扼制DoS攻击

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

今年10月份，DDoS攻击又开始猖獗，全球13台互联网域名解析服务器被攻破，险些造成世界互联网的灾难！

作者：巧巧读书来源：巧巧读书 2008年9月4日

　　今年10月份，DDoS攻击又开始猖獗，全球13台互联网域名解析服务器被攻破，险些造成世界互联网的灾难！
　　
　　
　　拒绝服务（DoS/DDoS）攻击最早可追述到1996 年，在2000年发展到极致。全球包括Yahoo、CNN、eBay在内的十多个著名网站都遭遇过这种流量堵塞技术的攻击，仅Yahoo一家就造成了50万美元的损失。

　　对于业界来说，DoS攻击的原理极为简单，也早已为人们所熟知。不过，至今为止仍然没有一项技术能很好解决这类简单攻击，目前全球每周所遭遇的DoS攻击依然达到4000多次。专家认识到，虽然各种攻击层出不穷，但DoS/DDoS攻击依然是互联网面临的主要威胁。

　　针对正在抬头的DDoS攻击，本报结合近日出现的新技术和产品，推出相关技术专题，分析未来的攻击手段变化以及可能的抵抗措施。

　　重新审视DoS攻击事件，从商业网站、政府网站到互联网的命根子——域名服务器，黑客的攻击一次比一次升级，而采用的攻击技术却几乎没有改变——用最简单的流量堵塞让整个网络瘫痪。这不能不说是对目前网络安全技术的一种嘲讽。

　　DoS攻击日渐升级

　　美国东部时间2002年10月21日下午5时左右，国际互联网系统的核心，位于美国、瑞典、英国、日本等国家和地区的13个根名服务器，遭受了有史以来规模最大、最复杂的一次“分布式拒绝服务攻击”(DDoS)。整个袭击横跨全世界，规模巨大，并持续了1小时左右。

　　域名解析服务器是维系全球互联网正确通信的命根子，如果攻击得逞，整个互联网世界将会崩溃，就如同一个城市，如果所有的地址、门牌号码全部弄乱，人们之间的通信、联络将完全无法进行，整个城市将陷入混乱之中。国际互联网软件合作协议公司主席保罗·维克谢表示，如果10月21日黑客攻击的时间再长一点，全世界范围的国际互联网用户将可能会觉察到连网速度减慢，或是根本无法连接。

　　如果不是那么健忘的话，许多人对两年前那次全球黑客对商业网站的“集体绞杀”应该还记忆犹新，那是人们第一次广泛知道“拒绝服务攻击”（DoS）以及它的巨大威力。当时，全球媒体对这一事件进行了广泛报道。

　　为了解当时的攻击状况，记者特从故纸堆中找来当时的报道。《华盛顿邮报》称：“2000年美国当地时间2月7日上午10：15至下午1：25分，世界最大和最受欢迎的网站之一——雅虎被黑客攻击，该网站自设立以来破天荒头一次中断服务长达3个小时之久。黑客来自因特网上多个网址，显然是事先约定的，这次攻击被人称为‘分布式拒绝访问’。”一星期后，美国CNN、亚马逊、eBay、BUY.COM等商业网站都遭到了类似攻击，致使eBay、BUY等网站被迫关闭，黑客们使用了同样简单的攻击手段，向网站发送大量的信息使线路阻塞从而导致系统瘫痪。

　　与此同时，中国互联网站们也不容乐观：2000年2月8日下午到2月9日上午，新浪声称遭到了黑客长达18小时的攻击，致使电子邮箱系统完全瘫痪；而当当网上书店状告当时的8848公司的黑客攻击事件，更是闹得满城风雨，媒体称，“这开创了互联网时代的第一例‘黑客诉讼案’”。

