由于分布式拒绝攻击造成的伤害越来越大,目前企业用户、网络服务提供商、网络设备厂商和安全设备厂商都非常关注这种攻击。本书即将讲述的,就是这种攻击的原理、历史、特点和防范方法。
江河塞绝,原是古人生存之大患。而今,人类已处于网络空间,DDoS实已成为这一新的生存空间的重大灾难。此书作者携多年深厚技术积淀,对DDoS进行了深入解读,内容丰富,考据严谨,深入浅出,当为论述DDoS之佳作。
—— 中国信息安全研究院 副院长 左晓栋
DDoS攻击的危险性毋庸置疑,而介绍这种攻击的专著却很稀少。本书选材丰富,内容全面,对于希望深入了解DDoS的安全研究人员可以提供很大帮助。
—— 中国信息安全测评中心 研究员 徐长醒
本书较详细地介绍了典型的DDoS攻击工具的用法,从而为信息安全工作人员进行网络安全防护的自我测评和压力测试提供了指南。本书图文并茂,文字生动,对近20年来拒绝服务攻击的发展历程和经典事件信手拈来,是信息安全保障从业人员不可多得的一本专业书籍。
—— 中国信息安全认证中心 魏军
网络世界的攻击和防护对抗发展到今天,各种技术日趋专业和精细,即使是DDoS这样看似粗暴、简单的攻击方法也进化出了很多变种。
—— 绿盟科技 于旸
这是一本有关分布式拒绝服务(DDoS)攻击的科普书籍。对于那些想更好地理解DDoS却并未细究过《TCP/IP协议详解(卷I)》的计算机爱好者、计算机媒体工作者来说,阅读本书是个很好的开端。
—— scz
DDoS攻击一直是互联网的毒瘤,自从潘多拉魔盒中放出之后,自身已经发生了很多次进化,可以说,任何一种网络服务和协议的诞生都伴随着DDoS技术的发展,而P2P和僵尸网络使得这种攻击破坏力巨大,真正影响到了我们所处的真实世界,而人类对抗DDoS的战斗还远没有尽头。本书详细介绍了DDoS攻击技术和防护手段,内容非常新颖、全面,是网络安全研究者不可多得的好教材。
—— 严挺
分布式拒绝服务攻击具有在观测形态上与大流量正常访问相类似的特性,因此对相应的攻击探测、预警和应急处置工作提出了挑战。本书对分布式拒绝服务攻击进行了完整阐述,内容深入浅出,具有很好的参考价值,感谢作者为此付出的努力。
—— 中国科学院软件所 副研究员 连一峰
分布式拒绝服务攻击已成为互联网上规模最大、危害最严重、防护最困难的攻击手段。各国政府、企业、科研机构都投入了大量资源研究这一课题。想要免受伤害,就需要从不同视角了解这种攻击。本书提供了这一机会。本书专业、系统而又深入浅出地探讨此问题,对兴趣爱好者和科研人员都很有价值,尤其是“DDoS攻击的治理和缓解”和“未来与展望”两章,承前启后,很有启发意义。
—— 美国堪萨斯大学 信息安全实验室主任 罗勃
本书由浅入深地讲解了分布式拒绝服务攻击,涉及发展历程、原理方法、工具使用、成本效益和防范机制等多方面,精彩不断,引人入胜,既可以作为了解网络安全的兴趣读物,又能作为学习分布式拒绝服务攻击的基础教材。
——中国科学院信息工程研究所 副研究员 林璟锵
作者简介
鲍旭华 博士,绿盟科技战略研究部研究员,主要研究领域为信息安全事件分析、安全智能和态势感知。
邮箱:baoxuhua@nsfocus.com
洪海 绿盟科技安全研究部研究员,长期专注于网络攻防技术的研究,主要的研究方向包括漏洞挖掘与利用的相关技术、分布式拒绝服务攻击、下一代网络的安全性问题等。
邮箱:honghai@nsfocus.com
曹志华 绿盟科技安全研究员,酷爱逆向工程,是OD、IDA及wireshark的忠实粉丝,感兴趣的方向包括壳、Botnet、数据(包)分析等,现专注于DDoS网络攻防。
邮箱:caozhihua@nsfocus.com
机构简介
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商,以及金融、能源、互联网、教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全、顺畅运行。
信息技术的发展为人们带来了诸多便利,个人社交、商业行为、公共服务,都开始在网络空间中进行。然而,与之相伴的是商业犯罪、恐怖活动和国家战争也开始出现在网络空间中。其中最具破坏力的威胁就是DDoS。
