FavoriteLoading
0

深度剖析DDoS的攻擊:你知道第一次拒絕服務攻擊是什么時候么?

前面講到,DDoS攻擊的發展主要經歷4個階段,今天來說一下第一階段:探索期

探索期:來自個人黑客的攻擊

早期的“黑客”都是一些技術愛好者。他們年輕、有激情、有活力、勇于探索。而且熟悉技術和的最新的進展,具有敏銳的洞察力。所以,他們能夠找到當時系統中存在的漏洞和缺陷,并利用這些漏洞實現自己的目的。


“黑客”、“駭客”、“極客”的區別

“黑客”院子英文單詞hacker,原本在美國的電腦界是帶有褒義的,特指某些擅長計算機技術,具有強烈的好奇心和動手能力,并且崇尚自由的人。早期的“黑客”都是高級程序員,他們發現系統中的漏洞,編寫入侵工具,并且實踐它們。后來,一些雖然不會編寫程序但是擅長使用工具進行“實戰”的人,也被納入了“黑客”的范疇。他們善于通過蛛絲馬跡尋找系統的弱點,選擇合適的工具,來實現入侵的過程。

“駭客”是Cracker的音譯,就是“破解者”的意思,本意是指那些專門破解商業軟件,繞過付費機制,從而免費使用的人。很多“駭客”會將破解后的軟件發布到互聯網上供大眾下載使用。后來,這一概念和“黑客”的概念被混淆了,兩者的區別越來越模糊。

“極客”來自于美國俚語Geek的音譯,最初指性格古怪的人。很長時間,Geek在西方文化里一直偏向貶義。隨著網絡社交的普及,人們對“極客”的定義也逐漸發生了變化。現在,人們一般認為,花費大量的業余時間在網絡中,并且偏愛新技術新產品的人群,就是“極客”。他們不一定是電腦高中,但對電腦和網絡有很強的依賴性,喜歡嘗試高科技產品。

但同時,這些“黑客”在技術之外的領域并非天才。他們想到什么就做什么,隨心所欲的發起攻擊,而不是效力于特定組織。早起的分布式拒絕服務攻擊往往是缺乏明確的目的性,起因可能五花八門。也許是某人發現了一種有趣的攻擊手法,只是想驗證一下該攻擊手法;也許是把攻擊行為作為一種挑戰,用以驗證自己的天才能力;也許純粹是為了向朋友炫耀。邁克爾 迪蒙 卡爾斯(“黑手黨男孩”)甚至聲稱自己的目的就是在網絡世界中建立所謂的“統治”。

所以,這些行為從攻擊者的角度看來,基本不會帶來經濟上的收益。而從受害者的角度來看,往往波及的范圍很大,具有轟動效果,單對具體的個人或者組織,損失并非難以承受。

最早的拒絕服務攻擊發生在1996年,受害者是當時紐約最大的互聯網服務提供商Panix。3年以后,發生了針對明尼蘇達大學的攻擊,攻擊者使用Trinoo構建了真正的分布式控制網絡。在早期的“黑客行動中,最具有轟動效應的就是“黑手黨男孩”對雅虎、亞馬遜等著名網站發動攻擊,這是早期“黑客”中暴漏真實身份的一個。最著名的可能也是最具有威脅的一次,是2002年針對13臺根服務器的攻擊。雖然持續時間很短,也沒有導致所有服務器完全癱瘓,但是只要設想一下行動成功的后面,就會讓人不寒而栗。

第一次拒絕服務攻擊

第一次拒絕服務攻擊發生在1996年9月6號下午5:30.Panix,這個紐約市歷史最悠久、規模最大的互聯網提供商成為了攻擊的受害者。公司的右鍵、新聞、Web和域名服務器等同事遭受攻擊。

攻擊者采用的方法非常簡單:不斷向服務器發送連接請求(TCP SYN請求),速度高達每秒150次。服務器忙于應對這些請求,從而無法會用正常的用戶。這種攻擊后來被成為“SYN FLOOD攻擊”,是拒絕式服務攻擊的一種。即使到現在,SYN FLOOD攻擊也經常使用。此外,攻擊者還采用了隨機偽造源地址的方式,一方面這使得攻擊來源難以追蹤;另一方面,隨機的源地址也使得過濾和阻斷攻擊變得非常困難。

完全消除DDoS攻擊是極為困難的一件事。尤其當用戶正常的訪問量較大時,很難立刻將其與惡意偽造的訪問區分開來。幸運的是,削弱這種攻擊造成的威海是可以的。我們一般稱之為“緩解技術”。Panix被攻擊后,計算機緊急響應小組(CERT)做出了快速響應。9月19日發布了TCP SYN Flooding and IP Spoofing Attacks,提出了緩解SYN FLOOD攻擊和IP欺騙攻擊的建議。

分布式攻擊網絡:Trinoo

1999年8月17日,美國明尼蘇達大學的一臺服務器遭到攻擊,造成了連續兩天的服務中止。接下來的幾天中,又有至少16臺主機遭到同樣的攻擊,其中有一些并不在美國境內。

這應該是第一次真正意義上的DDoS攻擊,之前針對Panix的攻擊并沒有表現出“分布式”的特性,很可能是從單一主機發起的。而這一次,攻擊來自至少227臺主機,他們的所有并不知道,這些設備居然成為黑客手中的工具。攻擊數據包都是UDP格式的,并未隱藏來源地址。所以,明尼蘇達大學追蹤這些IP地址,并聯系到了這些攻擊主機的真正所有者,以停止攻擊進程。但這一方法并未奏效,因為攻擊者采用了一個簡單的對策:加入更多被控制的主機進行攻擊。相關調查人員在一臺主機中發現了Trinoo的源代碼,同事發現了一個包含888個IP地址的文件,這很可能就是當時Trinoo網絡的規模。在另外一個名為“216”的目錄中,還發現了包含10549個地址文件,據估計是存在漏洞的潛在控制目標。

Trinoo是第一個使用控制網絡進行攻擊的DDoS工具。攻擊者首先入侵并控制一些主機,在其安裝掃描工具。攻擊工具以及Trinoo控制程序,我們一般稱其為控制主機(Master)。接著,攻擊者會通過控制主機入侵并控制更多電腦,安裝受控和攻擊軟件,我們稱其為攻擊主機(Slave)或者叫做“肉雞”。發送攻擊時,只需要對控制主機發送指令,由它們自動管理攻擊主機發送的數據包。在本次攻擊中,被控制主機大多數是Solaris 2.x系統。

漏洞是:遠程調用服務(RFC)中存在的緩沖區溢出。

【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。