近一段時期以來,“黑客”已經成為網絡上最熱門的一個詞語。“熊貓”剛走,“灰鴿子”又來。我們看到,隨著網絡的普及和帶寬資費的松動,國內的“黑客”部落,已經從最初的炫耀技術,慢慢向“職業化”發展。
早期的“黑客”,主要利用操作系統或者軟件的漏洞,入侵一些 WEB 服務等,竄改頁面的內容,比如在主頁寫上“您的主頁被 XXX 攻克” 的字樣,以炫耀自己的技術。他們追求的只是“肉雞”的占領,而盡量不破壞影響用戶的正常服務,更不會以此來要挾獲取利益。
而現在,黑客們已經不滿足于炫耀,而是更加的務實。他們現在開始利用網絡來竊取銀行秘碼,股票交易秘碼,和一些游戲的帳戶,其最終目的已經不是炫耀,而是直接利用網絡來賺錢,來換取現金。一些更高級的黑客們,會利用已經占領的大量“肉機”,在一些人的利益的誘惑下,向一些網站, ISP 游戲提供商或者網吧運營商發動 DDOS 拒絕服務攻擊,造成網絡擁擠,正常的經營被迫關閉,這些黑客也因此會可以獲得高額報酬。由于這類活動已經超越的法律的界限,因此一些人才提出“做黑客要低調”,以逃避公安的追查。在網絡經歷的幾年的低谷期后,逐漸開始欣欣向榮的今天,這些“黑客”也要趁著這股東風,在網上興風作浪,賺取不義之財。
對比以前,目前黑客進行的活動更加具有破壞力,已經嚴重影響了人們的正常的經濟活動秩序。如果不盡早對利用網絡犯罪這個毒瘤加以重視,研究并采取必要的措施,將嚴重阻礙國內信息化網絡的建設,甚至破壞國內的經濟發展和社會的和諧。
一些公安機關,運營商和網絡安全廠商已經意識到網絡攻擊問題的嚴重性,今年 1 月由三方參加的在北京舉辦的防護網絡黑客 DDOS 的高層研討會上,就提出許多有建設性的意見。
目前,黑客進行網絡破壞活動主要是兩類途徑:
一:利用郵件,網絡下載,聊天等工具分發和傳播后門程序。
用戶從不名網站的鏈接下載一些程序中,有時就會有黑客設計的陷阱,用戶運行這些程序后,后門程序也一同種植在機器中,這些木馬程序會獲取用戶的超級管理員權限,監視和記錄用戶的所有操作動作,包括通過鍵盤敲入的任何指令,盜用用戶的一些特殊帳戶,密碼,然后自動發給黑客。另外,黑客還會通過木馬程序開放某些特殊端口,供黑客控制主機和繼續進一步入侵時使用,此時,這臺主機就成為黑客的“肉雞”。同時,利用一些操作系統的漏洞,一些高級的木馬程序有時還會像病毒一樣試圖連接局域網內的其他程序,進行復制和傳播,入侵內網的其他主機。
二:黑客利用占領的“肉機”,向一些網站,交易平臺,游戲,網吧等一些經營性服務器發起 DDOS 拒絕服務攻擊,利用同一時間的海量數據阻塞網絡鏈路,使正常服務無法連接和訪問。這種類型的攻擊,以不僅僅是炫耀技術,而更多是有很多直接獲利的目的,他們或者是惡意商業競爭的對手花錢雇傭的(據報道,現在黑客市場的價格是租用每個“肉雞”的價格,僅需要幾角錢 / 每星期),或者因此達到敲詐或者報復的目的。
DoS 攻擊
通常而言, DoS 的網絡數據包同樣是利用 TCP/IP 協議在 Internet 傳輸。這些數據包本身一般是無害的,但是如果數據包異常過多,就會造成網絡設備或者服務器過載,迅速消耗了系統資源,造成服務拒絕,這就是 DoS 攻擊的基本工作原理。
DoS 攻擊之所以難于防護,其關鍵之處就在于非法流量和合法流量相互混雜,防護過程中無法有效的檢測到 DoS 攻擊。加之許多 DoS 攻擊都采用了偽造源地址 IP 的技術,從而成功的躲避了基于統計模式工具的識別。
具體 DOS 攻擊實現有如下幾種方法:
?? 1 、 SYN FLOOD
??利用服務器的連接緩沖區,設置特殊的 TCP 包頭,向服務器端不斷地發送大量只有 SYN 標志的 TCP 連接請求。當服務器接收的時候,認為是沒有建立起來的連接請求,于是這些請求建立會話,排到緩沖區隊列中。如果發送的 SYN 請求超過了服務器能容納的限度,緩沖區隊列占滿,那么服務器就不再接收新的請求了,因此其他合法用戶的連接都會被拒絕掉。
