連接到高于 1024 而且不屬于常用網(wǎng)絡(luò)服務(wù)的目標(biāo)端口的數(shù)據(jù)包也非常值得懷疑。
數(shù)據(jù)段內(nèi)容只包含文字和數(shù)字字符:例如,沒有空格、標(biāo)點和控制字符的數(shù)據(jù)包。這往往是數(shù)據(jù)經(jīng)過 Base 64 編碼后的特征。TFN2K 發(fā)送的控制信息數(shù)據(jù)包就是這種類型。TFN2K 及其變種的特征模式是在數(shù)據(jù)段中有一串 A 字符(AAA…),這是經(jīng)過調(diào)整數(shù)據(jù)段大小和加密算法后的結(jié)果。如果沒有使用 Base64 編碼,對于使用了加密算法的數(shù)據(jù)包,這個連續(xù)的字符就是空格。
應(yīng)對 DoS 攻擊的方法有以下這些:
分組過濾:為了避免被攻擊,可以對特定的流量進行過濾(丟棄),例如,用防火墻過濾掉所有來自某些主機的報文,為了防止 Smurf 攻擊而設(shè)置過濾器過濾掉所有 ICMP 協(xié)議的 ECHO 報文。這種基于特定攻擊主機或者內(nèi)容的過濾方法只限于已經(jīng)定義的固定的過濾器,不適合動態(tài)變化的攻擊模式。還有一種 “輸入診斷” 方案,由受害者提供攻擊特征,沿途的因特網(wǎng)服務(wù)提供商(Internet Service Provider,ISP)配合將攻擊分組過濾掉,但是這種方案需要各個 ISP 的網(wǎng)絡(luò)管理員人工配合,工作強度高、時間耗費大,因此較難實施,但效果明顯。
源端控制通:常參與 DoS 攻擊的分組使用的源 IP 地址都是假冒的,因此如果能夠防止 IP 地址假冒,就能夠防止此類 DoS 攻擊。通過某種形式的源端過濾可以減少或消除假冒 IP 地址的現(xiàn)象,從而防范 DoS 攻擊。例如,路由器檢查來自與其直接相連的網(wǎng)絡(luò)分組的源 IP 地址,如果源 IP 地址非法(與該網(wǎng)絡(luò)不匹配)則丟棄該分組。電信服務(wù)提供商利用自身的優(yōu)勢加強假冒地址的控制,可大大降低 DDoS 攻擊的影響。現(xiàn)在越來越多的路由器支持源端過濾。但是,源端過濾并不能徹底消除 IP 地址假冒。例如,一個 ISP 的客戶計算機仍然能夠假冒成該 ISP 網(wǎng)絡(luò)內(nèi)成百上千臺計算機中的一臺。
追溯:追溯發(fā)起攻擊的源端的方法很多,這些方法假定存在源地址假冒,它試圖在攻擊的源處抑制攻擊,并識別惡意的攻擊源。它在 IP 地址假冒的情況下也可以工作,是日后采取必要的法律手段防止將來攻擊的必要一步。但是追溯過程中并不能實時控制攻擊的危害,當(dāng)攻擊很分散時也不能做到有效追溯。
路由器動態(tài)檢測和控制:這種方法的基本原理是在路由器上動態(tài)檢測和控制 DoS 攻擊引起的擁塞,其主要依據(jù)是 DoS 攻擊分組雖然可能來源于多個流,但這些流肯定有某種共同特征,比如有共同的目的地址或源地址(或地址前綴),或者都是 TCP SYN 類型的報文。這些流肯定在某些路由器的某些輸出鏈路上聚集起來并造成大量的分組丟失。這些有共同特征的流可以稱為流聚集(aggregate)。
其主要設(shè)想是流聚集所通過的路由器有可能通過分析分組丟失的歷史辨識出這種流聚集。如果一個路由器辨識出了這些高帶寬的流聚集,它就可以通知送來這些流聚集的上游路由器限制其發(fā)送速率。這種由發(fā)生擁塞的路由器發(fā)起的回推(pushback)信號可能一直遞歸地傳播到源端。
這種機制從直觀上不難理解,如果能夠?qū)嶋H使用,則對于解決 DoS 攻擊問題有很好的效果。但是這種機制在實際的網(wǎng)絡(luò)中能否實用面臨著檢測標(biāo)準(zhǔn)、公平性機制、高效實現(xiàn)及運營管理等很多未解決的問題。