针对商业公司的DDoS无所不在,大到花旗、雅虎这样的国际巨头,小到社区的网吧和宾馆,都曾成为攻击的受害者。心存一丝侥幸心理,可能就会遭受巨大的损失。
恐怖活动往往伴随着巨大的破坏,物理世界和网络世界都是如此。宗教、民族、文化乃至观点的不同,都可能引发仇恨。
如今的第五空间(网际空间)已经是各国疆域的一部分。物理世界发生的战争,同样会延续到这一空间。俄罗斯和周边国家的两次战争,用事实展现了网络战争的可怕。
现实与网络中的战争
1939年9月1日凌晨,第二次世界大战爆发。德军14个师兵分三路,从北、南、西同时入侵波兰,波军6个集团军80万人组成的防线瞬间瓦解。由于兵力分散和移动迟缓,波军很快被各个击破,到9月21日“布楚拉战役”结束,主力已全军覆没。这次战争的时间之短,出乎所有人的意料,它将一种新的战争模式呈现在人们眼前:“闪电战”。
人们在惊叹“闪电战”速度的同时,往往忽略了另一个因素:兵力对比。当时的德军的确强大,但波军也非弱旅,在之前的“波苏战争”中和苏联互有胜负。此外,德军的突击部队其实只有14个师,却能够轻易突破防线,还在之后的战斗中屡战屡胜,作用之大让当时的军事学家跌破眼镜。
2012年7月,一部由美国制作的电影预告片被传到互联网上,由于包含对伊斯兰教的侮辱,引起了穆斯林的强烈抗议。9月,一个自称“伊兹丁·哈桑网络战士”的黑客组织,在网上声称对美国金融业展开报复性战争。短短几周之中,美国银行、花旗集团、富国银行、美国合众银行、PNC金融服务集团等金融巨头的网上服务因遭受攻击而中断,一个名字反复出现在报纸头条:“分布式拒绝服务攻击”。
一个名不见经传的黑客组织,面对这些金融巨头,为什么能一再获得胜利?成本高昂的防护系统,精英荟萃的安全团队,为什么不堪一击?到底什么是“分布式拒绝服务攻击”?
什么是分布式拒绝服务攻击
分布式拒绝服务攻击是从多个来源,彼此协同进行的拒绝服务攻击。这个名称包含了两层含义:首先,它是一种“拒绝服务”攻击;其次,它是一种“分布式”攻击。
那么,什么是“拒绝服务”(Denial of Service,DoS)呢?可以这样认为,凡是导致合法用户不能访问服务的行为,就是“拒绝服务”攻击。最典型的例子是造成一个公开的网站无法访问。攻击者使用的方法通常很简单,就是不断提出服务请求,使服务提供方疲于应付,直到合法用户的请求来不及得到处理。
但是,大型企业或组织往往具有较强的服务提供能力,足以处理单个攻击者发起的所有请求。于是,攻击者会组织很多协作的同伴(或计算机),从不同的位置同时提出服务请求,直到服务无法被访问。这就是“分布式”。现实中,攻击者往往没有那么多同伴,所以,他们通常利用所谓的“僵尸网络”来控制大量计算机进行攻击。
然而,问题依然存在。为什么这种攻击具有如此威力?它和“闪电战”又有什么关系呢?笔者认为,这两者能够取得辉煌战果的根本原理是相同的:持续制造局部优势。
运用“闪电战”的德军,能够依靠机械化部队的速度集中兵力,每场战斗其实都是以强胜弱。波军则分散在漫长的国境上和广阔领土中,只能被各个击破,如果个别阵地存在顽强抵抗,德军就会绕过去,在另一个局部获得胜利。当失去友军支撑后,原本坚守的波军阵地只能不战而溃。所以,德军可以取得远超军力对比的战果。
网络世界中的一些特性有所变化。首先,IT系统的依赖性更强,需要大量环境条件和其他应用来支撑,也就更容易存在弱点;其次,比起物理世界,攻击者可以提前观察受害目标,所以更容易发现弱点;再次,攻击者更方便组织攻击力量,完全让世界各地的被控制主机同时发起攻击。而“分布式拒绝服务”就是利用了这些特性。所以,即使拥有的资源、技术和人力远逊于专业团队,一个小型黑客组织也依然能够不断打垮金融巨头。原因无他,只因制造局部优势。
正如本杰明·萨瑟兰在他的《技术改变战争》中所述:“被视为‘非对称’的武器能够给予处于技术劣势的一方某种优势,让他们有机会去袭击装备更加先进的敌人。”
本书读者对象
DDoS是一种破坏力很强的网络攻击方法,而且在可以预见的未来中,还没有任何手段能够完全防御这种攻击。本书希望从受攻击者的角度,来讨论以下几个问题:
1)谁在攻击我?
