Loading
0

深度剖析DDoS的攻击:你知道第一次拒绝服务攻击是什么时候么?

' ZhaoHuan 2017年9月29日 安全焦点, 随便看看 374 0

前面讲到,DDoS攻击的发展主要经历4个阶段,今天来说一下第一阶段:探索期

探索期:来自个人黑客的攻击

早期的“黑客”都是一些技术爱好者。他们年轻、有激情、有活力、勇于探索。而且熟悉技术和的最新的进展,具有敏锐的洞察力。所以,他们能够找到当时系统中存在的漏洞和缺陷,并利用这些漏洞实现自己的目的。

“黑客”、“骇客”、“极客”的区别

“黑客”院子英文单词hacker,原本在美国的电脑界是带有褒义的,特指某些擅长计算机技术,具有强烈的好奇心和动手能力,并且崇尚自由的人。早期的“黑客”都是高级程序员,他们发现系统中的漏洞,编写入侵工具,并且实践它们。后来,一些虽然不会编写程序但是擅长使用工具进行“实战”的人,也被纳入了“黑客”的范畴。他们善于通过蛛丝马迹寻找系统的弱点,选择合适的工具,来实现入侵的过程。

“骇客”是Cracker的音译,就是“破解者”的意思,本意是指那些专门破解商业软件,绕过付费机制,从而免费使用的人。很多“骇客”会将破解后的软件发布到互联网上供大众下载使用。后来,这一概念和“黑客”的概念被混淆了,两者的区别越来越模糊。

“极客”来自于美国俚语Geek的音译,最初指性格古怪的人。很长时间,Geek在西方文化里一直偏向贬义。随着网络社交的普及,人们对“极客”的定义也逐渐发生了变化。现在,人们一般认为,花费大量的业余时间在网络中,并且偏爱新技术新产品的人群,就是“极客”。他们不一定是电脑高中,但对电脑和网络有很强的依赖性,喜欢尝试高科技产品。

但同时,这些“黑客”在技术之外的领域并非天才。他们想到什么就做什么,随心所欲的发起攻击,而不是效力于特定组织。早起的分布式拒绝服务攻击往往是缺乏明确的目的性,起因可能五花八门。也许是某人发现了一种有趣的攻击手法,只是想验证一下该攻击手法;也许是把攻击行为作为一种挑战,用以验证自己的天才能力;也许纯粹是为了向朋友炫耀。迈克尔 迪蒙 卡尔斯(“黑手党男孩”)甚至声称自己的目的就是在网络世界中建立所谓的“统治”。

所以,这些行为从攻击者的角度看来,基本不会带来经济上的收益。而从受害者的角度来看,往往波及的范围很大,具有轰动效果,单对具体的个人或者组织,损失并非难以承受。

最早的拒绝服务攻击发生在1996年,受害者是当时纽约最大的互联网服务提供商Panix。3年以后,发生了针对明尼苏达大学的攻击,攻击者使用Trinoo构建了真正的分布式控制网络。在早期的“黑客行动中,最具有轰动效应的就是“黑手党男孩”对雅虎、亚马逊等著名网站发动攻击,这是早期“黑客”中暴漏真实身份的一个。最著名的可能也是最具有威胁的一次,是2002年针对13台根服务器的攻击。虽然持续时间很短,也没有导致所有服务器完全瘫痪,但是只要设想一下行动成功的后面,就会让人不寒而栗。

第一次拒绝服务攻击

第一次拒绝服务攻击发生在1996年9月6号下午5:30.Panix,这个纽约市历史最悠久、规模最大的互联网提供商成为了攻击的受害者。公司的右键、新闻、Web和域名服务器等同事遭受攻击。

攻击者采用的方法非常简单:不断向服务器发送连接请求(TCP SYN请求),速度高达每秒150次。服务器忙于应对这些请求,从而无法会用正常的用户。这种攻击后来被成为“SYN FLOOD攻击”,是拒绝式服务攻击的一种。即使到现在,SYN FLOOD攻击也经常使用。此外,攻击者还采用了随机伪造源地址的方式,一方面这使得攻击来源难以追踪;另一方面,随机的源地址也使得过滤和阻断攻击变得非常困难。

完全消除DDoS攻击是极为困难的一件事。尤其当用户正常的访问量较大时,很难立刻将其与恶意伪造的访问区分开来。幸运的是,削弱这种攻击造成的威海是可以的。我们一般称之为“缓解技术”。Panix被攻击后,计算机紧急响应小组(CERT)做出了快速响应。9月19日发布了TCP SYN Flooding and IP Spoofing Attacks,提出了缓解SYN FLOOD攻击和IP欺骗攻击的建议。

分布式攻击网络:Trinoo

1999年8月17日,美国明尼苏达大学的一台服务器遭到攻击,造成了连续两天的服务中止。接下来的几天中,又有至少16台主机遭到同样的攻击,其中有一些并不在美国境内。

这应该是第一次真正意义上的DDoS攻击,之前针对Panix的攻击并没有表现出“分布式”的特性,很可能是从单一主机发起的。而这一次,攻击来自至少227台主机,他们的所有并不知道,这些设备居然成为黑客手中的工具。攻击数据包都是UDP格式的,并未隐藏来源地址。所以,明尼苏达大学追踪这些IP地址,并联系到了这些攻击主机的真正所有者,以停止攻击进程。但这一方法并未奏效,因为攻击者采用了一个简单的对策:加入更多被控制的主机进行攻击。相关调查人员在一台主机中发现了Trinoo的源代码,同事发现了一个包含888个IP地址的文件,这很可能就是当时Trinoo网络的规模。在另外一个名为“216”的目录中,还发现了包含10549个地址文件,据估计是存在漏洞的潜在控制目标。

Trinoo是第一个使用控制网络进行攻击的DDoS工具。攻击者首先入侵并控制一些主机,在其安装扫描工具。攻击工具以及Trinoo控制程序,我们一般称其为控制主机(Master)。接着,攻击者会通过控制主机入侵并控制更多电脑,安装受控和攻击软件,我们称其为攻击主机(Slave)或者叫做“肉鸡”。发送攻击时,只需要对控制主机发送指令,由它们自动管理攻击主机发送的数据包。在本次攻击中,被控制主机大多数是Solaris 2.x系统。

漏洞是:远程调用服务(RFC)中存在的缓冲区溢出。

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。