價值性
在當今維護網絡安全的措施中,防火牆是應用最普遍、提供最基本網絡防範功能的一種有效手段。針對威脅網絡安全的DDOS攻擊,DDOS防火牆扮演者重要的角色,其産品也是琳琅滿目。随着用戶對DDOS防火牆的質量要求越來越高,對DDOS防火牆産品的DDOS壓力測試的研究也随即展開,壓力測試的重要性是能夠讓企業及時發現自己網絡環境的薄弱點。
簡介
DDOS為(DistributedDenialofService)的縮寫,即分布式阻斷服務,黑客利用DDOS攻擊器控制多台機器同時攻擊來達到“妨礙正常使用者使用服務”的目的,這樣就形成了DDOS攻擊。
目前最強悍技術最領先的DDOS攻擊器就是閃電DDOS了該軟件來自IT技術世界一流的閃電工作室開發,是專門針對大衆化設計研發的具有創新思想和專有技術的新型網絡DDOS攻擊。集合了市面上所有攻擊軟件優點取得了革命性突破(獨立編寫代碼.很有效的防止放火牆公司修改參數進行防禦攻擊.)
閃電DDOS攻擊器-是一款用于目标主機DDOS攻擊測試、網站攻擊測試和流量測試的軟件。該軟件完全由閃電工作室獨立研發,它參考衆多國内外優秀的DDOS攻擊器的特點,并采用全球領先的網絡流量控制和系統開銷控制技術,具有速度快,不堵塞,隐蔽性好,攻擊性能強悍等優異的特性,可以充分發掘目标對象的弱點,配合後期推出的閃電DDOS防火牆加以防護。保障企業網站或主機的安全。隻有攻擊和防禦相結合.才能穩操勝券,讓你的對手無懈可擊。
企業簡介:
閃電DDOS安全實驗室是一支專業DDOS攻擊軟件開發與維護團隊,工作室成立于2006年5月1日。專業緻力于為企業及個人提供優質的互聯網服務,項目包括網站建設、網站防火牆測試、網頁設計、程序開發、UI界面設計、平面設計、域名注冊、虛拟主機、網站推廣、網站優化等。工作室是由專業的技術人才、優秀的管理人才組成的運營團隊,有着超過五年的互聯網運營服務從業經驗,服務遍及安徽、浙江、湖北、湖南、福建、廣東等地區。
我們為您提供優質的網站建設一條龍、完善的服務、一流的設計和全面的解決方案。全面滿足大中小企業用戶的需求,讓客戶在信息時代穩握無限商機。軟件簡介:閃電DDOS壓力測試系統V2011,是一款用于目标主機攻擊測試、網站攻擊測試和流量測試的軟件。該軟件完全由閃電DDOS安全實驗室獨立研發,它參考衆多國内外優秀的DDOS攻擊測試軟件的特點,并采用全球領先的網絡流量控制和系統開銷控制技術,具有速度快,不堵塞,隐蔽性好,攻擊性能強悍等優異的特性,可以充分發掘目标對象的弱點,配合DarkShadowDDOS防火牆加以防護。保障企業網站或主機的安全。
★強大的攻擊性能
可以設定1~50個并行線程,支持常規主機攻擊,如TCP多連接/UDP碎片/ICMPFlood/IGMPFlood/SYNFlood等,獨創智能混合攻擊與變種CC攻擊等,有效測試網站及主機弱點。閃電DDOS壓力測試系統V2011支持winNT/2k/xp/2003等系統。
★肉雞的自動上線
支持多種方式的肉雞上線機制,如動态域名/URL轉向/FTP上傳IP文件/固定IP等,通過簡單配置就可以自動生成服務端。服務端具有強大的自動重連功能,可以自動尋找宿主的外網地址,自動使用代理,支持局域網内控制。
★隐蔽性能
服務端可以加殼保護,可以注入到任意的進程中,如explorer,svchost等等,NT系統上可以生成僞裝的service自動啟動。
