冷 鵬

（武漢商業(yè)服務(wù)學(xué)院，湖北 武漢 430056）

一、背景

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，人們的生活和工作已經(jīng)同它密不可分，人們?cè)谙硎苄畔⒓夹g(shù)所帶來便捷的同時(shí)，也遭受著各類網(wǎng)絡(luò)信息被黑客惡意攻擊、信息被竊取等不同形式的網(wǎng)絡(luò)攻擊，并且這種攻擊變得越來越嚴(yán)重。網(wǎng)絡(luò)上的惡意攻擊實(shí)際上就是尋找一切可能存在的網(wǎng)絡(luò)安全缺陷來達(dá)到對(duì)系統(tǒng)及資源的損害，從而達(dá)到惡意的目的。分布式拒絕服務(wù)攻擊（以下稱DDOS）就是從1996年出現(xiàn)，在中國2002年開始頻繁出現(xiàn)的一種攻擊方式。

分布式拒絕服務(wù)攻擊(DDOS全名是Distributed Denial of service)，DDOS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DOS攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得DOS攻擊的困難程度加大了，目標(biāo)對(duì)惡意攻擊包的"消化能力"加強(qiáng)了不少，例如：你的攻擊軟件每秒鐘可以發(fā)送4000個(gè)攻擊包，但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理20000個(gè)攻擊包，這樣一來攻擊就不會(huì)產(chǎn)生什么效果。

分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器功能，加密技術(shù)及其它類的功能，它能被用于控制任意數(shù)量的遠(yuǎn)程機(jī)器，以產(chǎn)生隨機(jī)匿名的拒絕服務(wù)攻擊和遠(yuǎn)程訪問。為了有效防范網(wǎng)絡(luò)入侵和攻擊，就必須熟悉網(wǎng)絡(luò)入侵和攻擊的手段和原理，在此基礎(chǔ)上才能制定行之有效的防范對(duì)策和防御措施，從而確保網(wǎng)絡(luò)信息的安全。

二、DDOS攻擊的現(xiàn)象及攻擊方式

目前防火墻技術(shù)、性能的提升、計(jì)算機(jī)安全檢測(cè)方式的多樣化、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的不斷優(yōu)化，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性能得到了一定程度的提升。傳統(tǒng)的DOS攻擊已經(jīng)很難起到多大的效果。2011年5月30日，美國政府表示，已經(jīng)向全球最大軍火商洛克希德-馬丁公司(以下簡(jiǎn)稱“洛馬”)提供幫助，克服網(wǎng)絡(luò)攻擊帶來的負(fù)面影響。洛馬5月21日宣布，該公司的計(jì)算機(jī)網(wǎng)絡(luò)持續(xù)遭遇“猛烈攻擊”。美國國土安全部的一名發(fā)言人稱，該部及國防部已經(jīng)了解洛馬遭遇網(wǎng)絡(luò)攻擊，并向該公司提供幫助。網(wǎng)絡(luò)安全使我們每時(shí)每刻都關(guān)心的問題，因?yàn)槲覀兊纳钜呀?jīng)與它有越來越多的交集。

被DDOS攻擊時(shí)的現(xiàn)象是能瞬間造成對(duì)方電腦死機(jī)或者假死，我曾經(jīng)測(cè)試過，攻擊不到1秒鐘，電腦就已經(jīng)死機(jī)和假死，鼠標(biāo)圖標(biāo)不動(dòng)了，系統(tǒng)發(fā)出滴滴滴滴的聲音，主要攻擊方式包括：TCP全連接攻擊、SYN變種攻擊、TCP混亂數(shù)據(jù)包攻擊、針對(duì)用UDP協(xié)議的攻擊、針對(duì)WEBServer的多連接攻擊及變種攻擊、針對(duì)游戲服務(wù)器的攻擊。新型的DDOS攻擊方式大致分為3類：基于堵流量的攻擊方式、基于網(wǎng)站腳本的攻擊方式、另類攻擊方式。為便于說明，以下特別以寄信者（攻擊者）——郵局（硬件防火墻）——收信者（服務(wù)器）作為事例輔助說明。

