拒絕服務攻擊

拒絕服務（DoS）：DoS是 Denial of service的簡稱，即拒絕服務，任何對服務的干涉，使得其可用性降低或者失去可用性均稱為拒絕服務。例如一個計算機系統崩潰或其帶寬耗盡或其硬盤被填滿，導致其不能提供正常的服務，就構成拒絕服務 ^[2]  。

拒絕服務攻擊：造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網絡無法提供正常的服務 ^[2]  。

最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量衝擊網絡，使得所有可用網絡資源都被消耗殆盡，最後導致合法的用户請求無法通過。連通性攻擊指用大量的連接請求衝擊計算機，使得所有可用的操作系統資源都被消耗殆盡，最終計算機無法再處理合法用户的請求 ^[2]  。

SYN Flood是當前最流行的DoS（拒絕服務攻擊）與DDoS（Distributed Denial Of Service分佈式拒絕服務攻擊）的方式之一，這是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，使被攻擊方資源耗盡（CPU滿負荷或內存不足）的攻擊方式 ^[3]  。

SYN Flood攻擊的過程在TCP協議中被稱為三次握手（Three-way Handshake），而SYN Flood拒絕服務 ^[3]  。

攻擊就是通過三次握手而實現的 ^[3]  。

（1）攻擊者向被攻擊服務器發送一個包含SYN標誌的TCP報文，SYN（Synchronize）即同步報文。同步報文會指明客户端使用的端口以及TCP連接的初始序號。這時同被攻擊服務器建立了第一次握手 ^[3]  。

（2）受害服務器在收到攻擊者的SYN報文後，將返回一個SYN+ACK的報文，表示攻擊者的請求被接受，同時，TCP序號被加一，ACK（Acknowledgment）即確認，這樣就同被攻擊服務器建立了第二次握手 ^[3]  。

（3）攻擊者也返回一個確認報文ACK給受害服務器，同樣TCP序列號被加一，到此一個TCP連接完成，三次握手完成 ^[3]  。

具體原理是：TCP連接的三次握手中，假設一個用户向服務器發送了SYN報文後突然死機或掉線，那麼服務器在發出SYN+ACK應答報文後是無法收到客户端的ACK報文的（第三次握手無法完成），這種情況下服務器端一般會重試（再次發送SYN+ACK給客户端）並等待一段時間後丟棄這個未完成的連接。這段時間的長度我們稱為SYN Timeout，一般來説這個時間是分鐘的數量級（大約為30秒-2分鐘）；一個用户出現異常導致服務器的一個線程等待1分鐘並不是什麼很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況（偽造IP地址），那麼服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源。即使是簡單的保存並遍歷也會消耗非常多的CPU時間和內存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上，如果服務器的TC P/IP棧不夠強大，那麼最後的結果往往是堆棧溢出崩潰——即使服務器端的系統足夠強大，服務器端也將忙於處理攻擊者偽造的TCP連接請求而無暇理睬客户的正常請求（畢竟客户端的正常請求比率非常之小），此時，從正常客户的角度看來，服務器失去響應，這種情況就稱做：服務器端受到了SYN Flood攻擊（SYN洪水攻擊） ^[3]  。

分佈式拒絕服務攻擊網絡結構圖(2張)

如果系統遭受SYN Flood，那麼第三步就不會有，而且無論在防火牆還是S都不會收到相應的第一步的SYN包，所以我們就擊退了這次SYN洪水攻擊 ^[3]  。

DDOS攻擊(2張)

這種攻擊利用RST位來實現。假設有一個合法用户(61.61.61.61)已經同服務器建立了正常的連接，攻擊者構造攻擊的TCP數據，偽裝自己的IP為61.61.61.61，並向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據後，認為從61.61.61.61發送的連接有錯誤，就會清空緩衝區中建立好的連接。這時，如果合法用户61.61.61.61再發送合法數據，服務器就已經沒有這樣的連接了，該用户就必須從新開始建立連接。攻擊時，攻擊者會偽造大量的IP地址，向目標發送RST數據，使服務器不對合法用户服務，從而實現了對受害服務器的拒絕服務攻擊 ^[4]  。

攻擊者利用簡單的TCP/IP服務，如Chargen和Echo來傳送毫無用處的佔滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接，回覆地址指向開着Echo服務的一台主機，這樣就生成在兩台主機之間存在很多的無用數據流，這些無用數據流就會導致帶寬的服務攻擊 ^[4]  。