★穿透主動防禦和穿透還原
獨創服務端雙穿透功能,穩固保持在線主機。
★一流的攻擊速度
服務端部分代碼由彙編直接完成,在保障功能的同時盡可能緊湊,達到完美的攻擊速度,通過優化速度和線程,提升最佳攻擊能力。我們的目标是将服務端體積保持在無殼60KB以下,FSG壓縮30KB以下。同時正式版提供8個壓力測試面闆,可同時進行多個測試項目。
★親和力和易用的界面
閃電DDOS壓力測試系統V2011采用美觀的換膚界面,有多種皮膚可供選擇,我們在提供美觀界面的同時,更注重和提升他的易用性能。
攻防
帶寬消耗型攻擊
DDoS帶寬消耗攻擊可以分為兩個不同的層次;洪泛攻擊或放大攻擊。洪泛攻擊的特點是利用僵屍程序發送大量流量至受損的受害者系統,目的在于堵塞其帶寬。放大攻擊也與之類似,通過惡意放大流量限制受害者系統的帶寬;其特點是利用僵屍程序發送信息,但是信息卻是發送至廣播IP地址,導緻系統子網被廣播IP地址連接上之後再發送信息至受害系統。
UserDatagramProtocol(UDP)floods
UDP是一種無連接協議,當數據包通過UDP發送時,所有的數據包在發送和接收時不需要進行握手驗證。當大量UDP數據包發送給受害系統時,可能會導緻帶寬飽和從而使得合法服務無法請求訪問受害系統。遭受DDoSUDP洪泛攻擊時,UDP數據包的目的端口可能是随機或指定的端口,受害系統将嘗試處理接收到的數據包以确定本地運行的服務。
如果沒有應用程序在目标端口運行,受害系統将對源IP發出ICMP數據包,表明“目标端口不可達”。某些情況下,攻擊者會僞造源IP地址以隐藏自己,這樣從受害系統返回的數據包不會直接回到僵屍主機,而是被發送到被僞造地址的主機。有時UDP洪泛攻擊也可能影響受害系統周圍的網絡連接,這可能導緻受害系統附近的正常系統遇到問題。然而,這取決于網絡體系結構和線速。
ICMPfloods
ICMPfloods是通過向未良好設置的路由器發送廣播信息占用系統資源的做法。
pingofdeath(死亡之Ping)
pingofdeath是産生超過IP協定能容忍的封包數,若系統沒有檢查機制,就會當機。
淚滴攻擊
每個資料要傳送前,該封包都會經過切割,每個小切割都會記錄位移的資訊,以便重組,但此攻擊模式就是捏造位移資訊,造成重組時發生問題,造成錯誤。
資源消耗型攻擊
協議分析攻擊(SYNflood,SYN洪水)
傳送控制協議(TCP)同步(SYN)攻擊。TCP進程通常包括發送者和接受者之間在數據包發送之前建立的完全信号交換。啟動系統發送一個SYN請求,接收系統返回一個帶有自己SYN請求的ACK(确認)作為交換。發送系統接着傳回自己的ACK來授權兩個系統間的通訊。
若接收系統發送了SYN數據包,但沒接收到ACK,接受者經過一段時間後會再次發送新的SYN數據包。接受系統中的處理器和内存資源将存儲該TCPSYN的請求直至超時。DDoSTCPSYN攻擊也被稱為“資源耗盡攻擊”,它利用TCP功能将僵屍程序僞裝的TCPSYN請求發送給受害服務器,從而飽和服務處理器資源并阻止其有效地處理合法請求。
它專門利用發送系統和接收系統間的三向信号交換來發送大量欺騙性的原IP地址TCPSYN數據包給受害系統。最終,大量TCPSYN攻擊請求反複發送,導緻受害系統内存和處理器資源耗盡,緻使其無法處理任何合法用戶的請求。LANDattack這種攻擊方式與SYNfloods類似,不過在LANDattack攻擊包中的原地址和目标地址都是攻擊對象的IP。