（一）基于堵流量的攻擊方式

這類攻擊方式傷人先傷己，犧牲自己的帶寬流量去堵別人的帶寬流量，造成他人無法訪問。就好象某個(gè)寄信者通過郵局給你寄了數(shù)量極其龐大的垃圾信件，而收件者的信箱容量是有限的，從而導(dǎo)致收信者的信箱被塞滿，其他的正常信件無法投遞過來。

1.SYN變種攻擊模式

這種攻擊方式發(fā)送偽造源IP的SYN數(shù)據(jù)包，與傳統(tǒng)的SYN攻擊不同的是，它的數(shù)據(jù)包不是過去的六十四字節(jié)，而是多達(dá)上千字節(jié),這樣的攻擊方式會(huì)造成一些防火墻處理錯(cuò)誤進(jìn)而導(dǎo)致鎖死，在消耗掉服務(wù)器CPU和內(nèi)存的同時(shí)還會(huì)阻塞網(wǎng)絡(luò)帶寬。除此之外，還可以通過發(fā)送偽造源IP的TCP數(shù)據(jù)包，并且在TCP頭的TCP標(biāo)志位進(jìn)行隨機(jī)設(shè)置，造成其標(biāo)志位的混亂。而再強(qiáng)大的防火墻的數(shù)據(jù)吞吐量也是有限的，因此在這樣的攻擊方式面前，防火墻常常無計(jì)可施。

2.TCP并發(fā)攻擊模式

每臺(tái)電腦的套接字?jǐn)?shù)量都是有限的，Windows規(guī)定每個(gè)應(yīng)用程序最大使用的套接字?jǐn)?shù)量是1024個(gè)。這種攻擊方式就是利用了Windows的這一特性，在短時(shí)間內(nèi)不斷對(duì)目標(biāo)主機(jī)的特定端口創(chuàng)建TCP連接，消耗其套接字資源，直到其用盡為止。這樣也就導(dǎo)致此端口無法正常提供服務(wù)了。這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計(jì)的，因?yàn)槌Ｒ?guī)的防火墻大多具備如 SYN、UDP、ICMP等傳統(tǒng)的DDOS攻擊的防御過濾功能，但對(duì)于正常的TCP連接是放過的。

3.分布式反射拒絕服務(wù)攻擊（DRDOS）

DRDOS是英文“Distributed Reflection Denialof Servie Attack”的縮寫。根據(jù)TCP三次握手的規(guī)則，一臺(tái)主機(jī)向另外一臺(tái)目標(biāo)主機(jī)發(fā)送了SYN請(qǐng)求后，目標(biāo)主機(jī)會(huì)根據(jù)SYN請(qǐng)求包的源地址發(fā)出SYN+ACK包來響應(yīng)這個(gè)請(qǐng)求。DRDOS就是利用了這個(gè)規(guī)則的缺陷，將請(qǐng)求包的源地址偽造為被害機(jī)器的地址，那么目標(biāo)服務(wù)器就會(huì)將SYN+ACK應(yīng)答包發(fā)往被害機(jī)器。當(dāng)然，以現(xiàn)在的硬件條件，這么點(diǎn)的數(shù)據(jù)包對(duì)于被害主機(jī)的影響微乎其微?？墒牵?dāng)被害者被多個(gè)網(wǎng)絡(luò)核心基礎(chǔ)設(shè)施路由器攻擊，而這些連接又都是完全合法的SYN+ACK連接應(yīng)答包。路由器使用BGP（BGP是中介路由器支持的“邊界網(wǎng)關(guān)協(xié)議”（Border Gateway Protocol）與它們的鄰居進(jìn)行即時(shí)的信息交流來交換它們的路由表，這是為了通知它們彼此路由器可以在哪個(gè)IP范圍內(nèi)進(jìn)行轉(zhuǎn)交。BGP自身規(guī)則本沒有問題，每個(gè)良好連接的中介器都會(huì)接受它們179端口上的連接。也就是說，任何一個(gè)SYN數(shù)據(jù)包到達(dá)一個(gè)網(wǎng)絡(luò)路由器上后，都會(huì)引出一個(gè)該路由的SYN+ACK應(yīng)答包來，從而利用BGP的特性實(shí)現(xiàn)了反射放大，形成洪水攻擊，造成該主機(jī)忙于處理這些回應(yīng)而最終形成拒絕式服務(wù)攻擊。這好比給某人寫信時(shí)，故意將寄信人的地址偽造為目標(biāo)A的地址，而收信人收到信后按照A的地址回信，從而造成目標(biāo)A的信箱被大量的“回信”所阻塞。