由於在早期的階段，路由器對包的最大尺寸都有限制。許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB，並且在對包的標題頭進行讀取之後，要根據該標題頭裏包含的信息來為有效載荷生成緩衝區。當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方死機 ^[4]  。

淚滴攻擊是利用在TCP/IP堆棧中實現信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指明該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括service pack 4以前的NT）在收到含有重疊偏移的偽造分段時將崩潰 ^[4]  。

Land攻擊原理是：用一個特別打造的SYN包，它的原地址和目標地址都被設置成某一個服務器地址。此舉將導致接受服務器向它自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息並創建一個空連接。被攻擊的服務器每接收一個這樣的連接都將保留，直到超時，對Land攻擊反應不同，許多UNIX實現將崩潰，NT變的極其緩慢（大約持續5分鐘） ^[4]  。

一個簡單的Smurf攻擊原理就是：通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求（ping）數據包來淹沒受害主機的方式進行。最終導致該網絡的所有主機都對此ICMP應答請求作出答覆，導致網絡阻塞。它比ping of death洪水的流量高出1或2個數量級。更加複雜的Smurf將源地址改為第三方的受害者，最終導致第三方崩潰 ^[4]  。

原理：Fraggle攻擊實際上就是對Smurf攻擊作了簡單的修改，使用的是UDP應答消息而非ICMP ^[4]  。

J.Mirkovic和P. Reiher [Mirkovic04]提出了拒絕服務攻擊的屬性分類法，即將攻擊屬性分為攻擊靜態屬性、攻擊動態屬性和攻擊交互屬性三類，根據DoS攻擊的這些屬性的不同，就可以對攻擊進行詳細的分類。凡是在攻擊開始前就已經確定，在一次連續的攻擊中通常不會再發生改變的屬性，稱為攻擊靜態屬性。攻擊靜態屬性是由攻擊者和攻擊本身所確定的，是攻擊基本的屬性。那些在攻擊過程中可以進行動態改變的屬性，如攻擊的目標選取、時間選擇、使用源地址的方式，稱為攻擊動態屬性。而那些不僅與攻擊者相關而且與具體受害者的配置、檢測與服務能力也有關係的屬性，稱為攻擊交互屬性 ^[5]  。

攻擊靜態屬性主要包括攻擊控制模式、攻擊通信模式、攻擊技術原理、攻擊協議和攻擊協議層等 ^[5]  。

（1）攻擊控制方式

攻擊控制方式直接關係到攻擊源的隱蔽程度。根據攻擊者控制攻擊機的方式可以分為以下三個等級：直接控制方式（Direct）、間接控制方式（Indirect）和自動控制方式（Auto） ^[5]  。

直接控制方式是對目標的確定、攻擊的發起和中止都是由用户直接在攻擊主機上進行手工操作的。這種攻擊追蹤起來相對容易，如果能對攻擊包進行準確的追蹤，通常就能找到攻擊者所在的位置 ^[5]  。

在間接控制方式的攻擊中，DDOS的攻擊策略側重於通過很多“殭屍主機”（被攻擊者入侵過或可間接利用的主機）向受害主機發送大量看似合法的網絡包，從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務，分佈式拒絕服務攻擊一旦被實施，攻擊網絡包就會猶如洪水般湧向受害主機，從而把合法用户的網絡包淹沒，導致合法用户無法正常訪問服務器的網絡資源 ^[5]  。

自動控制方式的攻擊是在釋放的蠕蟲或攻擊程序中預先設定了攻擊模式，使其在特定時刻對指定目標發起攻擊。這種方式的攻擊，從攻擊機往往難以對攻擊者進行追蹤，但是這種控制方式的攻擊對技術要求也很高 ^[5]  。

（2）攻擊通信方式

在間接控制的攻擊中，控制者和攻擊機之間可以使用多種通信方式，它們之間使用的通信方式也是影響追蹤難度的重要因素之一。攻擊通信方式可以分為三種方式，分別是：雙向通信方式（bi）、單向通信方式（mono）和間接通信方式（indirection） ^[5]  。

雙向通信方式是指根據攻擊端接收到的控制數據包中包含了控制者的真實IP地址，例如當控制器使用TCP與攻擊機連接時，該通信方式就是雙向通信。這種通信方式，可以很容易地從攻擊機查找到其上一級的控制器 ^[5]  。

