攻击、UDP洪水攻击等方法直接对被攻击目标展开耗费网络带宽资源的散布式拒绝服务攻击,但这种方法不仅低效,还很容易被查到攻击的源头。虽然攻击者可以应用捏造源IP地址的方法进行暗藏,但更好的方法是应用反射攻击技巧。
反射攻击又被称为 DRDOS( Distributed Reflection Denial of Service,散布式反射拒绝服务)攻击,是指利用路由器、高防服务器等设施对恳求产生应答,从而反射攻击流量并暗藏攻击起源的一种散布式拒绝服务攻
击技巧。
反射攻击的基础原理如图3-2所示
在进行反射攻击时,攻击者应用受控主机发送大批的数据包,这些数据包的特别之处在于,其目标IP地址指向作为反射器的服务器、路由器等设施,而源IP地址则被捏造成被攻击目标的IP地址。反射器在收到数据包时,会认为该数据包是由被攻击目标所发来的恳求,因此会将响应数据发送给被攻击目标。当大批的响应数据包涌向攻击目标时,就会耗尽目标的网络带宽资源,造成拒绝服务攻击。
发动反射攻击需要在互联网上找到大批的反射器,某些种类的反射攻击并不难实现。例如,对于ACK反射攻击,只需要找到互联网上开放TCP端口的服务器即可,而这种服务器在互联网上的存在是非常广泛的。
发动反射攻击通常会应用无须认证或握手的协议。反射攻击需要将恳求数据的源IP地址捏造成被攻击目标的IP地址,如果应用的协议需要进认证或者握手,则该认证或握手过程没有措施完成,也就不能进行下步的攻击。因此,绝大多数的反射攻击都是应用基于UDP协议的网络服进行的。
相比于直接捏造源地址的散布式拒绝服务攻击,反射攻击由于増加了一个反射步骤,因此更加难以追溯攻击起源。但是,这并不是反射攻击真正的要挟,真正的要挟在于利用反射原理进行的放大攻击。
放大攻击是一种特别的反射攻击,其特别之处在于反射器对于网络流量具有放大作用,因此我们也可以将这种反射器称为放大器。进行放大攻击的方法与反射攻击的方法也是基础一致的,不同之处在于反射器(放大器)所供给的网络服务需要满足必定条件。
在反射器供给的网络服务协议中,需要存在恳求和响应数据量不对称的情况,响应数据量需要大于恳求数据量。响应数据量与恳求数据量的比值越大,放大器的放大倍数也就越大,进行放大攻击所产生的耗费帯宽资源的效果也就越明显。
放大器所应用网络服务安排的广泛性决定了该放大攻击的规模和严重程度。如果存在某些网络服务,不需要进行认证并且放大效果非常好,但是在互联网上安排的数量很少,那么利用该网络服务进行放大也不能达到很大的流量,达不到有效耗费带宽资源的效果,这种网络服务也就不能作为重要的放大攻击流量,而只能作为赞助手段。
ACK反射攻击
我们知道,在传输把持协议( Transmission Control ProtocolTCP)建立连接时,首先会进行TCP三次握手。在这个过程中,当服务器端吸收到客户端发来的SYN连接恳求时,会对该恳求进行ACK应答。利用TCP握手的ACK应答,即可进行ACK反射攻击。
ACK反射攻击是比较常见的一种反射攻击技巧,其攻击原理如图3所示。
如果攻击者将SYN的源IP地址捏造成被攻击目标的P地址,服务器的应答也就会直接发送给被攻击目标。由于应用TCP做议的服务在互联网上广泛存在,攻击者可以通过受控主机向大批不同的服务器发送捏造源IP地址的SYN恳求,从而使服务器响应的大批ACK应答数据涌向被攻击目标,占用目标的网络带宽资源并造成拒绝服务。
在发动ACK反射攻击时,首先需要进行扫描,获得大批的反射器地址,并分辨向这些反射器发送捏造源地址的SYN恳求数据,因此相比于直接攻击,这种方法显得复杂了一些。ACK反射攻击的优点重要在于其能够较有效地暗藏攻击的起源。