4.針對(duì)游戲服務(wù)器的攻擊

網(wǎng)絡(luò)游戲開發(fā)商通常為了吸引游戲玩家而設(shè)計(jì)多種多樣的游戲元素，其協(xié)議設(shè)計(jì)非常復(fù)雜，這便給攻擊者提供了可乘之機(jī)，在提供豐富游戲元素的同時(shí)也給攻擊者提供了多種攻擊手段。當(dāng)前最流行的一種攻擊方式叫做“假人攻擊”，這種攻擊方式是通過技術(shù)手段，完全模擬游戲客戶端的注冊(cè)、登陸、建立人物、進(jìn)入游戲活動(dòng)的整個(gè)過程協(xié)議數(shù)據(jù)，從數(shù)據(jù)協(xié)議層面模擬正常的游戲玩家。此攻擊方式即使是在一臺(tái)奔騰3的機(jī)器上也能輕易地模擬出數(shù)百個(gè)游戲玩家，從而可以利用傀儡主機(jī)在極短時(shí)間內(nèi)制造出大量的虛假玩家來消耗游戲服務(wù)器資源，但這種攻擊方式是很難從游戲數(shù)據(jù)包來分析出哪些是攻擊者哪些是正常玩家，因?yàn)樵诜?wù)端看來，二者的數(shù)據(jù)包是完全一樣的。

（二）基于網(wǎng)站腳本的攻擊方式

基于網(wǎng)站腳本的攻擊方式主要是針對(duì)ASP、PHP、JSP等腳本語言制作，并調(diào)用 ACCESS、MSSQL、MYSQL、ORACLE等數(shù)據(jù)庫的網(wǎng)頁系統(tǒng)設(shè)計(jì)的。相比較于基于堵流量的攻擊方式，此類方式主要是通過發(fā)送網(wǎng)頁請(qǐng)求來消耗服務(wù)器系統(tǒng)資源（CPU、內(nèi)存），形成拒絕式服務(wù)，它是通過自己極少資源的消耗造成對(duì)方較大的資源消耗。

1.CC攻擊

CC攻擊全稱是ChallengeCollapsar(cc拒絕服務(wù)攻擊),CC攻擊的原理是，首先和服務(wù)器建立正常的TCP連接，并通過多臺(tái)主機(jī)（主要是HTTP、SOCKS5代理服務(wù)器）不斷地向數(shù)據(jù)庫提交注冊(cè)、查詢、刷新等消耗資源的命令，且保持連接，使得服務(wù)器無法釋放資源，最終將服務(wù)器的資源消耗掉從而導(dǎo)致拒絕服務(wù)。就象你找寫手不斷地給一個(gè)人寫信，整個(gè)郵局為你一個(gè)人的信件而奔波，無暇顧及其他人的信件，導(dǎo)致對(duì)方無法收到其他人的信件了。這種攻擊和正常訪問網(wǎng)站是一樣的，只是瞬間訪問量增加幾十倍甚至上百倍，有些防火墻可以通過限制每個(gè)連接過來的IP連接數(shù)來防護(hù)，但是這樣會(huì)造成正常用戶稍微多打開幾次網(wǎng)站就會(huì)被防火墻封鎖，而且CC攻擊往往是借助代理服務(wù)器的網(wǎng)頁代理服務(wù)來發(fā)動(dòng)攻擊的，這種封鎖方式意義不大。

