基于DDoS攻擊的防護(hù)體系研究

蓋凌云

摘要分布式拒絕服務(wù)攻擊(DDoS)是當(dāng)今網(wǎng)絡(luò)面臨的最嚴(yán)峻的威脅之一,研究防御DDoS攻擊的技術(shù)非常重

要。介紹了DDoS攻擊原理和方法,并深入總結(jié)了當(dāng)前DDoS攻擊的防范技術(shù)。

關(guān)鍵詞DDoS;防御體系;檢測(cè)方法

中圖分類(lèi)號(hào)TP393.08文獻(xiàn)標(biāo)識(shí)碼A文章編號(hào) 1007-5739(2009)08-0259-01

隨著網(wǎng)絡(luò)的廣泛應(yīng)用和多種DDoS黑客工具的不斷發(fā)布,分布式拒絕服務(wù)攻擊(Distributed Denial ofService,簡(jiǎn)稱(chēng)DDoS)實(shí)施越來(lái)越容易,給網(wǎng)站造成了巨大的經(jīng)濟(jì)損失。對(duì)于用戶來(lái)說(shuō),要想正常開(kāi)展業(yè)務(wù),使網(wǎng)絡(luò)不受DDoS攻擊的影響,就必須采取有效措施,確保網(wǎng)絡(luò)的連續(xù)性和可用性。

1DDoS攻擊原理及特點(diǎn)

DDoS的前身是DoS(Denial of Service,拒絕服務(wù))。所謂DoS攻擊,是指在一段時(shí)間內(nèi)向被攻擊的目標(biāo)主機(jī)或其他網(wǎng)絡(luò)設(shè)備發(fā)送大量的服務(wù)請(qǐng)求,耗盡其系統(tǒng)資源而造成服務(wù)器響應(yīng)阻塞,從而使其無(wú)法提供其他正常服務(wù)。而DDoS攻擊,則是一種基于DoS分布式的協(xié)作的大規(guī)模攻擊方式。攻擊者首先滲透到無(wú)保護(hù)的主機(jī)(包括主控機(jī)和傀儡機(jī))中,進(jìn)而植入攻擊程序。發(fā)動(dòng)攻擊時(shí),攻擊者向主控機(jī)發(fā)出攻擊指令,由主控機(jī)向傀儡機(jī)發(fā)布攻擊命令,傀儡機(jī)上的攻擊程序從休眠狀態(tài)啟動(dòng),開(kāi)始向受害者發(fā)送特殊的數(shù)據(jù)分組,這些分組不能被受害者正常處理,從而浪費(fèi)了受害者大量的系統(tǒng)資源,嚴(yán)重威脅到網(wǎng)絡(luò)安全。

2DDoS攻擊檢測(cè)方法

從基于目標(biāo)系統(tǒng)的防護(hù)策略來(lái)看,可以在網(wǎng)絡(luò)上設(shè)置網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)器,用于監(jiān)測(cè)網(wǎng)絡(luò)的異常流量。從基于攻擊源防護(hù)策略的角度來(lái)看,就是在網(wǎng)絡(luò)出口設(shè)置數(shù)據(jù)包監(jiān)測(cè)器,用于發(fā)現(xiàn)非法的數(shù)據(jù)包。

(1)流量攻擊。主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊,即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞,合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒(méi)而無(wú)法到達(dá)主機(jī)。可通過(guò)Ping命令來(lái)檢測(cè)網(wǎng)站是否遭受了流量攻擊。若發(fā)現(xiàn)Ping超時(shí)或丟包嚴(yán)重,則可能遭受了流量攻擊,此時(shí)若和主機(jī)接在同一交換機(jī)上的服務(wù)器也無(wú)法訪問(wèn),基本可以確定是遭受了流量攻擊。測(cè)試的前提是計(jì)算機(jī)到服務(wù)器主機(jī)之間的ICMP協(xié)議沒(méi)有被路由器和防火墻等設(shè)備屏蔽,否則可采取Telnet主機(jī)服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來(lái)測(cè)試,效果一樣。如果平時(shí)Ping主機(jī)服務(wù)器和接在同一交換機(jī)上的主機(jī)服務(wù)器都是正常的,突然Ping不通或者是嚴(yán)重丟包,假如可以排除網(wǎng)絡(luò)故障因素,則肯定是遭受了流量攻擊。流量攻擊另一個(gè)典型特點(diǎn)是,一旦遭受流量攻擊,遠(yuǎn)程終端連接網(wǎng)站服務(wù)器會(huì)失敗。