2)攻击我的目的是什么?
3)攻击者怎样进行攻击?
4)我该如何保护自己?
读者可能依然不了解自己是否有必要读这本书,那么可以试着回答以下问题,如果其中一个回答“是”,本书就可能会给你带来某种帮助。
1)我是否需要为公司(组织)的网络安全负责?
2)我是否需要为他人介绍一些基本的网络安全知识?
3)我的客户是否关心网络安全?
4)了解网络安全对我未来的职业发展是否有益?
5)我管理的业务是否受安全基础设施的影响?
本书内容简介
第1章讲述了DDoS的发展历史。第2章~第4章是本书的重点,从来源、方法和工具三个角度介绍DDoS攻击本身。第5章讨论攻击者的成本和收益问题。第6章分析在不同环节对DDoS的治理和缓解方法。第7章是对未来的一些探讨。
此外,本书在附录中提供了一些很有价值的资料。附录A是DDoS攻击方法、工具和相关事件的汇总;附录B解读了9个DDoS常见误区;附录C介绍了一些国外知名黑客组织和个人;附录D对NTP和DNS放大攻击做了更详细的解读;附录E提供了《2013年绿盟科技DDoS威胁报告》,用真实数据说明DDoS攻击的现状。
计算机\安全
江河塞绝,原是古人生存之大患。而今人类已处于网络空间,DDoS实已成为这一新的生存空间的重大灾难。此书作者携多年深厚技术积淀,对DDoS进行了深入解读,内容丰富,考据严谨,深入浅出,当为论述DDoS之佳作。
——中国信息安全研究院 副院长 左晓栋
DDoS攻击的危险性毋庸置疑,而介绍这种攻击的专著却很稀少。本书选材丰富、内容全面,对于希望深入了解DDoS的安全研究人员可以提供很大帮助。
——中国信息安全测评中心 徐长醒 研究员
DDoS攻击充分利用了网络协议设计之初的缺陷,迫使被攻击者无法对外提供服务或阻断网络连接。该类攻击往往通过控制僵尸网络、并借以虚假源地址数据包发起攻击,从而使得攻击难以溯源,对其阻断变得异常困难。 拒绝服务攻击已成为犯罪分子手中的利器,并成为网络战争的一种攻击形态。
作者从DDoS攻击和僵尸网络的发展历程,引导网络安全工作人员从受攻击者的角度去理解拒绝服务攻击的原理、特点。
书中较详细地介绍了典型DDoS攻击工具的用法,从而为信息安全保护工作人员进行网络安全防护的自我测评和压力测试提供了指南。本书图文并茂,文字生动,对近20年来拒绝服务攻击的发展历程和经典事件信手拈来,是信息安全保障从业人员不可多得的一本专业书籍。
——中国信息安全认证中心 魏军 博士
网络世界的攻击和防护对抗发展到今天,各种技术日趋专业和精细,即使是DDoS这样看似粗暴简单的攻击方法也进化出了很多变种。
——绿盟科技 于旸
这是一本有关分布式拒绝服务攻击(DDoS)的科普书籍。对于那些想更好地理解DDoS却并未细究过《TCP/IP协议详解(卷I)》的计算机爱好者、计算机媒体工作者来说,阅读本书是个很好的开端。
——scz
DDOS攻击一直是互联网的毒瘤,自从潘多拉魔盒中放出之后,自身已经发生了很多次进化,可以说,任何一种网络服务和协议的诞生都伴随着DDOS技术的发展,而P2P和僵尸网络使得这种攻击破坏力巨大,真正影响到了我们所处的真实世界,而人类对抗DDOS的战斗还远没有尽头,本书详细介绍了DDOS攻击技术和防护手段,内容上非常新颖、全面,是网络安全研究者不可多得的好教材。
——严挺
分布式拒绝服务攻击具有在观测形态上与大流量正常访问相类似的特性,因此对相应的攻击探测、预警和应急处置工作提出了挑战。本书对分布式拒绝服务攻击进行了完整阐述,内容深入浅出,具有很好的参考价值,感谢作者为此付出的努力。
——中国科学院软件所 连一峰 副研究员
分布式拒绝服务攻击已成为互联网上规模最大,危害最严重,防护最困难的攻击手段。各国政府,企业,科研机构都投入了大量资源研究这一课题。想要免受伤害,就需要从不同视角了解这种攻击。本书提供了这一机会。本书作者专业、系统而又深入浅出地探讨此问题,对兴趣爱好者和科研人员都很有价值,尤其是治理与缓解和未来展望两章,承前启后,很有启发意义。