?? 2 、 IP 欺騙 DOS 攻擊
??這種攻擊利用 RST 位來實現。假設現在有一個合法用戶 (1.1.1.1) 已經同服務器建立了正常的連接,攻擊者構造攻擊的 TCP 數據,偽裝自己的 IP 為 1.1.1.1 ,并向服務器發送一個帶有 RST 位的 TCP 數據段。服務器接收到這樣的數據后,會認為從 1.1.1.1 發送的連接有錯誤,從而清空緩沖區中建立好的連接。這時,如果合法用戶 1.1.1.1 再發送合法數據,服務器就已經沒有這樣的連接了,該用戶就必須從新開始建立連接。攻擊者偽造大量的 IP 地址,向目標主機發送 RST 數據,從而使服務器不對合法用戶服務。
?? 3 、 帶寬 DOS 攻擊( UDP Flood , ICMP Flood )
??這類攻擊完全利用連接帶寬足夠大,持續向目標服務器發送大量請求,如 UDP 的包, ICMP 的 ping 包,來消耗服務器的緩沖區,或者僅消耗服務器的連接帶寬,從而達到網絡擁塞,使服務器不能正常提供服務。
DDOS 攻擊
單一的 DoS 攻擊一般是采用一對一方式的,“分布式拒絕服務攻擊”( Distributed Denial of Service ,簡稱 DDoS )是建立在傳統的 DoS 攻擊基礎之上一類攻擊方式。當計算機與網絡的處理能力加大了,用一臺攻擊機來攻擊不再能起作用的話,攻擊者就使用 10 臺甚至 100 臺攻擊機同時攻擊。這就是 DDos 。 DDoS 就是利用更多的傀儡機“肉雞”來同時發起進攻,更大規模的來進攻受害者,破壞力更強。
現在,高速廣泛連接的網絡給大家帶來了方便,但同時也為 DDoS 攻擊創造了極為有利的條件。在低速網絡時代時,黑客占領攻擊用的傀儡機時,總是會優先考慮離目標網絡距離近的機器,因為經過路由器的跳數少,效果好。而現在電信骨干節點之間的連接都是以 G 為級別的,大城市之間更可以達到 2.5G 的連接,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的傀儡機位置可以在分布在更大的范圍,選擇起來更靈活了,攻擊也更加隱蔽。 當主機服務器被 DDoS 攻擊時,通常會有如下現象 :
• 被攻擊主機上有大量等待的 TCP 連接 • 網絡中充斥著大量的無用的數據包,源地址一般為偽造的
• 高流量無用數據造成網絡擁塞,使受害主機無法正常和外界通訊
• 反復高速的發出特定的服務請求,使受害主機無法及時處理所有正常請求
• 系統服務器 CPU 利用率極高,處理速度緩慢,甚至宕機
如何應對 DDOS 攻擊
從以上的分析可以看出,黑客的攻擊方式已經越來越簡單,門檻越來越低,因此,這次攻擊事件越來越頻繁,造成的破壞力也越來越嚴重。
首先,要加強每個網絡用戶的安全意識,安裝殺毒軟件,安裝軟件或者硬件防火墻,不從不名網站下載軟件,不訪問一些不名網站,不打開不名郵件,盡量避免木馬的種植。
其次,要求國家立法單位,對網絡犯罪進行立法,對傳播病毒,木馬,和進行黑客攻擊的行為進行定性,并有法可依,保障國家信息高速網絡平臺的安全,為國內信息化建設保駕護航。
再次,我們的運營商有義務在網絡平臺升級和建設的過程中,有效在各個節點抵御黑客惡意攻擊的行為,以凈化我們的網絡。不光僅僅是只加強可以看到效益的終端平臺,如 IDC 機房的抗 DDOS 防護,而是應該在網絡的各個節點都加強防護,特別是在接入端進行 DDOS 防護和源地址檢測,使得黑客的主機或者占領的“肉雞”,無法拉起大量帶寬,有效記錄各種用戶(特別是網吧用戶)的網絡行為,建立電子檔案,以協助公安部門對網絡犯罪進行調查,為指證犯罪提供證據。