這種攻擊會導緻被攻擊的機器死循環,最終耗盡資源而死機。CC攻擊CC攻擊是DDoS攻擊的一種類型,使用代理服務器向受害服務器發送大量貌似合法的請求(通常使用HTTPGET)。CC(攻擊黑洞)根據其工具命名,攻擊者創造性地使用代理機制,利用衆多廣泛可用的免費代理服務器發動DDoS攻擊。許多免費代理服務器支持匿名模式,這使追蹤變得非常困難。僵屍網絡攻擊僵屍網絡是指大量被命令控制型(C&C)服務器所控制的互聯網主機群。
攻擊者傳播惡意軟件并組成自己的僵屍網絡。僵屍網絡難于檢測的原因是,僵屍主機隻有在執行特定指令時才會與服務器進行通訊,使得它們隐蔽且不易察覺。僵屍網絡根據網絡通訊協議的不同分為IRC、HTTP或P2P類等。Applicationlevelfloods(應用程序級洪水攻擊)與前面叙說的攻擊方式不同,Applicationlevelfloods主要是針對應用軟件層的,也就是高于OSI的。它同樣是以大量消耗系統資源為目的,通過向IIS這樣的網絡服務程序提出無節制的資源申請來迫害正常的網絡服務。
攻擊防禦
阻斷服務
在探讨DDoS之前我們需要先對DoS有所了解,DoS泛指黑客試圖妨礙正常使用者使用網絡上的服務,例如剪斷大樓的電話線路造成用戶無法通話。而以網絡來說,由于頻寬、網絡設備和服務器主機等處理的能力都有其限制,因此當黑客産生過量的網絡封包使得設備處理不及,即可讓正常的使用者無法正常使用該服務。例如黑客試圖用大量封包攻擊一般頻寬相對小得多的撥接或ADSL使用者,則受害者就會發現他要連的網站連不上或是反應十分緩慢。
DoS攻擊并非入侵主機也不能竊取機器上的資料,但是一樣會造成攻擊目标的傷害,如果攻擊目标是個電子商務網站就會造成顧客無法到該網站購物。
分布式阻斷服務
DDoS則是DoS的特例,黑客利用多台機器同時攻擊來達到妨礙正常使用者使用服務的目的。黑客預先入侵大量主機以後,在被害主機上安裝DDoS攻擊程控被害主機對攻擊目标展開攻擊;有些DDoS工具采用多層次的架構,甚至可以一次控制高達上千台電腦展開攻擊,利用這樣的方式可以有效産生極大的網絡流量以癱瘓攻擊目标。早在2000年就發生過針對Yahoo,eBay,Buy和CNN等知名網站的DDoS攻擊,阻止了合法的網絡流量長達數個小時。
DDoS攻擊程序的分類,可以依照幾種方式分類,以自動化程度可分為手動、半自動與自動攻擊。早期的DDoS攻擊程序多半屬于手動攻擊,黑客手動尋找可入侵的計算機入侵并植入攻擊程序,再下指令攻擊目标;半自動的攻擊程序則多半具有handler控制攻擊用的agent程序。
黑客散布自動化的入侵工具植入agent程序,然後使用handler控制所有agents對目标發動DDoS攻擊;自動攻擊更進一步自動化整個攻擊程序,将攻擊的目标、時間和方式都事先寫在攻擊程序裡,黑客散布攻擊程序以後就會自動掃描可入侵的主機植入agent并在預定的時間對指定目标發起攻擊,例如近期的W32/Blaster網蟲即屬于此類。
若以攻擊的弱點分類則可以分為協議攻擊和暴力攻擊兩種。協議攻擊是指黑客利用某個網絡協議設計上的弱點或執行上的bug消耗大量資源,例如TCPSYN攻擊、對認證伺服器的攻擊等;暴力攻擊則是黑客使用大量正常的聯機消耗被害目标的資源,由于黑客會準備多台主機發起DDoS攻擊目标,隻要單位時間内攻擊方發出的網絡流量高于目标所能處理速度,即可消耗掉目标的處理能力而使得正常的使用者無法使用服務。