　　DDoS攻击给商业网站造成的经济损失是巨大的。雅虎网平均每日给客户发送4.65亿个网页。事发后，虽然雅虎的发言人一再表示从经济角度说，没有造成任何影响。分析家们却不这么认为，由于雅虎的主要收入来自网上广告，在关闭的两小时内本来应该有1亿个页面被访问，也就是说黑客攻击造成该网站至少损失了50多万美元。

　　但是，在两三天之内，互联网发生了这样多类似的攻击似乎除了给媒体增加了新的素材外并没有引起人们更多的关注。因为，事态发展到最后，许多小网站开始声称自己遭到了类似的攻击，“我被攻击我自豪”，被攻击似乎成了网站炒做的题材之一。这让许多人感觉无聊，于是，掩盖了人们对DDoS攻击的真正关注。

　　此后的两年多，攻击者多次故伎重演。2001年5月，中美黑客采用同样手法发动了著名的“中美黑客大战”，美国白宫、国家安全局等站点不得不关闭服务，而中国的某些政府网站也遭到了同样的攻击。

　　近日发展到攻击解析全球域名的域名服务器，是DDoS攻击的一次升级活动，似乎在向全球网络安全界的技术专家示威：看你能把我怎么样！黑客似乎抱着玩的心态而“手下留情”，没有让互联网真正瘫痪。不过，谁能保证将来？

　　这是2002年黑客对全球互联网脆弱性一次升级的挑衅和嘲讽。专家们现在已经清醒地认识到，DoS或DDoS攻击目前以至将来都是互联网面临的头号威胁。

　　虽然多数人声称DoS/DDoS攻击方式简单，其原理和攻击源代码也早已公布，但全球DoS攻击却屡屡得逞，这不能不令人为之惊叹。

　　利用协议弱点

　　通俗地讲，DoS攻

　　击通过伪造超过服务器处理能力的访问数据耗尽系统资源而造成服务器响应阻塞，使目标计算机无法提供正常的服务。系统资源包括网络带宽、文件系统空间容量、开放的进程或者允许的连接等。

　　从攻击类型来看，DoS攻击主要分为针对一切网络设备的流量型攻击（这是目前主要的DoS攻击形式）、针对主机的堆栈突破型攻击和针对系统漏洞的特定型攻击。典型流量型攻击方法有SYN Flood、ACK Flood、UDP Flood、ICMP Flood和MStream Flood等；而堆栈突破型攻击包括Winnnuke、Jolt、Teardrop等。

　　流量型攻击之所以屡屡得逞并很难预防，在于它利用了TCP协议本身的弱点。以用小带宽冲击大带宽的SYN Flood为例，TCP协议规定一次正常的传输需要在通话的双方建立“三次握手”。（如图1所示）第一次握手，客户端向服务端提出连接请求；第二次握手，服务端作出回应，按照IP源地址返回数据包；第三次握手，客户端确认收到服务端返回的数据包，至此双方才算建立了完整的TCP连接。通常情况下，服务端的操作系统会使用一块限定的内存处理TCP连接请求，这个限定的内存被称为TCP缓存，如果这个缓存队列被填满，任何其他新的TCP连接请求都会被丢弃。当DoS攻击发生时，黑客用伪造的IP地址向服务端发出请求，由于它的IP地址是假的，因此在第二次握手时，数据包无法返回原来的IP地址，但服务端却会不断地尝试“握手”直到超时为止(大约75秒)，这形成了“半连接”。大量的“半连接”将目标主机的TCP缓存队列填满，而无法接受新连接，这就形成了一次成功的DoS攻击。（如图2所示）

图1 TCP“三次握手”建立连接

图2 SYN Flood攻击原理

　　由于攻击所针对的TCP协议层的缺陷短时无法改变，因此DoS也就成为了流传最广，最难防范的攻击方式。从它的攻击方式可以看出，这种攻击会导致资源的匮乏，无论服务器的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。

　　用于域名解析服务器的ICMP/UDP Flood攻击的原理甚至更简单，它是非连接协议，黑客可采用大量经过伪造的小包攻击，降低目标主机和网络的处理能力，如果调动多台攻击机，甚至可造成直接的带宽阻塞。