對我們的一些網絡運營平臺用戶,如經營性網站,門戶網站,網上交易平臺,網絡游戲提供商,網吧, VOIP 提供商等,也要加強網絡出口的防護,發現和舉證攻擊行為,做好日志記錄,并利用硬件防護設備,最大程度的減少黑客攻擊的危害,保障經營性平臺的正常運行。
對我們企事業單位的網絡,雖不象經營性的網絡,成為黑客攻擊的重點目標,但也可能存在“誤傷”的現象,如與某個網吧共在一個運營商的路由器下,或者黑客得到的 IP 地址不準確,目前這類網絡事件也不少。因此,在新的網絡的設計中,防護 DDOS ,也應該成為企業網絡安全防護的重點,同時,在企業網絡的規劃中,如何防止自己內部的主機和服務器避免成為黑客的“肉雞”,也是企業在新形勢下防護的一個重點課題,要求我們的企業網絡要真正做到 1 )對內部主機的有效防護,避免成為黑客的“肉雞” 2 )當內部主機成為“肉雞”后能很快發現,并在很快的時間內殺掉控制程序 3 )“肉雞”攻擊和傳播時迅速報警,切斷其攻擊和傳播途徑,同時,不影響出口帶寬和內部其他主機網絡的正常使用。
因此,在防護 DDOS 和黑客攻擊的問題上,要求我們的公安機關,運營商和網絡安全廠商,和網絡的用戶,在意識到網絡攻擊問題的嚴重性前提下,多方配合,共同加強我們的網絡平臺安全性的建設性,凈化我們的網絡,不給黑客以生存的攻擊,保障我們十幾年來信息網絡平臺建設的成果,為我國的經濟建設提供堅固安全的網絡信息化平臺。
在網絡安全廠商方面,對于專用的抗 DDOS 設備,許多廠商也參與進來,研制了許多新型設備,目前大多數還是集中在解決IDC機房的主機防護上。
其實,通過上述的研究,我們知道,要徹底根除 DDOS 和黑客攻擊,攻擊源頭,接入節點和一些骨干節點才是防護的重點,在這個層次上做的比較好的廠商不是很多,舉個例子,大唐龍創公司,大唐龍創公司在接入節點DDOS 防護上有很好的解決方案。擴充了其 DDOS 防護的產品線,為運營商提供“接入節點”的黑客攻擊防護,在防護接入帶寬的同時,使得黑客和黑客的占領的“肉雞”無法施展效力,無處藏身,從源頭上解決目前黑客 DDOS 攻擊猖獗的問題。
早期的“黑客”,主要利用操作系統或者軟件的漏洞,入侵一些 WEB 服務等,竄改頁面的內容,比如在主頁寫上“您的主頁被 XXX 攻克” 的字樣,以炫耀自己的技術。他們追求的只是“肉雞”的占領,而盡量不破壞影響用戶的正常服務,更不會以此來要挾獲取利益。
而現在,黑客們已經不滿足于炫耀,而是更加的務實。他們現在開始利用網絡來竊取銀行秘碼,股票交易秘碼,和一些游戲的帳戶,其最終目的已經不是炫耀,而是直接利用網絡來賺錢,來換取現金。一些更高級的黑客們,會利用已經占領的大量“肉機”,在一些人的利益的誘惑下,向一些網站, ISP 游戲提供商或者網吧運營商發動 DDOS 拒絕服務攻擊,造成網絡擁擠,正常的經營被迫關閉,這些黑客也因此會可以獲得高額報酬。由于這類活動已經超越的法律的界限,因此一些人才提出“做黑客要低調”,以逃避公安的追查。在網絡經歷的幾年的低谷期后,逐漸開始欣欣向榮的今天,這些“黑客”也要趁著這股東風,在網上興風作浪,賺取不義之財。
對比以前,目前黑客進行的活動更加具有破壞力,已經嚴重影響了人們的正常的經濟活動秩序。如果不盡早對利用網絡犯罪這個毒瘤加以重視,研究并采取必要的措施,將嚴重阻礙國內信息化網絡的建設,甚至破壞國內的經濟發展和社會的和諧。
一些公安機關,運營商和網絡安全廠商已經意識到網絡攻擊問題的嚴重性,今年 1 月由三方參加的在北京舉辦的防護網絡黑客 DDOS 的高層研討會上,就提出許多有建設性的意見。
目前,黑客進行網絡破壞活動主要是兩類途徑:
一:利用郵件,網絡下載,聊天等工具分發和傳播后門程序。
