另一方面�,HTTP Flood攻擊在HTTP層發(fā)起,極力模仿正常用戶的網(wǎng)頁請求行為���,與網(wǎng)站業(yè)務(wù)緊密相關(guān)���,安全廠商很難提供一套通用的且不影響用戶體驗的方案。在一個地方工作得很好的規(guī)則��,換一個場景可能帶來大量的誤殺����。
最后,HTTP Flood攻擊會引起嚴(yán)重的連鎖反應(yīng)��,不僅僅是直接導(dǎo)致被攻擊的Web前端響應(yīng)緩慢���,還間接攻擊到后端的Java等業(yè)務(wù)層邏輯以及更后端的數(shù)據(jù)庫服務(wù)����,增大它們的壓力��,甚至對日志存儲服務(wù)器都帶來影響����。
有意思的是,HTTP Flood還有個頗有歷史淵源的昵稱叫做CC攻擊����。CC是Challenge Collapsar的縮寫,而Collapsar是國內(nèi)一家著名安全公司的DDoS防御設(shè)備��。從目前的情況來看���,不僅僅是Collapsar��,所有的硬件防御設(shè)備都還在被挑戰(zhàn)著��,風(fēng)險并未解除�。
慢速連接攻擊
提起攻擊,第一反應(yīng)就是海量的流量��、海量的報文��。但有一種攻擊卻反其道而行之����,以慢著稱���,以至于有些攻擊目標(biāo)被打死了都不知道是怎么死的�����,這就是慢速連接攻擊�,最具代表性的是rsnake發(fā)明的Slowloris�����。
HTTP協(xié)議規(guī)定�����,HTTP Request以 結(jié)尾表示客戶端發(fā)送結(jié)束�,服務(wù)端開始處理。那么��,如果永遠(yuǎn)不發(fā)送 會如何?Slowloris就是利用這一點來做DDoS攻擊的���。攻擊者在HTTP請求頭中將Connection設(shè)置為Keep-Alive�����,要求Web Server保持TCP連接不要斷開����,隨后緩慢地每隔幾分鐘發(fā)送一個key-value格式的數(shù)據(jù)到服務(wù)端��,如a:b ���,導(dǎo)致服務(wù)端認(rèn)為HTTP頭部沒有接收完成而一直等待�。如果攻擊者使用多線程或者傀儡機來做同樣的操作����,服務(wù)器的Web容器很快就被攻擊者占滿了TCP連接而不再接受新的請求。
很快的��,Slowloris開始出現(xiàn)各種變種。比如POST方法向Web Server提交數(shù)據(jù)�、填充一大大Content-Length但緩慢的一個字節(jié)一個字節(jié)的POST真正數(shù)據(jù)內(nèi)容等等。關(guān)于Slowloris攻擊����,rsnake也給出了一個測試代碼,參見https://ha.ckers.org/slowloris/slowloris.pl���。
DDoS攻擊進階
混合攻擊
以上介紹了幾種基礎(chǔ)的攻擊手段��,其中任意一種都可以用來攻擊網(wǎng)絡(luò)�����,甚至擊垮阿里�、百度���、騰訊這種巨型網(wǎng)站����。但這些并不是全部�,不同層次的攻擊者能夠發(fā)起完全不同的DDoS攻擊,運用之妙���,存乎一心����。
高級攻擊者從來不會使用單一的手段進行攻擊,而是根據(jù)目標(biāo)環(huán)境靈活組合��。普通的SYN Flood容易被流量清洗設(shè)備通過反向探測��、SYN Cookie等技術(shù)手段過濾掉����,但如果在SYN Flood中混入SYN+ACK數(shù)據(jù)包��,使每一個偽造的SYN數(shù)據(jù)包都有一個與之對應(yīng)的偽造的客戶端確認(rèn)報文����,這里的對應(yīng)是指源IP地址、源端口�、目的 IP、目的端口��、TCP窗口大小�����、TTL等都符合同一個主機同一個TCP Flow的特征,流量清洗設(shè)備的反向探測和SYN Cookie性能壓力將會顯著增大�。其實SYN數(shù)據(jù)報文配合其他各種標(biāo)志位,都有特殊的攻擊效果���,這里不一一介紹�。對DNS Query Flood而言��,也有獨特的技巧�����。