　　多数DoS攻击形成的条件是需要大带宽，单个黑客一般不具备此条件。但他可将其他大量计算机变成“僵尸”，自动向目标网站发送大量信息，这就是分布式DoS攻击——DDoS攻击。它依靠黑客开发的各类软件实现，如Trin00、TribeFlood Network (TFN)，TFN2K和Stacheldraht等，它们多数利用操作系统的漏洞，能像病毒一样在网上传染，还能够像病毒一样潜伏，更重要的是能让“僵尸”计算机接收黑客发布的指令，在某一时刻向某个网站集体发动攻击。比如，去年流行的红色代码、Nimda等，最终可认为是对网络进行的一次DDoS攻击。

　　可以说，DDoS攻击是由黑客集中控制发动的一组DoS攻击的集合，而DoS攻击方式可由上述的各类方式组成。 DDoS现在被称作“黑客的终极武器”，是目前最有效也最猖獗的攻击形式，非常难以抵挡也非常难以查找攻击源，只能从网络源头、网络运营商一级通过路由回溯等技术才能缩小包围圈，但准确定位攻击源几乎难以实现。

　　目前全球发生的多起DoS攻击事件，基本都是在上述原理基础上的简单扩展。黑客们采用的伎俩似乎并不高明，但为什么我们很少能逃脱这类攻击呢？

　　我们不能责怪研究人员不关注DoS攻击。坦率地讲，自从1996年全球出现第一例DoS攻击时起，世界各地的研究人员就在着力开发解决这类攻击的有效方法，不过收效不大。为什么呢？

　　解决办法有缺陷

　　DoS/DDoS的攻击原理和源代码早已公布，但基于同样原理的攻击依然频繁发生而目前却鲜有完全有效的解决方法。2001年，加州大学研究机构发布的一份报告中指出: 世界范围内每周至少发生四千次拒绝服务攻击。

　　研究人员想出了一切应对DoS攻击的方法:在人们熟知的防火墙、IDS、VPN甚至杀毒软件中，增加了预防DoS/DDoS攻击的技术，如设置诸如Random Drop、SYN Cookie、带宽限制之类的防护算法；有的专家建议让IDS与防火墙联动，在IDS通过旁路检测到DoS攻击后，立即给防火墙发布指令，抛弃无效的连接或半连接；有的在操作系统中，如微软的WIN NT4中增加了抵抗DoS的功能；对那些资金力量雄厚的服务商，专家建议采用负载均衡技术，让海量流量均衡地分配到不同的服务器中，以防止服务器的瘫痪；而许多对DoS攻击敏感的用户，往往聘请专业的安全服务公司，帮助从IDS的海量报警中，分析出真实的攻击事件，一旦发生DoS攻击事件，一般采取让技术专家将攻击源的IP地址截断的方法。因此，全球出现了许多分析DoS攻击的专业服务公司，如国际上的Riptech公司、国内的中联绿盟和玛赛公司等。

　　但是，迄今为止，这些办法收效甚微。

　　Syn Cookie（主机）/Syn gate（网关）的工作原理是由代理服务器（防火墙中）代替被保护的主机发送“第二次握手”的报文，得到合法确认后再转给被保护服务器处理连接，而没有确认的虚假连接被抛弃。它的优点是将“三次握手”的过程前移到防火墙中，因此保护了主机，缺点是防火墙成为新的性能瓶颈，这次轮到防火墙被“打瘫”而不是主机了。

　　Random Drop的原理是，当流量达到一定的值后，开始按照一定的算法丢弃后续报文，优点是保护了主机，缺点是丢弃了大量的正常用户的访问，实现了黑客让服务器“拒绝服务”的效果。

