分布式反射拒绝攻击（DRDOS）详解

NSRC核心成员 庞勇

　　2002年1月11日凌晨两点，www.grc.com被一些更先进的恶意洪水数据包攻击。这种新型的DDOS攻击被称为分布式拒绝服务攻击（Distributed Reflection Denial Of Servie Attack）——DRDOS。

在此我先给大家解释一下拒绝服务（DOS）及分布式拒绝服务（DDOS）。

一、拒绝服务（DOS）

　　拒绝服务（Denial of Service），简称为DOS，造成DOS的攻击行为被称为DOS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DOS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。例如，2000年2月6日那个星期对Yahoo网站发生的主要是带宽攻击。

　　DOS攻击的原理如图1所示：

（图1 DOS攻击原理）

　　从图中我们可以看出DOS攻击的基本过程：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。

二、分布式拒绝服务（DDOS）

　　分布式拒绝服务（Distributed Denial Of Service），简称DDOS，指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DOS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDOS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。

　　DDOS的攻击原理如图2所示：

（图2 DDOS攻击原理）

　　从图2可以看出，攻击者发起DDOS攻击的第一步，就是寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。

三 、分布式反射服务（DRDOS）

　　分布式拒绝服务攻击（Distributed Reflection Denial Of Servie Attack），简称DRDOS，是新一代的DDOS攻击。

　　当被多个网络核心基础设施路由器攻击。所有的连接都是完全合法的SYN/ACK连接回应包，它们显示了一个TCP源端口：179。BGP是中介路由器支持的“边界网关协议”（Border Gateway Protocol）。路由器使用BGP与他们的邻居进行即时的信息交流来交换他们的路由表，在是为了通知它们彼此路由器可以在哪个IP范围进行转交。BGP的细节并不重要， 每个良好连接的中介器都会接受它们179端口上连接。也就是说任何一个SYN数据好到达一个网络路由器上后都会引出一个该路由的SYN/ACK回应包来。

　　当入侵者利用带有请求的SYN数据包对网络路由器进行洪水攻击。这些数据包带有虚假的IP地址，这些地址都是XXX网站的。这样以来，路由器以为这些SYN数据包是从XXX网站发送过来的，所以它们便对它们发送SYN/ACK数据包作为三次握手过程的第二步。恶意的数据包就反射到XXX网站的主机上后，就形成了洪水攻击。

四、防御策略

　　1、对一些重要的信息（例如系统配置信息）建立和完善备份机制。

　　2、建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。

　　3、利用网络安全设备（例如：防火墙）来加固网络的安全性，配置好它们的安全规则，过滤掉所有的可能的伪造数据包。

　　4、当你发现自己正在遭受DDOS攻击时，你应当启动您的应付策略，尽可能快的追踪攻击包，并且要及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡从已知攻击节点的流量。