蓋凌云

摘要分布式拒絕服務(wù)攻擊(DDoS)是當(dāng)今網(wǎng)絡(luò)面臨的最嚴(yán)峻的威脅之一,研究防御DDoS攻擊的技術(shù)非常重

要。介紹了DDoS攻擊原理和方法,并深入總結(jié)了當(dāng)前DDoS攻擊的防范技術(shù)。

關(guān)鍵詞DDoS;防御體系;檢測方法

中圖分類號TP393.08文獻標(biāo)識碼A文章編號 1007-5739(2009)08-0259-01

隨著網(wǎng)絡(luò)的廣泛應(yīng)用和多種DDoS黑客工具的不斷發(fā)布,分布式拒絕服務(wù)攻擊(Distributed Denial ofService,簡稱DDoS)實施越來越容易,給網(wǎng)站造成了巨大的經(jīng)濟損失。對于用戶來說,要想正常開展業(yè)務(wù),使網(wǎng)絡(luò)不受DDoS攻擊的影響,就必須采取有效措施,確保網(wǎng)絡(luò)的連續(xù)性和可用性。

1DDoS攻擊原理及特點

DDoS的前身是DoS(Denial of Service,拒絕服務(wù))。所謂DoS攻擊,是指在一段時間內(nèi)向被攻擊的目標(biāo)主機或其他網(wǎng)絡(luò)設(shè)備發(fā)送大量的服務(wù)請求,耗盡其系統(tǒng)資源而造成服務(wù)器響應(yīng)阻塞,從而使其無法提供其他正常服務(wù)。而DDoS攻擊,則是一種基于DoS分布式的協(xié)作的大規(guī)模攻擊方式。攻擊者首先滲透到無保護的主機(包括主控機和傀儡機)中,進而植入攻擊程序。發(fā)動攻擊時,攻擊者向主控機發(fā)出攻擊指令,由主控機向傀儡機發(fā)布攻擊命令,傀儡機上的攻擊程序從休眠狀態(tài)啟動,開始向受害者發(fā)送特殊的數(shù)據(jù)分組,這些分組不能被受害者正常處理,從而浪費了受害者大量的系統(tǒng)資源,嚴(yán)重威脅到網(wǎng)絡(luò)安全。

2DDoS攻擊檢測方法

從基于目標(biāo)系統(tǒng)的防護策略來看,可以在網(wǎng)絡(luò)上設(shè)置網(wǎng)絡(luò)狀態(tài)監(jiān)測器,用于監(jiān)測網(wǎng)絡(luò)的異常流量。從基于攻擊源防護策略的角度來看,就是在網(wǎng)絡(luò)出口設(shè)置數(shù)據(jù)包監(jiān)測器,用于發(fā)現(xiàn)非法的數(shù)據(jù)包。

(1)流量攻擊。主要是針對網(wǎng)絡(luò)帶寬的攻擊,即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞,合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達主機?？赏ㄟ^Ping命令來檢測網(wǎng)站是否遭受了流量攻擊。若發(fā)現(xiàn)Ping超時或丟包嚴(yán)重,則可能遭受了流量攻擊,此時若和主機接在同一交換機上的服務(wù)器也無法訪問,基本可以確定是遭受了流量攻擊。測試的前提是計算機到服務(wù)器主機之間的ICMP協(xié)議沒有被路由器和防火墻等設(shè)備屏蔽,否則可采取Telnet主機服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來測試,效果一樣。如果平時Ping主機服務(wù)器和接在同一交換機上的主機服務(wù)器都是正常的,突然Ping不通或者是嚴(yán)重丟包,假如可以排除網(wǎng)絡(luò)故障因素,則肯定是遭受了流量攻擊。流量攻擊另一個典型特點是,一旦遭受流量攻擊,遠程終端連接網(wǎng)站服務(wù)器會失敗。

(2)資源耗盡攻擊。主要是針對服務(wù)器主機的攻擊,即通過大量攻擊包導(dǎo)致主機的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。如果發(fā)現(xiàn)網(wǎng)站訪問突然非常緩慢或無法訪問,而還可以Ping通,則很可能遭受了資源耗盡攻擊,此時若在服務(wù)器上用Netstat-na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)存在,而ESTABLISHED很少,則可判定是遭受資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是,Ping網(wǎng)站主機Ping不通或者是丟包嚴(yán)重,而Ping與主機在同一交換機上的服務(wù)器則正常,造成這種現(xiàn)象的原因是網(wǎng)站主機遭受攻擊后導(dǎo)致系統(tǒng)內(nèi)核或某些應(yīng)用程序CPU利用率達到100%無法回應(yīng)Ping命令,其實還有帶寬,否則Ping不通接在同一交換機上的主機。

3DDoS攻擊防護體系

由于DDoS被攻擊者很難區(qū)分惡意請求和正常連接請求,無法有效分離出攻擊數(shù)據(jù)包,所以目前還沒有很好的辦法來解決拒絕服務(wù)攻擊問題。但通過一些技術(shù)手段,采取防范措施,可最大限度地減少DDoS攻擊帶來的危害。

(1)定期掃描。定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點,清查可能存在的安全漏洞,對新出現(xiàn)的漏洞及時進行清理。

(2)配置防火墻。防火墻本身能抵御DDoS攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時候,可以將攻擊導(dǎo)向一些犧牲主機,這樣可以保護真正的主機不被攻擊。

(3)過濾不必要的服務(wù)和端口。可以使用Inexpress、Ex-press、Forwarding等工具來過濾不必要的服務(wù)和端口,即在路由器上過濾假IP。

(4)檢查訪問者的來源。通過反向路由器查詢的方法檢查訪問者的IP地址是否是真的,如果是假的,它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶,很難查出它來自何處。因此,利用Unicast Reverse Path Forwarding可減少假IP地址的出現(xiàn),有助于提高網(wǎng)絡(luò)安全性。

(5)限制SYN/ICMP流量。用戶應(yīng)在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬,這樣,當(dāng)出現(xiàn)大量的超過所限定的SYN/ICMP流量時,說明不是正常的網(wǎng)絡(luò)訪問,而是有黑客入侵。

4結(jié)語

隨著系統(tǒng)的更新?lián)Q代,新的系統(tǒng)漏洞不斷出現(xiàn),DDoS的攻擊技巧也在不斷提高,完全解決DDoS攻擊問題越來越困難。相信通過進一步的探討和研究,人們可以更好地抑制DDoS的危害,而這也正是研究和探討DDoS的意義所在。

5參考文獻

[1] 莊肖斌,蘆康俊,王理,等.一種基于流量統(tǒng)計的DDoS攻擊檢測方法[J].計算機工程,2004,24(22):127-128,183.

[2] 王學(xué)飛.DDoS 攻擊技術(shù)的新發(fā)展和對策[J].計算機應(yīng)用與軟件,2004, 21(5):99-101.