　　带宽限制是限制某种特定报文的流量或速率，并限制某些特定的来源。结果一样是限制了某些正常的流量。

　　这三类算法都不尽如人意！

　　采用通过防火墙与IDS联动抗击DoS攻击的方法也存在很大缺陷。IDS经常误报，专业为用户分析IDS日志的公司Riptech记载：在IDS的报警中，平均每6万条入侵记录中才有1次真实的攻击！而IDS 每报一次警，都将命令防火墙采取一次行动，这让防火墙不堪重负，最终造成系统服务缓慢。当攻击数据达到一定量级时，防火墙会崩溃并造成受保护主机无法与外界通讯，正好实现了拒绝服务攻击的效果。

　　经过测试，大多数硬件防火墙承受DoS攻击流量的上限是30Mbps，一旦超过这个值，防火墙将面临瘫痪的危险。而目前，一台普通的PC所能发起的DoS流量就能达到50Mbps，这意味着一台百兆防火墙挡不住一台PC机的攻击。例如，如果500 台计算机同时变成一台PC机的“僵尸”攻击某一个目标服务器，如果每一台只发送128kbps的流量（很正常），就将在目标计算机上产生 500 ×128kb/s = 64000 kb/s = 62.5 Mbps 的流量，这大约相当于 42 条 T1 线路，或者大约 1.4 条 T3 线路，防火墙立刻就不能动弹了。

　　相当多遭受攻击的网络服务商，因为没有太好的解决途径，无奈只能采用增加系统资源、扩充主机集群数量等方式的退让策略，期望通过提高主机集群的响应能力，来被动缓解攻击。这种做法，在面临高强度DoS攻击的时候，其资源耗费和维护成本的增加往往是无止境的。不仅极大地增加了系统建设成本，而且效果也不尽如人意。

　　从某种程度上可以说，目前，针对DoS/DDoS攻击从技术上没有根本的解决办法。一般采取的将大量的来自攻击地址的连接请求截断的方法并不可靠，因为黑客经常假冒某些合法用户身份，如果将他们的连接请求截断，正好实现了“拒绝服务”的目的。因此，许多用户对“DoS/DDoS攻击”字眼耳熟能详，经常面对它们的用户一听到“DoS/DDoS”就颇感头疼。

　　记者与多名用户和技术专家交流了解到，遇到DoS/DDoS攻击，许多用户往往只能耐心等待，直到黑客玩够了自动离开为止。我们的网络安全只能依靠黑客的“善心”了！

　　技术专家最终认识到，以往那些解决办法只能缓解DoS攻击而不能真正解决DoS攻击。由于DoS攻击的简单、易实施以及难以追踪和查封的特点，解决DoS攻击必须依赖新的独立的技术和产品，而不是在已有的产

　　品中增加功能而已。

　　新技术确定新体系结构

　　在技术专家的努力下，几乎是在同时，国内和国际推出了两种新的预防DoS/DDoS的技术：中国本土的中联绿盟公司的“黑洞”技术以及国际上由TopLayer公司开发的AM IPS技术。

　　几乎是殊途同归，技术专家在对原有的抗DoS方法进行深入分析的基础上，有所创新地研究出了新的解决方法：同样是通过将TCP的“三次握手”过程移植到新的设备中，但通过新的算法和体系结构将正常流量与攻击流量区分开来，让正常流量通过而阻止攻击流量。为了保证服务的连接效率，抗DoS攻击的设备必须在网络上在线连接而不是像IDS一样旁路连接，这就对设备的性能提出了很高的要求。

　　最后，技术专家将焦点集中在两个关键点上：如何用高效的算法区分正常流量和攻击流量？如何提高抗DoS攻击的效率？

　　1．如何区分正常流量？

　　区分正常流量和攻击流量是最关键的核心，技术专家总结出了用“算法+多重体系结构”的方式。

　　中联绿盟的专家在对网络数据报文进行概率统计的基础上，研究出了“反向探测”和“指纹识别”算法，可以准确地区分出恶意报文和正常访问数据报文。这两类算法目前已经获得了中国国家专利，具体实现方法是该公司的核心机密，当然不能随意公开。但据悉，经过测试，它能保证在很高的攻击流量环境下95%以上的连接保持率和95%以上的新连接发起成功率。