用戶從不名網站的鏈接下載一些程序中,有時就會有黑客設計的陷阱,用戶運行這些程序后,后門程序也一同種植在機器中,這些木馬程序會獲取用戶的超級管理員權限,監視和記錄用戶的所有操作動作,包括通過鍵盤敲入的任何指令,盜用用戶的一些特殊帳戶,密碼,然后自動發給黑客。另外,黑客還會通過木馬程序開放某些特殊端口,供黑客控制主機和繼續進一步入侵時使用,此時,這臺主機就成為黑客的“肉雞”。同時,利用一些操作系統的漏洞,一些高級的木馬程序有時還會像病毒一樣試圖連接局域網內的其他程序,進行復制和傳播,入侵內網的其他主機。
二:黑客利用占領的“肉機”,向一些網站,交易平臺,游戲,網吧等一些經營性服務器發起 DDOS 拒絕服務攻擊,利用同一時間的海量數據阻塞網絡鏈路,使正常服務無法連接和訪問。這種類型的攻擊,以不僅僅是炫耀技術,而更多是有很多直接獲利的目的,他們或者是惡意商業競爭的對手花錢雇傭的(據報道,現在黑客市場的價格是租用每個“肉雞”的價格,僅需要幾角錢 / 每星期),或者因此達到敲詐或者報復的目的。
DoS 攻擊
通常而言, DoS 的網絡數據包同樣是利用 TCP/IP 協議在 Internet 傳輸。這些數據包本身一般是無害的,但是如果數據包異常過多,就會造成網絡設備或者服務器過載,迅速消耗了系統資源,造成服務拒絕,這就是 DoS 攻擊的基本工作原理。
DoS 攻擊之所以難于防護,其關鍵之處就在于非法流量和合法流量相互混雜,防護過程中無法有效的檢測到 DoS 攻擊。加之許多 DoS 攻擊都采用了偽造源地址 IP 的技術,從而成功的躲避了基于統計模式工具的識別。
具體 DOS 攻擊實現有如下幾種方法:
?? 1 、 SYN FLOOD
??利用服務器的連接緩沖區,設置特殊的 TCP 包頭,向服務器端不斷地發送大量只有 SYN 標志的 TCP 連接請求。當服務器接收的時候,認為是沒有建立起來的連接請求,于是這些請求建立會話,排到緩沖區隊列中。如果發送的 SYN 請求超過了服務器能容納的限度,緩沖區隊列占滿,那么服務器就不再接收新的請求了,因此其他合法用戶的連接都會被拒絕掉。
?? 2 、 IP 欺騙 DOS 攻擊
??這種攻擊利用 RST 位來實現。假設現在有一個合法用戶 (1.1.1.1) 已經同服務器建立了正常的連接,攻擊者構造攻擊的 TCP 數據,偽裝自己的 IP 為 1.1.1.1 ,并向服務器發送一個帶有 RST 位的 TCP 數據段。服務器接收到這樣的數據后,會認為從 1.1.1.1 發送的連接有錯誤,從而清空緩沖區中建立好的連接。這時,如果合法用戶 1.1.1.1 再發送合法數據,服務器就已經沒有這樣的連接了,該用戶就必須從新開始建立連接。攻擊者偽造大量的 IP 地址,向目標主機發送 RST 數據,從而使服務器不對合法用戶服務。
?? 3 、 帶寬 DOS 攻擊( UDP Flood , ICMP Flood )
??這類攻擊完全利用連接帶寬足夠大,持續向目標服務器發送大量請求,如 UDP 的包, ICMP 的 ping 包,來消耗服務器的緩沖區,或者僅消耗服務器的連接帶寬,從而達到網絡擁塞,使服務器不能正常提供服務。
DDOS 攻擊
單一的 DoS 攻擊一般是采用一對一方式的,“分布式拒絕服務攻擊”( Distributed Denial of Service ,簡稱 DDoS )是建立在傳統的 DoS 攻擊基礎之上一類攻擊方式。當計算機與網絡的處理能力加大了,用一臺攻擊機來攻擊不再能起作用的話,攻擊者就使用 10 臺甚至 100 臺攻擊機同時攻擊。這就是 DDos 。 DDoS 就是利用更多的傀儡機“肉雞”來同時發起進攻,更大規模的來進攻受害者,破壞力更強。
現在,高速廣泛連接的網絡給大家帶來了方便,但同時也為 DDoS 攻擊創造了極為有利的條件。在低速網絡時代時,黑客占領攻擊用的傀儡機時,總是會優先考慮離目標網絡距離近的機器,因為經過路由器的跳數少,效果好。而現在電信骨干節點之間的連接都是以 G 為級別的,大城市之間更可以達到 2.5G 的連接,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的傀儡機位置可以在分布在更大的范圍,選擇起來更靈活了,攻擊也更加隱蔽。 當主機服務器被 DDoS 攻擊時,通常會有如下現象 :
