互联网工程师们发现了据称业内第一起基于IPv6的分布式拒绝服务(DDoS)攻击。他们警告,这仅仅是个开头,下一波网络大破坏迫在眉睫。
网络专家韦斯利.乔治(Wesley George)本周早些时候注意到了奇怪的流量,这是针对一台DNS 服务器 发动的大规模攻击的一部分,企图让服务器不堪重负。他供职于Neustar公司的SiteProtect DDoS保护服务部门,当时他在获取恶意流量的数据包,这是其工作的一部分,他当时意识到“来自IPv6地址的数据包流入到IPv6主机。”
这次攻击不是很大――不像本周针对GitHub发动的创纪录的1.35Tbps攻击,也没有采用IPv6独有的方法,但是不同寻常、令人担忧,于是他提醒团队的其余成员要注意。
1900个IPv6地址背后的那些计算机在攻击DNS服务器,它们只是更多数量的被征用的系统的一部分,这些系统主要使用公共互联网上的IPv4地址。因此,运行IPv6网络的任何人都要确保自己已部署了与IPv4网络同样级别的网络安全和缓解工具,而且动作要快。
Neustar的研发负责人巴雷特?莱昂(Barrett Lyon)告诉我们:“面临的风险在于,如果你没有将IPv6作为威胁模型的一部分,很可能两眼抹黑。”
除了少数几家知名公司(比如Facebook和LinkedIn)外,已开始引入IPv6网络的公司大多数是通过并行运行IPv4和IPv6来开展这项工作的,常常设有两个不同的团队。莱昂和乔治都警告,根据他们的经验,网络工程师们先安装好IPv6网络,之后才为确保安全而操心。
敞开的解析系统
莱昂特别指出,在1900个IPv6地址中,400个被配置不当的DNS系统所使用,大约三分之一的攻击流量来自那些服务器――不法分子可以使用DNS服务器来放大发送到受害者系统的网络流量。这可能是将来的一个巨大问题,因为它表明工程师们在构建的网络存在固有的安全问题,之后可能需要数年才能解决。
几年来,互联网社区一直高度专注于找出敞开的IPv4解析系统,并打上补丁,因为它们有可能被用于上述的DNS放大攻击。
但是这之所以有可能得逞,一方面是由于IPv4地址空间是可扫描的;而IPv6并非如此,IPv6的地址空间非常庞大,不法分子很难使用同样的技术来发现IPv6地址。正因为如此,如今新部署的任何敞开的解析系统无异于是未来潜在的安全噩梦。
除了潜在的IPv6安全问题外,还有这些问题:一些缓解工具仅适用于IPv4(常常归因于硬编码地址写入到代码中)或者部署到IPv4环境中,后来移植到IPv6环境中;许多IPv6网络任务是用软件(而不是用硬件)来实现的,这留下了多得多的潜在安全漏洞;而IPv6协议中的数据包报头扩展带来了潜在的、新的攻击途径。
说到逐步部署IPv6,IPv6在安全方面有利也有弊,不过随着IPv6逐渐成为网络默认协议,有利方面会逐渐消失。
说到有利方面,IPv6网络还没有遍地开花,因而攻击者不会特别关注它,专门针对这种新的协议开发新的攻击方法,至少目前如此。而目前最糟糕的安全风险:拼凑而成的物联网产品几乎完全专注于IPv4。
默认协议
但是说到不利方面,几乎所有现代移动设备和PC都内置了支持IPv6的功能,而且在默认情况下已开启,所以当那些IPv6攻击来临时,它们将会遭受重创。另外,许多网络工程师不知道IPv6是什么,所以保护IPv6也就无从谈起。
乔治假设,如果网络遭到组合型IPv4和IPv6攻击流量的攻击(就像本案中发生的那样),这是将来的一大问题。系统管理员可能会用上所有正常的缓解工具,但只能对付IPv4流量,致使网络仍然受到攻击,负责人无法查清楚原因。
由于大多数人使用双堆栈系统在现有系统旁边部署IPv6,莱昂还担心IPv6攻击可能会破坏用来并行运行网络的路由器和交换机,因此通过后门攻击IPv4网络。
莱昂表示,本周的攻击“只是冰山一角”。他希望这可以向系统管理员们敲响一记警钟,以便将最佳实践运用于IPv6网络,他认为“你在IPv4界采取什么措施,就应该在IPv6界采取什么措施。”
不过客观地说,他并不确信人们会事先吸取教训。莱昂说:“人们并不往往后来把安全看成是优先事项。直到面临危机,才会格外重视安全。”
DDOS攻击原理
攻击原理及方法名称: 该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。 :该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。 子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。 -based:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。 of Death:根据TCP/IP的规范,一个包的长度最大为字节。 尽管一个包的长度不能超过字节,但是一个包分成的多个片段的叠加却能做到。 当一个主机收到了长度大于字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。 :IP数据包在网络传递时,数据包可以分成更小的片段。 攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。 第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。 为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。 :使用ICMP Echo轮询多个主机。 : 该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。 败笔网络 为你解答
ddos和doss分别是什么
DDOS全名是Distributed Denial of service (分布式拒绝服务),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS 最早可追溯到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。 DOSS是中国第一家获得苹果公司认证的音响生产研发企业,DOSS之意为“Dream Of Smart Sound”即“妙音之梦”。
网吧网管必学:什么是DDOS攻击和UDP攻击
完整的说应该是UDP淹没攻击 (UDP Flood Attack) UDP 淹没攻击是导致基于主机的服务拒绝攻击的一种。 UDP 是一种无连接的协议,而且它不需要用任何程序建立连接来传输数据。 当攻击者随机地向受害系统的端口发送 UDP 数据包的时候,就可能发生了 UDP 淹没攻击。 当受害系统接收到一个 UDP 数据包的时候,它会确定目的端口正在等待中的应用程序。 当它发现该端口中并不存在正在等待的应用程序,它就会产生一个目的地址无法连接的 ICMP 数据包发送给该伪造的源地址。 如果向受害者计算机端口发送了足够多的 UDP 数据包的时候,整个系统就会瘫痪。 UDP 淹没攻击的防范在网络的关键之处使用防火墙对来源不明的有害数据进行过滤可以有效减轻 UDP 淹没攻击。 此外,在用户的网络中还应采取如下的措施:禁用或过滤监控和响应服务。 禁用或过滤其它的 UDP 服务。 如果用户必须提供一些 UDP 服务的外部访问,那么需要使用代理机制来保护那种服务,使它不会被滥用。 对用户的网络进行监控以了解哪些系统在使用这些服务,并对滥用的迹象进行监控。 以上内容转自网络知道DDOS攻击分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。 通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。 代理程序收到指令时就发动攻击。 利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。 以上内容转自网络百科
发表评论