深入分析利用反彈技術進行DDoS攻擊

woff

攻擊者可以通過反彈技術使我們對DDOS攻擊更難以防禦——利用反彈服務器反彈DDOS的洪水包，也就是說，通過發送大量的欺騙請求數據包（來源地址為victim，受害服務器，或目標服務器）給Internet上大量的服務器群，而這些服務器群收到請求後將發送大量的應答包給victim。結果是原來用於攻擊的洪水數據流被大量的服務器所稀釋，並最終在受害者處彙集為洪水，使受害者更難以隔離攻擊洪水流，並且更難以用Traceback 跟蹤技術去找到洪水流的來源。

在分佈式DOS攻擊（DDOS）中，攻擊者事先入侵了大量服務器，並在這些服務器上植入了DDOS攻擊程序，然後結合這些被入侵的服務器的網絡傳輸力量發動攻擊。利用大量的服務器發動攻擊不僅增加了攻擊的力度，而且更難於防範。

以往DDOS攻擊的結構：一個主機，主服務器（Master），作用是發送控制消息給事先入侵併已植入DDOS程序的從服務器群（Slave），控制從服務器群發起對目標服務器的攻擊。從服務器群將產生高容量的源地址為偽造的或隨機的網絡數據流，並把這些數據流發送給目標服務器。因為數據流的源地址是偽造的，增加了追查的難度。

利用成百上千的從服務器不僅可以另追查的難度加大（因為難以識別大量不同的來源，需要查詢大量的路由器），而且極大的阻礙了當成功追查後所需採取的行動（因為這要與大量的網絡管理員聯繫，安裝大量的網絡過濾器）。

而今考慮周密的攻擊者可以通過利用反彈服務器（Reflector），更好的組織他們的攻擊。反彈服務器是指，當收到一個請求數據報後就會產生一個回應數據報的主機。例如，所有的WEB服務器，DNS服務器，及路由器都是反彈服務器，因為他們會對SYN報文或其他TCP報文回應SYN

ACKs或RST報文，以及對一些IP報文回應ICMP數據報超時或目的地不可達消息的數據報。而攻擊者可以利用這些回應的數據報對目標服務器發動DDOS攻擊。

攻擊者首先鎖定大量的可以做為反彈服務器的服務器群，比如說100萬台（這並不是件很難的工作，因為在Internet上光是WEB服務器就不止這麼多的，更何況還有更多其他的機器可以作為反彈服務器）。然後攻擊者們集中事先搞定的從服務器群，向已鎖定的反彈服務器群發送大量的欺騙請求數據包（來源地址為victim，受害服務器或目標服務器）。反彈服務器將向受害服務器發送回應數據報。結果是：到達受害服務器的洪水數據報不是幾百個，幾千個的來源，而是上百萬個來源，來源如此分散的洪水流量將堵塞任何其他的企圖對受害服務器的連接。

受害服務器不需要追查攻擊的來源，因為所有攻擊數據報的源IP都是真實的，都是反彈服務器群的IP。而另一方面，反彈服務器的管理人員則難以追查到從服務器的位置，因為他所收到的數據報都是偽造的（源IP為受害服務器的IP）。

原則上，我們可以在反彈服務器上利用追蹤技術來發現從服務器的的位置。但是，反彈服務器上發送數據報的流量遠小於從服務器發送的流量。每一個從服務器可以把它發送的網絡流量分散到所有或者一大部分反彈服務器。例如：如果這裡有Nr個反彈服務器，Ns個從服務器，每個從服務器發送的網絡流量為F，那麼每一個反彈服務器將產生的網絡流量為，而Nr遠大於Ns。所以，服務器根據網絡流量來自動檢測是否是DDOS攻擊源的這種機制將不起作用。

值得注意的是，不像以往DDOS攻擊，利用反彈技術，攻擊者不需要把服務器做為網絡流量的放大器（發送比攻擊者發送的更大容量的網絡數據）。他們甚至可以使洪水流量變弱，最終才在目標服務器回合為大容量的洪水。這樣的機制讓攻擊者可以利用不同網絡結構機制的服務器作為反彈服務器，使其更容易找到足夠數量的反彈服務器，用以發起攻擊。

我們的分析顯示，有三種特別具威脅性的反彈服務器是：DNS服務器、Gnutella服務器、和基於TCP-IP的服務器（特別是WEB 服務器），基於TCP的實現將遭受可預測初始序列號的威脅。


作者：smtk　來源：賽迪網安全社區