11月初,俄羅斯十大銀行中有五家遭到DDoS攻擊。俄儲蓄銀行行長戈爾曼·格列夫表示,此次攻擊的力度遠遠超出以往的攻擊。12月2日,俄羅斯央行官員稱,該行代理賬戶遭黑客襲擊,被盜取了20億俄羅斯盧布資金。隨后,俄羅斯央行官員Artyom Sychyov證實了這一消息,并表示,“黑客曾嘗試盜取50億俄羅斯盧布左右的賬戶資金”。
那么,DDoS攻擊到底是什么,黑客又是怎樣借助DDoS攻擊從戒備森嚴的俄羅斯銀行盜取20億盧布的呢?
分布式拒絕服務(DDoS)攻擊是網絡攻擊手段中的一種, 是利用大量合法的請求占用大量網絡資源,以達到癱瘓網絡的做法——黑客通過大量被控制的計算機同時攻擊目標,耗盡服務器的CPU、網絡帶寬、內存和數據庫服務等,以實現影響用戶正常使用的目的。DDoS攻擊不僅可以域名系統服務器等具體目標,還能利用巨大的流量攻擊目標所在的互聯網的基礎設施使其過載,影響網絡的性能和所承載的服務。
由于Windows和Linux本身就存在一些安全漏洞,黑客可以通過入侵高訪問量的網站,并在網頁中注入木馬病毒,利用系統漏洞感染瀏覽網站的計算機。一旦有計算機訪問并感染木馬,就會被木馬傳播者控制,成為DDoS攻擊者的僵尸主機,隨后會在僵尸主機上面安裝拒絕服務攻擊軟件。為了隱蔽自己,攻擊者會遙控安裝了控制軟件的僵尸機發動拒絕服務攻擊,使被攻擊目標由于忙于處理大量的攻擊數據包而無法提供正常服務。這種攻擊既可以阻斷某一用戶訪問服務器,或阻斷某服務與特定系統或個人的通訊,也可以通過向服務器提交大量請求,使服務器超負荷,并利用網絡過載來干擾甚至阻斷正常的網絡通訊,無法響應正常的服務請求,嚴重的可能導致整個網絡癱瘓。
由于經濟利益的驅動和操作系統存在大量漏洞使攻擊者可以控制大量僵尸主機,構筑龐大的僵尸網絡,以及大量攻擊工具的誕生降低了DDoS攻擊的技術門檻,同時僵尸主機的計算性能和接入帶寬隨著微電子技術和信息技術的進步突飛猛漲,使DDoS攻擊已經初步形成產業鏈,網絡上就有人專門從事收集“僵尸主機”的非法活動,然后以低廉的價格出售給攻擊發起者,或者直接遙控這些“僵尸主機”進行攻擊。
(DDoS攻擊體系)
根據DDoS攻擊的方式來看,Land攻擊、SYN flood攻擊、Teardrop攻擊等主要針對操作系統、TCP/IP網絡協議、應用程序等的缺陷,構造某種特殊的數據包,使系統停止對正常用戶的訪問請求或使操作系統、應用程序崩潰。而Smurf攻擊、UDP 淹沒攻擊采用比被攻擊網絡更大的帶寬,生成大量發向被攻擊網絡的數據包,從而耗盡被攻擊網絡的有效帶寬,使被攻擊網絡發生擁塞。下面具體介紹幾種常見的DDoS攻擊方式:
由于TCP協議要經過三次握手才能建立連接,于是就有攻擊者針對握手過程的SYN flood攻擊——在攻擊者發出包含SYN(TCP/IP建立連接時使用的握手信號)標志的數據包后,服務器會發送SYN-ACK表示接受到了消息,攻擊者不回應確認字符(ACK),在此情形下,服務器會重復發送SYN-ACK,進而占用服務器資源。
在實現方式上,攻擊者可以利用本地IP發送大量的普通SYN進行攻擊,在收到被攻擊主機的SYN-ACK后不予回應,這樣被攻擊主機就在緩存中建立了大量連接隊列,造成了系統資源的消耗而無法向正常請求提供服務。也可以在在SYN 中通過欺騙來源IP 地址,這讓服務器送SYN-ACK到假造的IP 地址,因此,真實的IP 地址永遠不可能收到ACK。此外,攻擊者還可以先偽造一個SYN發送到服務器,然后再偽造一個ACK發到服務器,傳送最后的ACK 信息,大量的偽造SYN+ACK也會造成服務器癱瘓。
Land攻擊與SYN floods攻擊有些類似,區別在于Land攻擊包中的源地址。在Land攻擊中,攻擊者向被攻擊主機發送一個經過特殊構造的TCP數據報,該數據報帶有SYN標志,同時具有相同的源IP 地址和目的IP 地址及相同的源端口號和目的端口號。換言之,IP 地址和端口號都為被攻擊主機的,這樣當被攻擊主機收到這樣的TCP 數據報后,就會在本地不斷的收發SYN和ACK,從而致被攻擊的機器死循環,最終耗盡資源而死機。
Teardrop攻擊是利用數據包分解實現的。由于每個數據要傳送前都會經過分組切割,每個被切割的數據小組都會記錄位移的信息以便重組,Teardrop攻擊通過捏造位移信息,比如向被攻擊目標發送兩個連續的IP 數據包,由于這兩個數據包是相互重疊的,導致在目的系統發生大量的數據復制,從而耗盡被攻擊主機的CPU和內存資源。
由于用戶數據報協議(UDP協議)是一個面向無連接的傳輸層協議,所以數據傳送過程中,不需要建立連接和進行認證。UDP Flood攻擊就利用UDP協議不需要建立連接和進行認證的特性,向被攻擊主機發送大量的UDP 數據包,這樣一方面會使被攻擊主機所在的網絡資源被耗盡,還會使被攻擊主機忙于處理UDP數據包,而使系統崩潰。
至于黑客如何利用DDoS攻擊從俄羅斯銀行盜走20億盧布,業內人士認為,黑客并非直接利用DDoS攻擊從銀行盜走資金,而是利用DDoS攻擊癱瘓銀行的網絡,對銀行的安全防衛造成混亂,在銀行恢復系統的過程中,特別是一些不太正當的恢復操縱很容易被黑客抓住機會,通過其他的方式從銀行盜走20億盧布。也就是說,DDoS攻擊并不能直接盜走銀行賬戶里的資金,但卻給黑客制造了在混亂中竊取金錢的機會,至于黑客具體抓住銀行哪些安全漏洞盜走資金的,只有當事人才清楚,我們這些看客也只能猜測了。
京公網安備 11010502049343號