• 被攻擊主機上有大量等待的 TCP 連接 • 網絡中充斥著大量的無用的數據包,源地址一般為偽造的
• 高流量無用數據造成網絡擁塞,使受害主機無法正常和外界通訊
• 反復高速的發出特定的服務請求,使受害主機無法及時處理所有正常請求
• 系統服務器 CPU 利用率極高,處理速度緩慢,甚至宕機
如何應對 DDOS 攻擊
從以上的分析可以看出,黑客的攻擊方式已經越來越簡單,門檻越來越低,因此,這次攻擊事件越來越頻繁,造成的破壞力也越來越嚴重。
首先,要加強每個網絡用戶的安全意識,安裝殺毒軟件,安裝軟件或者硬件防火墻,不從不名網站下載軟件,不訪問一些不名網站,不打開不名郵件,盡量避免木馬的種植。
其次,要求國家立法單位,對網絡犯罪進行立法,對傳播病毒,木馬,和進行黑客攻擊的行為進行定性,并有法可依,保障國家信息高速網絡平臺的安全,為國內信息化建設保駕護航。
再次,我們的運營商有義務在網絡平臺升級和建設的過程中,有效在各個節點抵御黑客惡意攻擊的行為,以凈化我們的網絡。不光僅僅是只加強可以看到效益的終端平臺,如 IDC 機房的抗 DDOS 防護,而是應該在網絡的各個節點都加強防護,特別是在接入端進行 DDOS 防護和源地址檢測,使得黑客的主機或者占領的“肉雞”,無法拉起大量帶寬,有效記錄各種用戶(特別是網吧用戶)的網絡行為,建立電子檔案,以協助公安部門對網絡犯罪進行調查,為指證犯罪提供證據。
對我們的一些網絡運營平臺用戶,如經營性網站,門戶網站,網上交易平臺,網絡游戲提供商,網吧, VOIP 提供商等,也要加強網絡出口的防護,發現和舉證攻擊行為,做好日志記錄,并利用硬件防護設備,最大程度的減少黑客攻擊的危害,保障經營性平臺的正常運行。
對我們企事業單位的網絡,雖不象經營性的網絡,成為黑客攻擊的重點目標,但也可能存在“誤傷”的現象,如與某個網吧共在一個運營商的路由器下,或者黑客得到的 IP 地址不準確,目前這類網絡事件也不少。因此,在新的網絡的設計中,防護 DDOS ,也應該成為企業網絡安全防護的重點,同時,在企業網絡的規劃中,如何防止自己內部的主機和服務器避免成為黑客的“肉雞”,也是企業在新形勢下防護的一個重點課題,要求我們的企業網絡要真正做到 1 )對內部主機的有效防護,避免成為黑客的“肉雞” 2 )當內部主機成為“肉雞”后能很快發現,并在很快的時間內殺掉控制程序 3 )“肉雞”攻擊和傳播時迅速報警,切斷其攻擊和傳播途徑,同時,不影響出口帶寬和內部其他主機網絡的正常使用。
因此,在防護 DDOS 和黑客攻擊的問題上,要求我們的公安機關,運營商和網絡安全廠商,和網絡的用戶,在意識到網絡攻擊問題的嚴重性前提下,多方配合,共同加強我們的網絡平臺安全性的建設性,凈化我們的網絡,不給黑客以生存的攻擊,保障我們十幾年來信息網絡平臺建設的成果,為我國的經濟建設提供堅固安全的網絡信息化平臺。
在網絡安全廠商方面,對于專用的抗 DDOS 設備,許多廠商也參與進來,研制了許多新型設備,目前大多數還是集中在解決IDC機房的主機防護上。
其實,通過上述的研究,我們知道,要徹底根除 DDOS 和黑客攻擊,攻擊源頭,接入節點和一些骨干節點才是防護的重點,在這個層次上做的比較好的廠商不是很多,舉個例子,大唐龍創公司,大唐龍創公司在接入節點DDOS 防護上有很好的解決方案。擴充了其 DDOS 防護的產品線,為運營商提供“接入節點”的黑客攻擊防護,在防護接入帶寬的同時,使得黑客和黑客的占領的“肉雞”無法施展效力,無處藏身,從源頭上解決目前黑客 DDOS 攻擊猖獗的問題。