(2)資源耗盡攻擊。主要是針對(duì)服務(wù)器主機(jī)的攻擊,即通過(guò)大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無(wú)法提供網(wǎng)絡(luò)服務(wù)。如果發(fā)現(xiàn)網(wǎng)站訪問(wèn)突然非常緩慢或無(wú)法訪問(wèn),而還可以Ping通,則很可能遭受了資源耗盡攻擊,此時(shí)若在服務(wù)器上用Netstat-na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)存在,而ESTABLISHED很少,則可判定是遭受資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是,Ping網(wǎng)站主機(jī)Ping不通或者是丟包嚴(yán)重,而Ping與主機(jī)在同一交換機(jī)上的服務(wù)器則正常,造成這種現(xiàn)象的原因是網(wǎng)站主機(jī)遭受攻擊后導(dǎo)致系統(tǒng)內(nèi)核或某些應(yīng)用程序CPU利用率達(dá)到100%無(wú)法回應(yīng)Ping命令,其實(shí)還有帶寬,否則Ping不通接在同一交換機(jī)上的主機(jī)。

3DDoS攻擊防護(hù)體系

由于DDoS被攻擊者很難區(qū)分惡意請(qǐng)求和正常連接請(qǐng)求,無(wú)法有效分離出攻擊數(shù)據(jù)包,所以目前還沒(méi)有很好的辦法來(lái)解決拒絕服務(wù)攻擊問(wèn)題。但通過(guò)一些技術(shù)手段,采取防范措施,可最大限度地減少DDoS攻擊帶來(lái)的危害。

(1)定期掃描。定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn),清查可能存在的安全漏洞,對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理。

(2)配置防火墻。防火墻本身能抵御DDoS攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時(shí)候,可以將攻擊導(dǎo)向一些犧牲主機(jī),這樣可以保護(hù)真正的主機(jī)不被攻擊。

(3)過(guò)濾不必要的服務(wù)和端口。可以使用Inexpress、Ex-press、Forwarding等工具來(lái)過(guò)濾不必要的服務(wù)和端口,即在路由器上過(guò)濾假I(mǎi)P。

(4)檢查訪問(wèn)者的來(lái)源。通過(guò)反向路由器查詢(xún)的方法檢查訪問(wèn)者的IP地址是否是真的,如果是假的,它將予以屏蔽。許多黑客攻擊常采用假I(mǎi)P地址方式迷惑用戶,很難查出它來(lái)自何處。因此,利用Unicast Reverse Path Forwarding可減少假I(mǎi)P地址的出現(xiàn),有助于提高網(wǎng)絡(luò)安全性。

(5)限制SYN/ICMP流量。用戶應(yīng)在路由器上配置SYN/ICMP的最大流量來(lái)限制SYN/ICMP封包所能占有的最高頻寬,這樣,當(dāng)出現(xiàn)大量的超過(guò)所限定的SYN/ICMP流量時(shí),說(shuō)明不是正常的網(wǎng)絡(luò)訪問(wèn),而是有黑客入侵。

4結(jié)語(yǔ)

隨著系統(tǒng)的更新?lián)Q代,新的系統(tǒng)漏洞不斷出現(xiàn),DDoS的攻擊技巧也在不斷提高,完全解決DDoS攻擊問(wèn)題越來(lái)越困難。相信通過(guò)進(jìn)一步的探討和研究,人們可以更好地抑制DDoS的危害,而這也正是研究和探討DDoS的意義所在。

5參考文獻(xiàn)

[1] 莊肖斌,蘆康俊,王理,等.一種基于流量統(tǒng)計(jì)的DDoS攻擊檢測(cè)方法[J].計(jì)算機(jī)工程,2004,24(22):127-128,183.

[2] 王學(xué)飛.DDoS 攻擊技術(shù)的新發(fā)展和對(duì)策[J].計(jì)算機(jī)應(yīng)用與軟件,2004, 21(5):99-101.