应用层DDoS攻击分析
1.Net-DDoS攻击与App-DDoS攻击
按攻击所针对的网络层次可以把DDoS攻击分为:网络层DDoS(Net-DDoS)攻击和App-DDoS攻击。Net-DDoS攻击主要是利用了现有低层(包括IP层和TCP层)协议的漏洞来发动攻击。典型的攻击方式是:使用伪造IP地址的攻击节点向目标主机发送大量攻击分组(TCP、 ICMP、UDP等分组),利用TCP的三次握手机制使目标服务器为维护一个非常大的半开放连接列表而消耗非常多的CPU和内存资源,最终因为堆栈溢出而导致系统崩溃无法为正常用户提供服务。
App-DDoS攻击虽然还是利用洪水式的攻击方法,但与Net-DDoS攻击不同的是它利用了高层协议,例如HTTP。由于高层协议的多样性与复杂性,App-DDoS攻击很难被检测到,而且高层协议通常具有较强的功能,可以实现多种复杂的功能,因此App-DDoS攻击所产生的破坏力远大于传统的Net-DDoS攻击。App-DDoS攻击有以下两种攻击方式:带宽耗尽型和主机资源耗尽型。带宽耗尽型(例如HTTPFlooding)的目标是通过大量合法的HTTP请求占用目标网络的带宽,使正常用户无法进行Web访问。攻击的具体实现可以有多种不同的方式。攻击者可以通过单线程或多线程向目标 Web服务器发送大量的HTTP请求,这些请求可以随机生成也可以通过拦截用户的正常请求序列然后重放产生。请求内容可以是Web服务器上的正常页面(例如主页),也可以是重定向页面、头信息或某些错误文档,更复杂的可以是对动态内容、数据库查询的请求。攻击者甚至可以模拟搜索引擎采用递归方式,即从一个给定的HTTP链接开始,然后以递归的方式顺着指定网站上所有的链接访问,这也叫爬虫下载(spidering)。主机资源耗尽型与 HTTPFlooding不同,其目的是为了耗尽目标主机的资源(例如:CPU、存储器、Socket等)。攻击者用少量的HTTP请求促使服务器返回大文件(例如图像、视频文件等),或促使服务器运行一些复杂的脚本程序(例如复杂的数据处理、密码计算与验证等)。这种方式不需要很高的攻击速率就可以迅速耗尽主机的资源,而且更具有隐蔽性。
与传统基于低层协议的DDoS攻击相比,App-DDoS攻击具有以下特点:
首先,它利用了高层协议(HTTP)实现。许多基于Web的应用(例如HTTP或HTTPS)通过开放的TCP端口(如TCP端口80与443)为客户提供服务,因此低层的检测系统很难判断经过这些开放端口的用户请求是来自于正常用户还是来自于攻击者。这导致针对Web应用的App-DDoS攻击请求可以顺利穿越基于低层协议的检测系统,通过开放的TCP80端口直接到达Web服务器或网络数据库(见图1)。
其次,由于App-DDoS攻击是以高层信息流(HTTP流)作为攻击手段,其实现是以正常TCP连接和IP分组为前提,因此形成攻击的HTTP流不具备传统DDoS攻击的标志性特征(例如:TCP半开放连接和畸形IP数据报等),而且它无法采用虚假IP地址(虚假IP地址无法建立有效的TCP连接)的方法。越来越多的主机(包括个人主机和企业大型主机)全天候地连接互联网,为这种攻击提供了有利的条件和环境。
此外,由于高层的服务和协议差异很大,App-DDoS攻击可以有多种不同的形式,而且一个简单的HTTP请求往往可以触发服务器执行一系列复杂的操作,例如:数据库查询、密码验证等,所以通过大量傀儡机向目标发送海量分组的攻击方式并不是App-DDoS攻击的惟一选择,它可以用低速率的请求、少量的攻击节点实现传统DDoS的攻击效果,这给现有的检测带来了很大困难。2004年的蠕虫病毒“Mydoom”及其后来的变体“Mytob”就是典型的 HTTPFlooding攻击案例,而且也显示出目前DDoS攻击的发展趋势。该病毒采用了常用的Web服务器请求技术,通过模仿浏览器IE的请求文本,使Web服务器难以区分正常的和异常的HTTP请求,从而提高了攻击的破坏能力。由于所有的攻击请求都是由合法分组构成,不具备传统DDoS攻击流的特征,因此攻击请求顺利穿越所有基于IP层和TCP层的检测系统,最终导致SCO和微软等知名网站的服务器崩溃。
2.DDoS的攻击环境
DDoS攻击所处的背景环境可以分为:平稳背景流环境和突发流环境。平稳背景流是指那些流量随时间变化不大的网站,许多普通网站的流量都具有平稳的特性。突发流是现代网络流的一种新现象,近几年开始受到网络研究者的关注。对于Web应用来说,突发流是指海量的正常Web用户同时访问某一特殊的网站,从而导致Web服务器的访问量和相关网络的流量产生巨大的波动。典型的突发流事例包括:1998年世界杯Web网站,2000年悉尼奥运会网站,2000、2001、2002年澳大利亚网球公开赛等体育网站的访问流量随比赛日程表出现的显著波动;“911”恐怖袭击后CNN网站访问量的突增;Linux“红帽子”发布的首天,发布网站的访问量出现戏剧性的波动等。