單向通信方式指的是攻擊者向攻擊機發送指令時的數據包並不包含發送者的真實地址信息，例如用偽造IP地址的UDP包向攻擊機發送指令。這一類的攻擊很難從攻擊機查找到控制器，只有通過包標記等IP追蹤手段，才有可能查找到給攻擊機發送指令的機器的真實地址。但是，這種通信方式在控制上存在若干侷限性，例如控制者難以得到攻擊機的信息反饋和狀態 ^[5]  。

間接通信方式是一種通過第三者進行交換的雙向通信方式，這種通信方式具有隱蔽性強、難以追蹤、難以監控和過濾等特點，對攻擊機的審計和追蹤往往只能追溯到某個被用於通信中介的公用服務器上就再難以繼續進行。這種通信方式已發現的主要是通過IRC（Internet Relay Chat）進行通信，從2000年8月出現的名為Trinity的DDoS攻擊工具開始，已經有多種DDoS攻擊工具及蠕蟲採納了這種通信方式 ^[5]  。

（3）攻擊原理

DoS攻擊原理主要分為兩種，分別是：語義攻擊（Semantic）和暴力攻擊（Brute） ^[5]  。

語義攻擊指的是利用目標系統實現時的缺陷和漏洞，對目標主機進行的拒絕服務攻擊，這種攻擊往往不需要攻擊者具有很高的攻擊帶寬，有時只需要發送1個數據包就可以達到攻擊目的，對這種攻擊的防範只需要修補系統中存在的缺陷即可。暴力攻擊指的是不需要目標系統存在漏洞或缺陷，而是僅僅靠發送超過目標系統服務能力的服務請求數量來達到攻擊的目的，也就是通常所説的風暴攻擊。所以防禦這類攻擊必須藉助於受害者上游路由器等的幫助，對攻擊數據進行過濾或分流。某些攻擊方式，兼具語義和暴力兩種攻擊的特徵，比如SYN風暴攻擊，雖然利用了TCP協議本身的缺陷，但仍然需要攻擊者發送大量的攻擊請求，用户要防禦這種攻擊，不僅需要對系統本身進行增強，而且也需要增大資源的服務能力。還有一些攻擊方式，是利用系統設計缺陷，產生比攻擊者帶寬更高的通信數據來進行暴力攻擊的，如DNS請求攻擊和Smurf攻擊。這些攻擊方式在對協議和系統進行改進後可以消除或減輕危害，所以可把它們歸於語義攻擊的範疇 ^[5]  。

（4）攻擊協議層

攻擊所在的TCP/IP協議層可以分為以下四類：數據鏈路層、網絡層、傳輸層和應用層 ^[5]  。

數據鏈路層的拒絕服務攻擊[Convery] [Fischbach01][Fischbach02]受協議本身限制，只能發生在局域網內部，這種類型的攻擊比較少見。針對IP層的攻擊主要是針對目標系統處理IP包時所出現的漏洞進行的，如IP碎片攻擊[Anderson01]，針對傳輸層的攻擊在實際中出現較多，SYN風暴、ACK風暴等都是這類攻擊，面向應用層的攻擊也較多，劇毒包攻擊中很多利用應用程序漏洞的（例如緩衝區溢出的攻擊）都屬於此類型 ^[5]  。

（5）攻擊協議

攻擊所涉及的最高層的具體協議，如SMTP、ICMP、UDP、HTTP等。攻擊所涉及的協議層越高，則受害者對攻擊包進行分析所需消耗的計算資源就越大 ^[5]  。

攻擊動態屬性主要包括攻擊源地址類型、攻擊包數據生成模式和攻擊目標類型 ^[5]  。

（1）攻擊源地址類型

攻擊者在攻擊包中使用的源地址類型可以分為三種：真實地址（True）、偽造合法地址（Forge Legal）和偽造非法地址（Forge Illegal） ^[5]  。

攻擊時攻擊者可以使用合法的IP地址，也可以使用偽造的IP地址。偽造的IP地址可以使攻擊者更容易逃避追蹤，同時增大受害者對攻擊包進行鑑別、過濾的難度，但某些類型的攻擊必須使用真實的IP地址，例如連接耗盡攻擊。使用真實IP地址的攻擊方式由於易被追蹤和防禦等原因，近些年來使用比例逐漸下降。使用偽造IP地址的攻擊又分為兩種情況：一種是使用網絡中已存在的IP地址，這種偽造方式也是反射攻擊所必需的源地址類型；另外一種是使用網絡中尚未分配或者是保留的IP地址（例如192.168.0.0/16、172.16.0.0/12等內部網絡保留地址[RFC1918]） ^[5]  。