2.變異CC攻擊

傳統(tǒng)的CC攻擊并非無懈可擊，它的特征是很明顯的，攻擊是建立在代理資源上，因此有很有針對(duì)性的防御措施。所謂變異CC，核心是在構(gòu)造提交數(shù)據(jù)的時(shí)候把一切可能被服務(wù)器支持的操作都加進(jìn)去，想辦法讓服務(wù)器多耗資源。當(dāng)然，這其中針對(duì)防御設(shè)備的安全策略，可以繼續(xù)進(jìn)行變異。比如不發(fā)送GET請(qǐng)求，而是發(fā)送亂七八糟的字符。這么做是因?yàn)榇蟛糠址阑饓Ψ治龉魯?shù)據(jù)包前三個(gè)字節(jié)是GET字符，然后來進(jìn)行http協(xié)議的分析。這種攻擊不用發(fā)送GET請(qǐng)求就可以繞過防火墻到達(dá)服務(wù)器，且同樣可以消耗大量服務(wù)器資源。

（三）另類攻擊方式

之所以稱此類攻擊方式為“另類”，是因?yàn)樗恍枰笄皟煞N攻擊方式一樣編寫大量復(fù)雜的網(wǎng)絡(luò)協(xié)議代碼，更多是注重攻擊的技巧。它們或許有的算不上DDOS攻擊，但是在以上兩種方式都行不通時(shí)，這些“另類”的攻擊方式或許可以起到意想不到的效果。

1.下載文件：不管是通過FTP方式還是通過HTTP方式下載服務(wù)器文件，特別是大型文件，都會(huì)在一段時(shí)間內(nèi)連續(xù)地產(chǎn)生大量的網(wǎng)絡(luò)流量，且會(huì)消耗大量系統(tǒng)資源。攻擊者可以利用大量傀儡主機(jī)多線程地下載服務(wù)器的某個(gè)大型文件，從流量帶寬和系統(tǒng)資源兩個(gè)方面拖垮服務(wù)器。

2.發(fā)郵件堵郵箱：隨著電子郵件服務(wù)系統(tǒng)的產(chǎn)生和發(fā)展，支持大附件的郵件服務(wù)越來越多的在各類電子郵件服務(wù)商的系統(tǒng)中推廣開來。這也給攻擊者帶來了可乘之機(jī)。在堵流量和消耗系統(tǒng)資源（CPU、內(nèi)存）這兩種攻擊方式都行不通時(shí)，消耗硬盤資源也成了攻擊者新的選擇。攻擊者鎖定目標(biāo)后，只需要利用網(wǎng)上現(xiàn)成的郵件群發(fā)工具，通過簡(jiǎn)單操作就能對(duì)某一個(gè)郵件服務(wù)器可采集到的帳戶進(jìn)行海量郵件發(fā)送，消耗其硬盤資源。雖然現(xiàn)在絕大多數(shù)的郵件服務(wù)器都配置的是大容量硬盤，但是對(duì)于某些小型的服務(wù)器效果還是不錯(cuò)的。

3.攻擊DNS服務(wù)器：在目標(biāo)服務(wù)器的防御措施非常嚴(yán)格時(shí)，攻擊其域名的DNS服務(wù)器也是個(gè)不錯(cuò)的選擇。只要用前面提到的堵流量或者耗資源的方法能令其DNS服務(wù)器拒絕服務(wù)，同樣可以導(dǎo)致訪問其主服務(wù)器的用戶因無法解析其域名而無法訪問網(wǎng)站。

4.盜鏈：網(wǎng)絡(luò)上很多小網(wǎng)站由于其空間資源緊張，為節(jié)約其系統(tǒng)資源，往往采用盜鏈的技術(shù)，盜鏈?zhǔn)侵阜?wù)提供商自己不提供服務(wù)的內(nèi)容，通過技術(shù)手段繞過其它有利益的最終用戶界面(如廣告)，直接在自己的網(wǎng)站上向最終用戶提供其它服務(wù)提供商的服務(wù)內(nèi)容，騙取最終用戶的瀏覽和點(diǎn)擊率。受益者不提供資源或提供很少的資源，而真正的服務(wù)提供商卻得不到任何的收益。網(wǎng)站盜鏈會(huì)大量消耗被盜鏈網(wǎng)站的帶寬，而真正的點(diǎn)擊率也許會(huì)很小，嚴(yán)重?fù)p害了被盜鏈網(wǎng)站的利益。常見的盜鏈有：圖片盜鏈、音頻盜鏈、視頻盜鏈、文件盜鏈。

