基于反弹技术的DDoS攻击分析
攻击者可以反弹的技术允许我们的DDoS攻击防御研究更加困难;mdash;DDoS服务器利用反弹反弹洪水包,也就是说,通过发送大量的数据请求包(欺诈的受害者,源地址的受害者服务器或目标服务器)到了Internet上大量的服务器,这些服务器收到请求将发送大量反应的受害者。结果是洪水以前用来攻击数据流是由大量服务器稀释,并最终聚集在受害者的位置成为洪水,要孤立和打击的洪水受害者更难,它是更难找到洪水流源追踪TR信息技术。在分布式拒绝服务攻击(DDoS)中,攻击者首先入侵大量服务器,并在这些服务器上植入DDoS攻击,攻击这些入侵服务器的网络传输能力,使用大量服务器发起攻击,不仅增加攻击强度,而且更难防范。
图1:DDoS攻击结构
图1显示了过去的DDoS攻击的结构:一个主机,主服务器(Master),并发送控制信息从服务器组(奴隶)已预先入侵和被植入攻击程序,并控制从服务器攻击到目标服务器,从服务器组高力的源地址是伪造的或随机生成的网络数据流,这些数据流发送到目标服务器,因为数据流的源地址是伪造的,追踪难度加大。
从服务器的其他微量几十万不仅可以增加难度(因为难以识别大量不同的来源,大量的路由器需要查询),也大大阻碍了成功后追踪时所采取的行动(它与大量的网络管理员,过滤网安装)。
图2:使用弹跳的DDoS攻击的结构
现在,攻击者可以更好地组织他们的攻击思想利用反射器。反弹服务器指的是一个主机响应数据请求时,数据包被接收。例如,所有的Web服务器、DNS服务器和路由器都反弹服务器,因为他们回应SYN消息或其他TCP消息回应SYN ACK或RST的信息,以及IP IP报文响应ICMP报文超时或目的地不可达报文,攻击者可以利用这些反应来启动目标服务器的DDoS攻击。
攻击者首先锁定大量的可以做为反弹服务器群,例如,100万台湾(这是不是一个很困难的工作,因为在Internet上的Web服务器,不仅如此,何况还有更多其他的机器可以作为一个反弹服务器),那么攻击者的重点前进中的服务器集群,并派出大量虚假请求包的锁定退税服务器组(源地址是受害者服务器或目标服务器的受害者)。反弹服务器发送响应数据报给受伤的服务器。结果是:洪水数据报告给受害者服务器不是数百,成千上万的来源,但数以百万计的来源。分散的洪水流量将阻止任何其他尝试连接到受伤的服务器。
图二展示了使用反弹的DDoS攻击的结构。值得注意的是,这次攻击的来源不是受害者服务器需要的,因为所有的数据报文的源IP是真实的,它是服务器组的IP。另一方面,反弹服务器的经理人很难跟踪从服务器的位置,因为他收到的数据是假的(源IP是受害者服务器IP)。
原则上,我们可以使用跟踪技术从反弹服务器到服务器的位置。然而,在反弹服务器的流量比从服务器发送的流量少得多。每个网络流量可以从服务器发送到所有服务器或反弹的很大一部分。例如,如果有NR反弹服务器,南北交通从服务器到F从每个从属服务器,然后服务器将产生的网络流量的反弹。
而NR远远大于ns,因此,服务器自动检测DDoS攻击源是否基于网络流量的机制将不起作用。
值得注意的是,不同于以往的DDOS攻击,利用反弹技术,攻击者不需要服务器是网络流量放大器(发送大容量的网络数据比攻击者发送)。他们甚至可以削弱洪峰流量和洪水,最终在目标服务器上轮大容量。这种机制使攻击者使用服务器的不同网络结构机制反弹服务器,使其更容易找到足够的反弹服务器发起攻击。
我们的分析表明,有三种特别威胁的反弹服务器,DNS服务器,Gnutella服务器,和基于TCP-IP的服务器(特别是Web服务器)。基于TCP的实现将受到可预测的初始序列号的威胁。