（2）攻擊包數據生成模式

攻擊包中包含的數據信息模式主要有5種：不需要生成數據（None）、統一生成模式（Unique）、隨機生成模式（Random）、字典模式（Dictionary）和生成函數模式（Function） ^[5]  。

在攻擊者實施風暴式拒絕服務攻擊時，攻擊者需要發送大量的數據包到目標主機，這些數據包所包含的數據信息載荷可以有多種生成模式，不同的生成模式對受害者在攻擊包的檢測和過濾能力方面有很大的影響。某些攻擊包不需要包含載荷或者只需包含適當的固定的載荷，例如SYN風暴攻擊和ACK風暴攻擊，這兩種攻擊發送的數據包中的載荷都是空的，所以這種攻擊是無法通過載荷進行分析的。但是對於另外一些類型的攻擊包，就需要攜帶相應的載荷 ^[5]  。

攻擊包載荷的生成方式可以分為4種：第一種是發送帶有相同載荷的包，這樣的包由於帶有明顯的特徵，很容易被檢測出來。第二種是發送帶有隨機生成的載荷的包，這種隨機生成的載荷雖然難以用模式識別的方式來檢測，然而隨機生成的載荷在某些應用中可能生成大量沒有實際意義的包，這些沒有意義的包也很容易被過濾掉，但是攻擊者仍然可以精心設計載荷的隨機生成方式，使得受害者只有解析到應用層協議才能識別出攻擊數據包，從而增加了過濾的困難性。第三種方式是攻擊者從若干有意義載荷的集合中按照某種規則每次取出一個填充到攻擊包中，這種方式當集合的規模較小時，也比較容易被檢測出來。最後一種方式是按照某種規則每次生成不同的載荷，這種方式依生成函數的不同，其檢測的難度也是不同的 ^[5]  。

（3）攻擊目標類型

攻擊目標類型可以分為以下6類：應用程序（Application）、系統（System）、網絡關鍵資源（Critical）、網絡（Network）、網絡基礎設施（Infrastructure）和因特網（Internet） ^[5]  。

針對特定應用程序的攻擊是較為常見的攻擊方式，其中以劇毒包攻擊較多，它包括針對特定程序的，利用應用程序漏洞進行的拒絕服務攻擊，以及針對一類應用的，使用連接耗盡方式進行的拒絕服務攻擊。針對系統的攻擊也很常見，像SYN風暴、UDP風暴[CA-1996-01]以及可以導致系統崩潰、重啓的劇毒包攻擊都可以導致整個系統難以提供服務。針對網絡關鍵資源的攻擊包括對特定DNS、路由器的攻擊。而面向網絡的攻擊指的是將整個局域網的所有主機作為目標進行的攻擊。針對網絡基礎設施的攻擊需要攻擊者擁有相當的資源和技術，攻擊目標是根域名服務器、主幹網核心路由器、大型證書服務器等網絡基礎設施，這種攻擊發生次數雖然不多，但一旦攻擊成功，造成的損失是難以估量的[Naraine02]。針對Internet的攻擊是指通過蠕蟲、病毒發起的，在整個Internet上蔓延並導致大量主機、網絡拒絕服務的攻擊，這種攻擊的損失尤為嚴重 ^[5]  。

攻擊的動態屬性不僅與攻擊者的攻擊方式、能力有關，也與受害者的能力有關。主要包括攻擊的可檢測程度和攻擊影響 ^[3]  。

根據能否對攻擊數據包進行檢測和過濾，受害者對攻擊數據的檢測能力從低到高分為以下三個等級：可過濾（Filterable）、有特徵但無法過濾（Unfilterable）和無法識別（Noncharacterizable） ^[3]  。

第一種情況是，對於受害者來説，攻擊包具有較為明顯的可識別特徵，而且通過過濾具有這些特徵的數據包，可以有效地防禦攻擊，保證服務的持續進行。第二種情況是，對於受害者來説，攻擊包雖然具有較為明顯的可識別特徵，但是如果過濾具有這些特徵的數據包，雖然可以阻斷攻擊包，但同時也會影響到服務的持續進行，從而無法從根本上防止拒絕服務。第三種情況是，對於受害者來説，攻擊包與其他正常的數據包之間，沒有明顯的特徵可以區分，也就是説，所有的包，在受害者看來，都是正常的 ^[3]  。