三、安全策略與防御措施

防御DDOS攻擊是一個(gè)系統(tǒng)工程，單單依靠某種系統(tǒng)軟件來防御DDOS攻擊是不現(xiàn)實(shí)的，在目前的技術(shù)水平下完全杜絕DDOS攻擊是不可能的，通過采取適當(dāng)?shù)姆烙胧┑钟?0%的DDOS攻擊是可以做到的。

（一）把網(wǎng)站做成靜態(tài)頁面

事實(shí)證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高網(wǎng)站的抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)。目前我國的幾家門戶網(wǎng)站如新浪、搜狐、網(wǎng)易等主要都是靜態(tài)頁面。

（二）增加服務(wù)器數(shù)量并采用DNS輪巡或負(fù)載均衡技術(shù)

需購買七層交換機(jī)設(shè)備，從而使得抗DDOS攻擊能力成倍提高，只要投資足夠深入，便可高效防御DDOS攻擊。

（三）在攻擊源頭采取安全策略。

DDOS攻擊的防御必須通過網(wǎng)絡(luò)上各個(gè)團(tuán)體和使用者的共同合作，制定更嚴(yán)格的網(wǎng)絡(luò)標(biāo)準(zhǔn)來解決。每臺(tái)網(wǎng)絡(luò)設(shè)備或主機(jī)都需要隨時(shí)更新其系統(tǒng)漏洞、關(guān)閉不需要的服務(wù)、安裝必要的防毒和防火墻軟件、隨時(shí)注意系統(tǒng)安全，避免被黑客和自動(dòng)化的DDOS程序植入攻擊程序，以免成為黑客攻擊的幫兇。

（四）采取加密技術(shù)

對(duì)于游戲服務(wù)商而言，在游戲通訊協(xié)議上，應(yīng)采用高強(qiáng)度的加密算法，提高認(rèn)證機(jī)制，加大攻擊者的模擬難度。

（五）優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)。

如果你管理的不僅僅是一臺(tái)主機(jī)，而是網(wǎng)絡(luò)，就需要調(diào)整路由表以將拒絕服務(wù)攻擊的影響減到最小。為了防止SYN flood攻擊，應(yīng)設(shè)置TCP偵聽功能。詳細(xì)資料請(qǐng)參閱相關(guān)路由器技術(shù)文檔。另外禁止網(wǎng)絡(luò)不需要使用的UDP和ICMP包通過，尤其是不應(yīng)該允許出站ICMP“不可到達(dá)”消息。

（六）用足夠的機(jī)器承受黑客攻擊

這是一種較為理想的應(yīng)對(duì)策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時(shí)，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時(shí)大多數(shù)設(shè)備處于空閑狀態(tài)，和目前中小企業(yè)網(wǎng)絡(luò)實(shí)際運(yùn)行情況不相符。

四、結(jié)束語

計(jì)算機(jī)網(wǎng)絡(luò)信息安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，防御DDOS網(wǎng)絡(luò)攻擊只是保障網(wǎng)絡(luò)信息安全的一部分。隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速應(yīng)用和普及，網(wǎng)絡(luò)信息安全的不確定因素也越來越多，我們必須綜合考慮各種安全因素，認(rèn)真分析各種可能的入侵和攻擊形式，采取有效的技術(shù)措施，制定合理的網(wǎng)絡(luò)安全策略和配套的管理辦法，防止各種可能的入侵和攻擊行為，避免因入侵和攻擊造成的各種損失。

[1]楊義先，鈕心忻.入侵檢測(cè)理論與技術(shù)[M].北京：高等教育出版社2006.

[2]陳明奇:分布式拒絕服務(wù)攻擊處理實(shí)例分析[J].信息網(wǎng)絡(luò)安全，2007(6).

[3]李建華.黑客攻防技術(shù)與實(shí)踐[M].北京：機(jī)械工業(yè)出版社2009.