——美国堪萨斯大学 信息安全实验室主任 罗勃
《破坏之王——DDoS攻击与防范深度剖析》由浅入深地讲解了分布式拒绝服务攻击,涉及发展历程、原理方法、工具使用、成本效益和防范机制等多方面,精彩不断,引人入胜,既可以作为了解网络安全的兴趣读物、又能作为学习分布式拒绝服务攻击的基础教材。
——中国科学院信息工程研究所 林璟锵 副研究员
鲍旭华 洪海 曹志华 著:暂无简介
序
前言
第1章 DDoS攻击的历史 1
1.1 探索期:个人黑客的攻击 3
1.1.1 第一次拒绝服务攻击 4
1.1.2 分布式攻击网络:Trinoo 5
1.1.3 黑手党男孩 6
1.1.4 根域名服务器的危机 7
1.2 工具化:有组织攻击 9
1.2.1 在线市场面临的勒索 10
1.2.2 世界杯博彩网站敲诈案 10
1.2.3 操纵政党选举的攻击 11
1.2.4 燕子行动 11
1.2.5 史上最大规模的DDoS 12
1.3 武器化:网络战 13
1.3.1 网络战爆发:爱沙尼亚战争 13
1.3.2 硝烟再起:格鲁吉亚战争 15
1.3.3 美韩政府网站遭攻击 17
1.4 普及化:黑客行动主义 19
1.4.1 匿名者挑战山达基教会 20
1.4.2 维基解密事件 21
1.4.3 索尼信息泄露案 22
1.5 小结 24
1.6 参考资料 24
第2章 DDoS攻击的来源 27
2.1 僵尸网络的发展 29
2.1.1 演化和发展趋势 29
2.1.2 知名僵尸网络 32
2.2 僵尸网络的组建 34
2.2.1 节点 34
2.2.2 控制 41
2.3 僵尸网络的危害 50
2.4 自愿型僵尸网络 52
2.5 小结 56
2.6 参考资料 56
第3章 DDoS攻击的方法 57
3.1 攻击网络带宽资源 59
3.1.1 直接攻击 59
3.1.2 反射和放大攻击 61
3.1.3 攻击链路 69
3.2 攻击系统资源 70
3.2.1 攻击TCP连接 72
3.2.2 攻击SSL连接 80
3.3 攻击应用资源 84
3.3.1 攻击DNS服务 84
3.3.2 攻击Web服务 88
3.4 混合攻击 94
3.5 小结 96
3.6 参考资料 96
第4章 DDoS攻击的工具 98
4.1 综合性工具 99
4.1.1 Hping 99
4.1.2 PenTBox 101
4.1.3 Zarp 103
4.2 压力测试工具 103
4.2.1 LOIC 104
4.2.2 HOIC 105
4.2.3 HULK 106
4.3 专业攻击工具 107
4.3.1 Slowloris 108
4.3.2 R.U.D.Y. 109
4.3.3 THC SSL DOS 111
4.4 小结 112
4.5 参考资料 112
第5章 DDoS攻击的成本和收益 113
5.1 攻击成本 113
5.2 获取收益 117
5.2.1 敲诈勒索 117
5.2.2 实施报复 119
5.2.3 获取竞争优势 120
5.3 小结 124
5.4 参考资料 125
第6章 DDoS攻击的治理和缓解 126
6.1 攻击的治理 127
6.1.1 僵尸网络的治理 127
6.1.2 地址伪造攻击的治理 129
6.1.3 攻击反射点的治理 132
6.2 攻击的缓解 137
6.2.1 攻击流量的稀释 138
6.2.2 攻击流量的清洗 145
6.3 小结 154
6.4 参考资料 154
第7章 未来与展望 156
7.1 未来的网络战 156
7.2 DDoS的APT时代 157
7.3 DDoS与大数据 159
附录A DDoS主要攻击方法、工具和事件一览 161
附录B 关于DDoS的9个误区 164
附录C 国外知名黑客组织和个人简介 169
附录D NTP和DNS放大攻击详解 176