若以攻擊頻率區分則可分成持續攻擊和變動頻率攻擊兩種。持續攻擊是當攻擊指令下達以後,攻擊主機就全力持續攻擊,因此會瞬間産生大量流量阻斷目标的服務,也因此很容易被偵測到;變動頻率攻擊則較為謹慎,攻擊的頻率可能從慢速漸漸增加或頻率高低變化,利用這樣的方式延緩攻擊被偵測的時間。
DDoS攻擊的方式
DDoS的攻擊策略側重于通過很多“僵屍主機”(被攻擊者入侵過或可間接利用的主機)向受害主機發送大量看似合法的網絡包,從而造成網絡阻塞或服務器資源耗盡而導緻拒絕服務。分布式拒絕服務攻擊一旦被實施,攻擊網絡包就會猶如洪水般湧向受害主機,從而把合法用戶的網絡包淹沒,導緻合法用戶無法正常訪問服務器的網絡資源。
判斷是否被DDoS攻擊
判斷網站是否遭受了流量攻擊很簡單,可通過Ping命令來測試,若發現Ping超時或丢包嚴重,則可能遭受了流量攻擊。此時若發現和你的主機接在同一交換機上的服務器也訪問不了了,基本可以确定是遭受了流量攻擊。
從DDoS攻擊下存活
那麼當遭受DDoS攻擊的時候要如何設法存活并繼續提供正常服務呢?由先前的介紹可以知道,若黑客攻擊規模遠高于你的網絡頻寬、設備或主機所能處理的能力,其實是很難以抵抗攻擊的,但仍然有一些方法可以減輕攻擊所造成的影響。
首先是調查攻擊來源,由于黑客經由入侵機器進行攻擊,因此你可能無法查出黑客是由哪裡發動攻擊,我們必須一步一步從被攻擊目标往回推,先調查攻擊是由管轄網絡的哪些邊界路由器進來,上一步是外界哪台路由器,連絡這些路由器的管理者(可能是某個ISP或電信公司)并尋求他們協助阻擋或查出攻擊來源,而在他們處理之前可以進行哪些處理呢?
如果被攻擊的目标隻是單一ip,那麼試圖改個ip并更改其DNSmapping或許可以避開攻擊,這是最快速而有效的方式;但是攻擊的目的就是要使正常使用者無法使用服務,更改ip的方式雖然避開攻擊,以另一角度來看黑客也達到了他的目的。
此外,如果攻擊的手法較為單純,可以由産生的流量找出其規則,那麼利用路由器的ACLs(AccessControlLists)或防火牆規則也許可以阻擋,若可以發現流量都是來自同一來源或核心路由器,可以考慮暫時将那邊的流量擋起來,當然這還是有可能将正常和異常的流量都一并擋掉,但至少其它來源可以得到正常的服務,這有時是不得已的犧牲。如果行有餘力,則可以考慮增加機器或頻寬作為被攻擊的緩沖之用,但這隻是治标不治本的做法。最重要的是必須立即着手調查并與相關單位協調解決。
預防DDoS攻擊
DDoS必須透過網絡上各個團體和使用者的共同合作,制定更嚴格的網絡标準來解決。每台網絡設備或主機都需要随時更新其系統漏洞、關閉不需要的服務、安裝必要的防毒和防火牆軟件、随時注意系統安全,避免被黑客和自動化的DDoS程序植入攻擊程序,以免成為黑客攻擊的幫兇。
有些DDoS會僞裝攻擊來源,假造封包的來源ip,使人難以追查,這個部份可以透過設定路由器的過濾功能來防止,隻要網域内的封包來源是其網域以外的ip,就應該直接丢棄此封包而不應該再送出去,如果網管設備都支持這項功能,網管人員都能夠正确設定過濾掉假造的封包,也可以大量減少調查和追蹤的時間。
網域之間保持聯絡是很重要的,如此才能有效早期預警和防治DDoS攻擊,有些ISP會在一些網絡節點上放置感應器偵測突然的巨大流量,以提早警告和隔絕DDoS的受害區域,降低顧客的受害程度。
