学学习网 手机版

学学习网

学习路径: 学习首页 > Internet > 网络安全 >

脉冲蛇神和其它的DDoS

设置字体:
----------------------------------

  蛇神,可以指挥大批毒蛇向敌人发动进攻。用来形容象TFN2K这样的DDoS攻击控制工具是再合适不过了。攻击者通过劫持数千台计算机并植入 DoS代理后,几乎就可以所向无敌了。这些DoS代理会在攻击者的指挥下同时向一台主机发送大量的数据包,使对方服务瘫痪,使这台主机淹没在大量的数据包 中。以往,ISP一般情况下尚能对一些DDoS攻击进行跟踪,通过逆流而上的方法快速跟踪数据包,可以找到活动的攻击来源。

  去年,一个叫”脉冲蛇神”的攻击形式使网管难以追查攻击的来源。攻击者可以使多个DDoS代理交替发出Flood数据包,这种随机发包方式就好象电子脉冲一样。如果攻击者有几千个这样的代理,追查”蛇神”将变得几近不可能。

  还有更绝的。今年早期,互联网上出现了一个叫”反射式DDoS”的攻击方法。这种新方法用的是借刀杀人的思路,至少将有两方受害。

  反射式DDoS的原理是SYNFlood的巧妙变形。它充分利用了TCP三次握手机制的”优点”,一个DDoS代理,用一个假的源地址,向一台 高带宽的服务器发送一个TCP SYN数据包,服务器收到这个包以后,将向这个源地址回送一个SYN-ACK的响应包。攻击者在发包前可以将这个假的源地址设置为他要攻击的主机地址,这 样,就变成了一台高性能/高带宽的服务器DoS目标主机。如果攻击者用多个线程,相同的源地址,不停地向多台高带宽服务器发包,则目标主机将受到多台服务 器的攻击,目标主机几乎是”必死无疑”。用这种方式,在目前的互联网环境下,攻击者可以让Yahoo或者微软的Web服务器去DDoS一台他想攻击的主 机。而且在这种情况下,想要追查到攻击者来源,实在是太难了。

  为了对付DDoS攻击,市场上出现了商业化的抗DoS产品和解决方案。大体分为两类,一类是基于探头的工具,如Asta Networks出品的Vantage System 和 Arbor Networks'出品的Peakflow, 它们允许管理员将这些探头部署到网络的各个节点上,用基于异常的扫描技术发现不寻常的Flood数据包,发现后将实时地调整路由器和防火墙的设置进行过 滤。

  另一方面,象Captus Networks出品的CaptIO 和 Top Layer出品的AppSafe则在网络边界处直接发现和封杀DoS数据包。

  即使采用这些技术,但面临者成百上千的“蛇神”的时候,就算系统不停止响应,网络带宽也会被很快消耗掉。没有工具能够防止带宽的消耗。因此,如 果在线连接和点击量对用户单位的业务非常重要的话,那么用户有必要要求ISP的应急小组充分配合,从上游杜绝Flood数据包。在选择ISP的时候,关于 这个问题,要问清楚ISP对DoS攻击是如何进行应急处理的。

----------------------------------
课程列表
重点难点
赞助链接