IP伪装DDOS攻击,IP SPOOFING IN DDOS ATTACKS

99
发表时间:2018-12-27 11:51作者:阿杰学长来源:www.qidian02.cn网址:http://www.qidian02.cn

IP欺骗的定义

欺骗是指在互联网上模仿一个用户、设备或客户。 在网络攻击中常用来掩盖攻击流量的来源。

最常见的欺骗形式包括:

  • DNS服务器欺骗 – 为了将域名重定向到不同的IP地址,对 DNS 服务器进行修改。 它通常用于传播病毒.

  • ARP欺骗 – 通过虚假的ARP信息,将一个攻击者的MAC地址链接到一个合法地址。通常用于拒绝服务 (DoS) 和中间人攻击.

  • IP地址欺骗 – 掩盖攻击者的原始地址。通常在DoS攻击中使用.

什么是IP地址欺骗

计算机网络通过交换网络数据包进行通信,每个数据包都包括多重用于路由并确保传输连续性的报头。其中一种报头就是”源IP地址”,它表示数据包发送者的IP地址.

IPv4 TCP 数据包 -- 源 IP 地址

IP地址欺骗是在源IP报头中伪造内容的行为,通常使用的是随机数字,或掩盖发送者身份,或发起一个反射性DDoS攻击,具体描述如下。IP欺骗是多数DDoS恶意软件包和攻击脚本的默认特征,使其成为多数网络层分布式拒绝服务DDoS攻击的一部分.

DDOS攻击中的IP 地址欺骗

在DDOS攻击中,使用IP地址欺骗的原因有两条:掩盖僵尸网络设施的位置和发起反射攻击.

掩盖僵尸网络设施

僵尸网络是指由攻击者远程控制的一组被恶意软件感染的设备,而这些设备的所有者尚未意识到其设备已经被感染和控制。通过指令可控制他们共同访问一个给定的域名或服务器,为攻击者提供计算和网络资源,以产生巨大的流量洪水。此类洪水可使得僵尸网络运营者(又名牧羊人)最大限度地提高目标的资源容量,从而导致服务器宕机和网络饱和.

僵尸网络通常包括随机的、地理上分散分布的设备,或属于同一受害网络的计算机(例如被黑客攻击的主机平台).

攻击者通过使用虚假IP地址,掩盖他们僵尸网络设施的真实身份,其目的在于:

  • 避免被执法机构和法庭网络调查者发现和受到牵连.

  • 阻止目标将他们正在实施的攻击通知给设备所有者.

  • 绕开试图通过将攻击IP地址列入黑名单来缓解DDoS攻击的安全脚本、设施和服务.

反射 DDOS

反射DDoS攻击使用IP欺骗,生成虚假请求,假装代表目标,从受保护的中间服务器中引发一些响应。攻击者的目标是通过触发较小请求的大量的响应来扩大其流量输出.

常见的反射DDOS攻击方法包括:

  • DNS 放大 – 任何源自目标虚假地址的查询被发送到无数不安全的DNS 解析器上。 每60字节的请求可以触发4000字节的响应,使攻击者能够放大流量输出高达 1:70.

  • Smurf 攻击 – 从目标的虚假地址将一个 ICMP请求发送到一个中间广播网络,触发来自该网络每个设备的回应。放大的程度是由那些请求广播的设备数量所决定。例如,一个网络连接了50台主机,则其放大倍数就是 1:50.

  • NTP 放大 – 包含目标的虚假IP地址的 get monlist请求被发送到一个未受保护的NTP服务器上。和DNS放大一样,一个小小的请求触发了一个更大的响应,最高放大比率可达1:200.

应用层攻击中的IP 地址欺骗

为了建立应用层连接,要求主机和访问者进行一个相互验证过程,称为”TCP三次握手”.

该过程包括以下同步 (SYN) 和确认(ACK) 数据包的交换:

  • 访问者向主机发送一个SYN数据包.

  • 主机回复一个SYN-ACK.

  • 访问者通过回复一个ACK数据包,确认接收到SYN-ACK.

源IP欺骗使得该过程的第三步变得不可能实现,因为它禁止访问者接收发送到虚假IP地址的SYN-ACK回复.

因为所有的应用层攻击都依赖于TCP连接和三次握手的循环关闭,仅仅网络层DDoS攻击可以使用虚假地址。

安全调查中的IP地址欺骗

在安全调查中,来自网络层攻击的IP数据经常被用于验证攻击者资源的来源国。但是,IP地址欺骗使其数据变得不可靠,因为其IP地址和恶意流量的地理位置都被屏蔽了。

当阅读仅依靠网络IP数据而生成的报告时,有必要注意这些局限性。例如:不能依靠从那些无法对应用层攻击提供保护的缓解供应商那里获得的报告来确定僵尸网络的准确位置.

因此,任何僵尸网络来源国的实证研究只能基于应用层攻击数据.

DDOS防护中的防欺骗

如前所述,IP地址欺骗通常用于绕过仅依靠IP黑名单而形成的基本安全措施–屏蔽那些涉及之前攻击的已知地址.

为了克服这一缺点,现代缓解方案有赖于深度包检测(DPI),这种检测对所有数据报头进行粒度分析,而不是仅检测源IP地址。借助深度包检测(DPI),缓解方案能够对不同数据报头的内容进行相互验证,以便找到其他指标来识别并滤除恶意流量.

例如:某个缓解服务可以采用DPI 观察DDoS流量,并通过那些与正常情况不同的可疑的TTLs和总长度报头来识别流入的数据包。通过追踪此类小的异常情况,这类服务可以创建一个攻击数据包的细粒概要文件,使用它清除恶意流量而不影响正常访问流量.

DPI的缺点是该过程非常耗费资源。当大规模实施时(如在DDoS攻击的情况下),DPI很可能造成性能下降–有时甚至使受保护的网络几乎完全没有响应.

为了克服这一缺点,Incapsula 有针对性地通过一个能够抵御每秒一亿数据包 的DPI缓解硬件 (代码 Behemoth) 实施洗涤.

阻止 470 Gbps 攻击一组Behemoth洗涤器能够缓解470 Gbps的DDoS 攻击 历史最高纪录之.

从外到内,每个Behemoth洗涤器对所有进入的数据包均执行细微可见的过滤,从而确保攻击流量不会进入您的网络。同时,您的有效访问流量可以无障碍通过.