根據攻擊對目標造成的破壞程度，攻擊影響自低向高可以分為：無效（None）、服務降低（Degrade）、可自恢復的服務破壞（Self-recoverable）、可人工恢復的服務破壞（Manu-recoverable）以及不可恢復的服務破壞（Non-recoverable） ^[3]  。

如果目標系統在拒絕服務攻擊發生時，仍然可以提供正常服務，則該攻擊是無效的攻擊。如果攻擊能力不足以導致目標完全拒絕服務，但造成了目標的服務能力降低，這種效果稱之為服務降低。而當攻擊能力達到一定程度時，攻擊就可以使目標完全喪失服務能力，稱之為服務破壞。服務破壞又可以分為可恢復的服務破壞和不可恢復的服務破壞，網絡拒絕服務攻擊所造成的服務破壞通常都是可恢復的。一般來説，風暴型的DDoS攻擊所導致的服務破壞都是可以自恢復的，當攻擊數據流消失時，目標就可以恢復正常工作狀態。而某些利用系統漏洞的攻擊可以導致目標主機崩潰、重啓，這時就需要對系統進行人工恢復；還有一些攻擊利用目標系統的漏洞對目標的文件系統進行破壞，導致系統的關鍵數據丟失，往往會導致不可恢復的服務破壞，即使系統重新提供服務，仍然無法恢復到破壞之前的服務狀態 ^[3]  。

與其他類型的攻擊一樣，攻擊者發起拒絕服務攻擊的動機也是多種多樣的，不同的時間和場合發生的、由不同的攻擊者發起的、針對不同的受害者的攻擊可能有着不同的目的 ^[6]  。

DoS攻擊非常簡單，掌握起來難度比較小，並且還可從網上直接下載工具進行自動攻擊。因此，這種攻擊被一些自認為是或者想要成為黑客而實際上是腳本小子（Script Kiddies）的人用做練習攻擊技術的手段 ^[7]  。

黑客們常常以能攻破某系統作為向同伴炫耀，提高在黑客社會中的可信度及知名度的資本，拒絕服務攻擊雖然技術要求不是很高，有時也被一些人特別是一些“所謂的”黑客用來炫耀 ^[7]  。

仇恨或報復也常常是攻擊的動機。尋求報復通常都基於強烈的感情，攻擊者可能竭盡所能地發起攻擊，因而一般具有較大的破壞性。同時，拒絕服務攻擊當是報復者的首選攻擊方式，因為他們的目的主要是破壞而非對系統的控制或竊取信息 ^[7]  。

有些系統的使用需要賬户（用户名）和口令進行身份認證，而當以某個用户名登錄時，如果口令連續錯誤的次數超過一定值，系統會鎖定該賬户，攻擊者可以採用此方法實施對賬户的拒絕服務攻擊 ^[7]  。

有的攻擊者攻擊系統是為了某種經濟利益，無論是直接的還是間接的。另外，敲詐勒索也逐漸成為了一些攻擊者進行拒絕服務攻擊的目的。由於拒絕服務攻擊會導致較大的損失，一些攻擊者以此作為敲詐、勒索的手段 ^[7]  。

拒絕服務攻擊也可作為對某種政冶思想的表達或者壓制他人的表達的手段之一 ^[7]  。

拒絕服務攻擊還可以作為特權提升攻擊、獲得非法訪問的一種輔助手段。這時候，拒絕服務攻擊服從於其他攻擊的目的。通常，攻擊者不能單純通過拒絕服務攻擊獲得對某些系統、信息的非法訪問，但其可作為間接手段 ^[7]  。

在戰爭條件下，交戰雙方如果採取信息戰的方式，則拒絕服務攻擊就是最常用的戰術手段之一。例如，1991年海灣戰爭中，美方通過激發芯片中的病毒使得伊拉克防空系統使用的打印機不能正常工作，這就是一種拒絕服務攻擊 ^[7]  。

對於拒絕服務攻擊而言，目前還沒有比較完善的解決方案。拒絕服務攻擊，尤其是分佈式風暴型拒絕服務攻擊，是與目前使用的網絡協議密切相關的，它的徹底解決即使不是不可能的，至少也是極為困難的。此外安全具有整體、全面、協同的特性，這一特性在拒絕服務攻擊方面體現得尤為突出，沒有整個網絡社會的齊心協力．共同應對，拒絕服務攻擊始終是一個難題。雖然如此，也不是對拒絕服務攻擊沒有對策，研究人員也在不斷地尋求新的解決方案。目前拒絕服務攻擊的對策主要可以分為檢測、增強容忍性和追蹤三個方面 ^[8]  。