應(yīng)用層DDoS攻擊分析
1.Net-DDoS攻擊與App-DDoS攻擊
按攻擊所針對的網(wǎng)絡(luò)層次可以把DDoS攻擊分為:網(wǎng)絡(luò)層DDoS(Net-DDoS)攻擊和App-DDoS攻擊���。Net-DDoS攻擊主要是利用了現(xiàn)有低層(包括IP層和TCP層)協(xié)議的漏洞來發(fā)動攻擊。典型的攻擊方式是:使用偽造IP地址的攻擊節(jié)點向目標(biāo)主機發(fā)送大量攻擊分組(TCP��、 ICMP���、UDP等分組)�,利用TCP的三次握手機制使目標(biāo)服務(wù)器為維護一個非常大的半開放連接列表而消耗非常多的CPU和內(nèi)存資源���,最終因為堆棧溢出而導(dǎo)致系統(tǒng)崩潰無法為正常用戶提供服務(wù)����。
App-DDoS攻擊雖然還是利用洪水式的攻擊方法�,但與Net-DDoS攻擊不同的是它利用了高層協(xié)議�����,例如HTTP���。由于高層協(xié)議的多樣性與復(fù)雜性���,App-DDoS攻擊很難被檢測到�,而且高層協(xié)議通常具有較強的功能����,可以實現(xiàn)多種復(fù)雜的功能,因此App-DDoS攻擊所產(chǎn)生的破壞力遠(yuǎn)大于傳統(tǒng)的Net-DDoS攻擊�。App-DDoS攻擊有以下兩種攻擊方式:帶寬耗盡型和主機資源耗盡型。帶寬耗盡型(例如HTTPFlooding)的目標(biāo)是通過大量合法的HTTP請求占用目標(biāo)網(wǎng)絡(luò)的帶寬���,使正常用戶無法進行Web訪問����。攻擊的具體實現(xiàn)可以有多種不同的方式��。攻擊者可以通過單線程或多線程向目標(biāo) Web服務(wù)器發(fā)送大量的HTTP請求�����,這些請求可以隨機生成也可以通過攔截用戶的正常請求序列然后重放產(chǎn)生�����。請求內(nèi)容可以是Web服務(wù)器上的正常頁面(例如主頁),也可以是重定向頁面�、頭信息或某些錯誤文檔,更復(fù)雜的可以是對動態(tài)內(nèi)容���、數(shù)據(jù)庫查詢的請求��。攻擊者甚至可以模擬搜索引擎采用遞歸方式����,即從一個給定的HTTP鏈接開始���,然后以遞歸的方式順著指定網(wǎng)站上所有的鏈接訪問����,這也叫爬蟲下載(spidering)����。主機資源耗盡型與 HTTPFlooding不同,其目的是為了耗盡目標(biāo)主機的資源(例如:CPU����、存儲器����、Socket等)���。攻擊者用少量的HTTP請求促使服務(wù)器返回大文件(例如圖像、視頻文件等)�,或促使服務(wù)器運行一些復(fù)雜的腳本程序(例如復(fù)雜的數(shù)據(jù)處理、密碼計算與驗證等)���。這種方式不需要很高的攻擊速率就可以迅速耗盡主機的資源�����,而且更具有隱蔽性�����。
與傳統(tǒng)基于低層協(xié)議的DDoS攻擊相比�����,App-DDoS攻擊具有以下特點:
首先����,它利用了高層協(xié)議(HTTP)實現(xiàn)�����。許多基于Web的應(yīng)用(例如HTTP或HTTPS)通過開放的TCP端口(如TCP端口80與443)為客戶提供服務(wù),因此低層的檢測系統(tǒng)很難判斷經(jīng)過這些開放端口的用戶請求是來自于正常用戶還是來自于攻擊者���。這導(dǎo)致針對Web應(yīng)用的App-DDoS攻擊請求可以順利穿越基于低層協(xié)議的檢測系統(tǒng)��,通過開放的TCP80端口直接到達Web服務(wù)器或網(wǎng)絡(luò)數(shù)據(jù)庫(見圖1)�����。
其次��,由于App-DDoS攻擊是以高層信息流(HTTP流)作為攻擊手段�,其實現(xiàn)是以正常TCP連接和IP分組為前提���,因此形成攻擊的HTTP流不具備傳統(tǒng)DDoS攻擊的標(biāo)志性特征(例如:TCP半開放連接和畸形IP數(shù)據(jù)報等)���,而且它無法采用虛假IP地址(虛假IP地址無法建立有效的TCP連接)的方法。越來越多的主機(包括個人主機和企業(yè)大型主機)全天候地連接互聯(lián)網(wǎng)���,為這種攻擊提供了有利的條件和環(huán)境�。
此外����,由于高層的服務(wù)和協(xié)議差異很大,App-DDoS攻擊可以有多種不同的形式��,而且一個簡單的HTTP請求往往可以觸發(fā)服務(wù)器執(zhí)行一系列復(fù)雜的操作���,例如:數(shù)據(jù)庫查詢����、密碼驗證等��,所以通過大量傀儡機向目標(biāo)發(fā)送海量分組的攻擊方式并不是App-DDoS攻擊的惟一選擇���,它可以用低速率的請求�、少量的攻擊節(jié)點實現(xiàn)傳統(tǒng)DDoS的攻擊效果�����,這給現(xiàn)有的檢測帶來了很大困難���。2004年的蠕蟲病毒“Mydoom”及其后來的變體“Mytob”就是典型的 HTTPFlooding攻擊案例��,而且也顯示出目前DDoS攻擊的發(fā)展趨勢����。該病毒采用了常用的Web服務(wù)器請求技術(shù),通過模仿瀏覽器IE的請求文本�����,使Web服務(wù)器難以區(qū)分正常的和異常的HTTP請求����,從而提高了攻擊的破壞能力。由于所有的攻擊請求都是由合法分組構(gòu)成��,不具備傳統(tǒng)DDoS攻擊流的特征���,因此攻擊請求順利穿越所有基于IP層和TCP層的檢測系統(tǒng)�,最終導(dǎo)致SCO和微軟等知名網(wǎng)站的服務(wù)器崩潰����。
2.DDoS的攻擊環(huán)境
DDoS攻擊所處的背景環(huán)境可以分為:平穩(wěn)背景流環(huán)境和突發(fā)流環(huán)境。平穩(wěn)背景流是指那些流量隨時間變化不大的網(wǎng)站����,許多普通網(wǎng)站的流量都具有平穩(wěn)的特性。突發(fā)流是現(xiàn)代網(wǎng)絡(luò)流的一種新現(xiàn)象�����,近幾年開始受到網(wǎng)絡(luò)研究者的關(guān)注。對于Web應(yīng)用來說����,突發(fā)流是指海量的正常Web用戶同時訪問某一特殊的網(wǎng)站�,從而導(dǎo)致Web服務(wù)器的訪問量和相關(guān)網(wǎng)絡(luò)的流量產(chǎn)生巨大的波動。典型的突發(fā)流事例包括:1998年世界杯Web網(wǎng)站�,2000年悉尼奧運會網(wǎng)站,2000�、2001、2002年澳大利亞網(wǎng)球公開賽等體育網(wǎng)站的訪問流量隨比賽日程表出現(xiàn)的顯著波動;“911”恐怖襲擊后CNN網(wǎng)站訪問量的突增;Linux“紅帽子”發(fā)布的首天�����,發(fā)布網(wǎng)站的訪問量出現(xiàn)戲劇性的波動等���。