　　而TopLayer公司在AM IPS中采用的高级攻击防御算法是在与全球多个抗DoS攻击专家总结出的1700多种攻击方式的基础上开发出来。Toplayer技术专家不仅将流量区分为正常流量和恶意流量，还新增了一类可疑流量。通过算法让正常流量通过而拒绝恶意流量。对可疑流量则进一步检查，最终决定它是正常访问还是其他类攻击，然后采取通过或拒绝访问的措施。

　　多重防御检测是为了应对那些非流行的DoS攻击以及其他的变种攻击。如“黑洞”技术架构中设计了4个专用引擎，增加了防止连接耗尽（用正常流量堵塞带宽），以增强对典型“以小吃大”的资源比拚型攻击(包括大规模的多线程下载)的防护能力（如图3所示）。而AM IPS则采用了国际专利技术的TopFire架构，也包含4个专用引擎，不同的是增加了抗蠕虫和端口80攻击等内容检查引擎及业务反常引擎，加强了对其他入侵行为的防护和检测能力（如图4所示）。

图3 “黑洞”技术架构

图4 TopFire入侵防御引擎架构

　　2．如何提高抗DoS效率？

　　过去防火墙抵抗DoS攻击最大的弱点除了算法不精确外，还在于防火墙性能有限。技术专家认识到，专业的抗DoS攻击设备必须具备高性能，除了能实现抵抗DoS攻击的目的，还不能丝毫影响系统的连接，也不能成为新的应用瓶颈。各类技术专家又想到了一块：用硬件技术实现高性能。

　　AM IPS采用了专用的ASIC架构，以ASIC的高性能芯片技术应对DoS攻击，目前已经应用在全球75家大型客户中，反映非常不错；“黑洞”采用的是专用的Intel高性能芯片，在它推出之前，已经成功应用在清华校园网等千兆和百兆的环境中，依然深受备受DoS攻击侵扰的用户的欢迎。

　　但两类不同技术专家开发出的新技术并不完全一致：AM IPS由于增加了内容检测，虽然功能增加了很多，但必须对网络的7层协议进行完全的解包检查，势必影响系统效率，好在采用高性能的ASIC芯片，可弥补不足；而“黑洞”注重于专业的DoS攻击，只对网络低层的攻击进行检查和拦截，它只对网络3层以下的协议进行解包，因此效率要高很多，这弥补了比起ASIC架构，基于Intel架构的硬件结构效率明显不足的缺陷；另外，“黑洞”只防御了主动的DoS攻击，而对因系统漏洞产生的攻击则无能为力，如果系统中要对内容进行检查，“黑洞”还需与专业的内容过滤等设备进行配合。

　　DoS攻击的根源在于网络服务的公开性、面向对象的不可确定性和服务提供方资源的有限性和可耗尽性，这些因素决定了当前环境下并没有一劳永逸的最终解决方案。上述新技术的推出，尽管扭转了一直以来抗DoS攻

　　击方面攻胜于防的不利局面，但是攻与防的较量却不会因此而结束。

　　问题依然不少

　　虽然新技术的出现让我们松了一口气，也让我们看到抵抗DoS攻击的新曙光，但是，上述两家公司的研究人员均表示，新技术并不能一劳永逸地解决DoS攻击，依然还存在一些缺陷，有待技术人员进一步研究。

　　以AM IPS为例，它只能处理目前的1700多种DoS攻击方式中的70%！因为，这1700多种攻击分成3类: 一类是常见的DoS攻击方式，大约占其中的70%左右；一类是偶然出现的攻击，大约有500多种；另一类是专家们设想出但并没有真正出现的攻击形式，这是为了对付未来可能出现的新攻击方式而在实验室提前研究应对措施。目前，TopLayer的算法还只能应对第一类攻击，但是，据TopLayer大中华区总经理陈劲夫介绍，未来，AM IPS将增加对付第二类攻击的算法。而新的攻击方式如果出现，技术专家早已在实验室做好了抗攻击的准备。