首先��,DNS可以分為普通DNS和授權(quán)域DNS�����,攻擊普通DNS�����,IP地址需要隨機偽造��,并且指明服務(wù)器要求做遞歸解析;但攻擊授權(quán)域DNS,偽造的源IP地址則不應(yīng)該是純隨機的�����,而應(yīng)該是事先收集的全球各地ISP的DNS地址�,這樣才能達到最大攻擊效果,使流量清洗設(shè)備處于添加IP黑名單還是不添加IP黑名單的尷尬處境��。添加會導(dǎo)致大量誤殺�,不添加黑名單則每個報文都需要反向探測從而加大性能壓力。
另一方面����,前面提到��,為了加大清洗設(shè)備的壓力不命中緩存而需要隨機化請求的域名�,但需要注意的是,待解析域名必須在偽造中帶有一定的規(guī)律性���,比如說只偽造域名的某一部分而固化一部分�����,用來突破清洗設(shè)備設(shè)置的白名單�����。道理很簡單��,騰訊的服務(wù)器可以只解析騰訊的域名�����,完全隨機的域名可能會直接被丟棄�,需要固化。但如果完全固定�����,也很容易直接被丟棄��,因此又需要偽造一部分���。
其次���,對DNS的攻擊不應(yīng)該只著重于UDP端口,根據(jù)DNS協(xié)議�,TCP端口也是標(biāo)準(zhǔn)服務(wù)。在攻擊時���,可以UDP和TCP攻擊同時進行���。
HTTP Flood的著重點���,在于突破前端的cache,通過HTTP頭中的字段設(shè)置直接到達Web Server本身�����。另外���,HTTP Flood對目標(biāo)的選取也非常關(guān)鍵�,一般的攻擊者會選擇搜索之類需要做大量數(shù)據(jù)查詢的頁面作為攻擊目標(biāo)���,這是非常正確的,可以消耗服務(wù)器盡可能多的資源����。但這種攻擊容易被清洗設(shè)備通過人機識別的方式識別出來,那么如何解決這個問題?很簡單���,盡量選擇正常用戶也通過APP訪問的頁面�,一般來說就是各種Web API。正常用戶和惡意流量都是來源于APP�����,人機差別很小�����,基本融為一體難以區(qū)分����。
之類的慢速攻擊,是通過巧妙的手段占住連接不釋放達到攻擊的目的�����,但這也是雙刃劍��,每一個TCP連接既存在于服務(wù)端也存在于自身��,自身也需要消耗資源維持TCP狀態(tài)����,因此連接不能保持太多。如果可以解決這一點�,攻擊性會得到極大增強�����,也就是說Slowloris可以通過stateless的方式發(fā)動攻擊����,在客戶端通過嗅探捕獲TCP的序列號和確認(rèn)維護TCP連接���,系統(tǒng)內(nèi)核無需關(guān)注TCP的各種狀態(tài)變遷����,一臺筆記本即可產(chǎn)生多達65535個TCP 連接�。
前面描述的,都是技術(shù)層面的攻擊增強���。在人的方面�,還可以有一些別的手段�����。如果SYN Flood發(fā)出大量數(shù)據(jù)包正面強攻�,再輔之以Slowloris慢速連接����,多少人能夠發(fā)現(xiàn)其中的秘密?即使服務(wù)器宕機了也許還只發(fā)現(xiàn)了SYN攻擊想去加強 TCP層清洗而忽視了應(yīng)用層的行為���。種種攻擊都可以互相配合,達到最大的效果���。攻擊時間的選擇����,也是一大關(guān)鍵��,比如說選擇維護人員吃午飯時�����、維護人員下班堵在路上或者在地鐵里無線上網(wǎng)卡都沒有信號時���、目標(biāo)企業(yè)在舉行大規(guī)��;顒恿髁匡j升時等��。
這里描述的只是純粹的攻擊行為��,因此不提供代碼��,也不做深入介紹��。
來自P2P網(wǎng)絡(luò)的攻擊
前面的攻擊方式�����,多多少少都需要一些傀儡機�����,即使是HTTP Flood也需要搜索大量的匿名代理�����。如果有一種攻擊�����,只需要發(fā)出一些指令����,就有機器自動上來執(zhí)行,才是完美的方案����。這種攻擊已經(jīng)出現(xiàn)了,那就是來自P2P網(wǎng)絡(luò)的攻擊�。
大家都知道,互聯(lián)網(wǎng)上的P2P用戶和流量都是一個極為龐大的數(shù)字�。如果他們都去一個指定的地方下載數(shù)據(jù),使成千上萬的真實IP地址連接過來�����,沒有哪個設(shè)備能夠支撐住�����。拿BT下載來說�����,偽造一些熱門視頻的種子���,發(fā)布到搜索引擎��,就足以騙到許多用戶和流量了��,但這只是基礎(chǔ)攻擊��。
