- ·上一篇文章:网络安全之注意警惕DoS的路由器攻击
- ·下一篇文章:黑客技术之打造不死的ASP木马的方法
接入节点入手 谈黑客和DDOS攻击防御
近一段时期以来,“黑客”已经成为网络上最热门的一个词语。“熊猫”刚走,“灰鸽子”又来。我们看到,随着网络的普及和带宽资费的松动,国内的“黑客”部落,已经从最初的炫耀技术,慢慢向“职业化”发展。
早期的“黑客”,主要利用操作系统或者软件的漏洞,入侵一些 WEB 服务等,窜改页面的内容,比如在主页写上“您的主页被 XXX 攻克” 的字样,以炫耀自己的技术。他们追求的只是“肉鸡”的占领,而尽量不破坏影响用户的正常服务,更不会以此来要挟获取利益。
而现在,黑客们已经不满足于炫耀,而是更加的务实。他们现在开始利用网络来窃取银行秘码,股票交易秘码,和一些游戏的帐户,其最终目的已经不是炫耀,而是直接利用网络来赚钱,来换取现金。一些更高级的黑客们,会利用已经占领的大量“肉机”,在一些人的利益的诱惑下,向一些网站, ISP 游戏提供商或者网吧运营商发动 DDOS 拒绝服务攻击,造成网络拥挤,正常的经营被迫关闭,这些黑客也因此会可以获得高额报酬。由于这类活动已经超越的法律的界限,因此一些人才提出“做黑客要低调”,以逃避公安的追查。在网络经历的几年的低谷期后,逐渐开始欣欣向荣的今天,这些“黑客”也要趁着这股东风,在网上兴风作浪,赚取不义之财。
对比以前,目前黑客进行的活动更加具有破坏力,已经严重影响了人们的正常的经济活动秩序。如果不尽早对利用网络犯罪这个毒瘤加以重视,研究并采取必要的措施,将严重阻碍国内信息化网络的建设,甚至破坏国内的经济发展和社会的和谐。
公安机关,运营商和网络安全厂商已经意识到网络攻击问题的严重性,今年1月由三方参加的在北京举办的防护网络黑客 DDOS 的高层研讨会上,就提出许多有建设性的意见。
目前,黑客进行网络破坏活动主要是两类途径:
一:利用邮件,网络下载,聊天等工具分发和传播后门程序。
用户从不名网站的链接下载一些程序中,有时就会有黑客设计的陷阱,用户运行这些程序后,后门程序也一同种植在机器中,这些木马程序会获取用户的超级管理员权限,监视和记录用户的所有操作动作,包括通过键盘敲入的任何指令,盗用用户的一些特殊帐户,密码,然后自动发给黑客。另外,黑客还会通过木马程序开放某些特殊端口,供黑客控制主机和继续进一步入侵时使用,此时,这台主机就成为黑客的“肉鸡”。同时,利用一些操作系统的漏洞,一些高级的木马程序有时还会像病毒一样试图连接局域网内的其他程序,进行复制和传播,入侵内网的其他主机。
二:黑客利用占领的“肉机”,向一些网站,交易平台,游戏,网吧等一些经营性服务器发起 DDOS 拒绝服务攻击,利用同一时间的海量数据阻塞网络链路,使正常服务无法连接和访问。这种类型的攻击,以不仅仅是炫耀技术,而更多是有很多直接获利的目的,他们或者是恶意商业竞争的对手花钱雇佣的(据报道,现在黑客市场的价ge是租用每个“肉鸡”的价ge,仅需要几角钱 / 每星期),或者因此达到敲诈或者报复的目的。
DoS 攻击
通常而言, DoS 的网络数据包同样是利用 TCP/ip 协议在 Internet 传输。这些数据包本身一般是无害的,但是如果数据包异常过多,就会造成网络设备或者服务器过载,迅速消耗了系统资源,造成服务拒绝,这就是 DoS 攻击的基本工作原理。
DoS 攻击之所以难于防护,其关键之处就在于非法流量和合法流量相互混杂,防护过程中无法有效的检测到 DoS 攻击。加之许多 DoS 攻击都采用了伪造源地址 IP 的技术,从而成功的躲避了基于统计模式工具的识别。
具体 DOS 攻击实现有如下几种方法:
1 、 SYN FLOOD
利用服务器的连接缓冲区,设置特殊的 TCP 包头,向服务器端不断地发送大量只有 SYN 标志的 TCP 连接请求。当服务器接收的时候,认为是没有建立起来的连接请求,于是这些请求建立会话,排到缓冲区队列中。如果发送的 SYN 请求超过了服务器能容纳的限度,缓冲区队列占满,那么服务器就不再接收新的请求了,因此其他合法用户的连接都会被拒绝掉。
2 、 IP 欺骗 DOS 攻击
这种攻击利用 RST 位来实现。假设现在有一个合法用户 (1.1.1.1) 已经同服务器建立了正常的连接,攻击者构造攻击的 TCP 数据,伪装自己的 IP 为 1.1.1.1 ,并向服务器发送一个带有 RST 位的 TCP 数据段。服务器接收到这样的数据后,会认为从 1.1.1.1 发送的连接有错误,从而清空缓冲区中建立好的连接。这时,如果合法用户 1.1.1.1 再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击者伪造大量的 IP 地址,向目标主机发送 RST 数据,从而使服务器不对合法用户服务。
3 、 带宽 DOS 攻击( UDP Flood , ICMP Flood )
这类攻击完全利用连接带宽足够大,持续向目标服务器发送大量请求,如 UDP 的包, ICMP 的 ping 包,来消耗服务器的缓冲区,或者仅消耗服务器的连接带宽,从而达到网络拥塞,使服务器不能正常提供服务。
DDOS 攻击
单一的 DoS 攻击一般是采用一对一方式的,“分布式拒绝服务攻击”( Distributed Denial of Service ,简称 DDoS )是建立在传统的 DoS 攻击基础之上一类攻击方式。当计算机与网络的处理能力加大了,用一台攻击机来攻击不再能起作用的话,攻击者就使用 10 台甚至 100 台攻击机同时攻击。这就是 DDos 。 DDoS 就是利用更多的傀儡机“肉鸡”来同时发起进攻,更大规模的来进攻受害者,破坏力更强。
现在,高速广泛连接的网络给大家带来了方便,但同时也为 DDoS 攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以 G 为级别的,大城市之间更可以达到 2.5G 的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了,攻击也更加隐蔽。 当主机服务器被 DDoS 攻击时,通常会有如下现象 :
接入节点入手 谈黑客和DDOS攻击防御