　　中联绿盟公司的产品开发总监李群表示，如果黑客对“黑洞”保护的设备发动大量的DDoS攻击，垃圾流量可能在“黑洞”之外将有限的带宽全部占满，虽然有了“黑洞”的保护，服务器可以免遭瘫痪的命运，“黑洞”产品本身也由于无IP地址的特性而可免遭“黑手”，但大量的无效连接堵塞了带宽，让正常用户无法访问到服务器内容，或者带宽只剩10%，正常流量只能拥挤在10%的带宽中，让网络连接效率极大下降，黑客依然达到了“拒绝服务”攻击的目的。“就像发动大量的车辆堵在你家惟一出口一样，访问你的朋友无法到达你家。没有技术能够解决这种状况”。

　　为此，中联绿盟公司正呼吁在互联网的所有千兆骨干网的入口处安装抗DoS攻击的设备，“这样，在千兆以下的百兆网络环境中，由于终端数量的限制，黑客很难发动大量的计算机变成他的“僵尸”，因此，很难形成海量的流量信息堵住千兆带宽；即使攻击成功，它也只能影响到一个千兆网络的环境，而不会影响到骨干网或其他的千兆网，从而可以保证骨干网和其中关键服务器的正常访问”。

　　这听起来不错，但可能实现吗？需要多少设备及投资呢？

　　入侵防御系统（IPS）是今年刚刚出现的一种抵抗各类攻击的新技术。正像前面描述的那样，它融合了抵抗目前主要攻击的各类新技术：IDS、抗DoS/DDoS攻击、内容过滤等。它出生才半年时间，就引起了世

　　界各类顶尖技术专家的关注。

　　IPS勾勒未来希望

　　我们注意到，TopLayer公司为新技术取名为AM IPS，它并不完全是一个专用的抗DoS攻击的新技术，而似乎是一个包含入侵检测、抗DoS攻击以及内容过滤等方面的复合型技术。

　　你猜对了！这是刚刚出现半年的一类新技术。虽然出生才半年，就受到了世界各地的技术专家的高度关注。全球一些主要的抗网络攻击的技术专家，包括著名的IDS提供商ISS公司的一些技术专家纷纷成立自己的公司研究这类新技术。著名防火墙厂商NetScreen公司今年9月收购的OneSecure公司就是一家进行IPS技术研究的专业公司，这显示出NetScreen公司进入这一新的领域的决心。

　　IPS的出现基于两点主要原因：IDS的不足逐渐引起人们的不满；抗DoS攻击技术的不成熟使市场急需新技术。

　　IDS的误报和漏报问题一直困扰着用户，1：60000的海量误报率常使用户忽略掉其中包含的真正的危险攻击；而IDS另一个缺陷是它只能报警而不能采取阻断措施，用户往往在得到报警的同时，攻击已经发生了，报警毫无用处；昂贵的部署费用是阻碍IDS发展的另一个主要原因。IDS似乎进入了危险地带。Gartner最新报告显示，2003年底，如果IDS误报不能减少90%，那么90%的IDS部署将宣告失败。

　　将IDS功能与抗DoS技术结合起来的新技术IPS是未来解决各类攻击的新希望。IPS必须是在线设备，能够准确检测和精确阻止攻击。不仅许多技术专家看好这一领域，就连著名的市场分析公司Gartner也非常看好这一新的技术发展方向。今年8月份，Gartner集团在一份市场报告中预计，未来2～3年，网络入侵防御系统（IPS）将逐渐融合并替代目前的抗DoS/DDoS攻击系统和网络IDS系统（如图5所示）。预计到2005年，IPS的全球市场总额将达到6.88亿美元，远远超过IDS（如图6所示）。