網絡中分布式拒絕服務攻擊的防范

徐　亮

[摘要]DDos（Distributed Denial of Service）即分布式拒絕服務攻擊，攻擊者在Client（客戶端）操縱攻擊過程。每個Handler（主控端）是一臺已被入侵并運行了特定程序的系統(tǒng)主機。每個主控端主機能夠控制多個Agent（代理端）。每個代理端也是臺已被入侵并運行另一種特定程序的系統(tǒng)主機。每個響應攻擊命令的代理端會向被攻擊目標主機發(fā)送拒絕服務攻擊數(shù)據包。對這種攻擊的防范措施進行研究。

[關鍵詞]分布式拒絕服務攻擊 防范 措施

中圖分類號：TP3 文獻標識碼：A 文章編號：1671－7597（2009）0720055－01

前些年，Yhaoo等一些大型商業(yè)站點所遭受的分布式拒絕服務攻擊，是繼Internet蠕蟲之后最引人注目的網絡攻擊事件。其攻擊強度和范圍之廣令人震驚，更讓人擔憂。與以前所有的攻擊不同，受攻擊者無法通過改善其防范措施來有效抵御這類攻擊。這次事件充分證明了新式攻擊工具的威力，也給我們帶來新的啟示，網絡時代的安全需要廣泛的相互支持和合作。無論你的系統(tǒng)如何健壯、資源如何充足，攻擊者總是能通過分布式拒絕服務攻擊網絡把許多零散、微不足道的資源組織起來，會聚成十倍甚至百倍于你的資源。如果你的系統(tǒng)每秒鐘可以處理10000個請求，攻擊者可以通過分布式拒絕服務攻擊網絡調用100臺每秒發(fā)送200個請求的攻擊代理來淹沒你的系統(tǒng)。

一、分布式拒絕服務攻擊

攻擊代理程序在接收到攻擊主管程序發(fā)送來的攻擊命令后，將對其提供的攻擊目標、攻擊時間長度以及攻擊方法發(fā)起攻擊。Trinoo的攻擊幽靈程序使用UDt洪潮的方法攻擊日標；而TNF和Stacheldraht都可以選用UDt洪潮、TCP同步洪潮、CIMP_ECHO請求洪潮、Smurfmg這4種方法中的一種或多種，并且這4種攻擊方法將與源IP地址相結合，這一方面使攻擊難以跟蹤，另一方面使目標收到的數(shù)據包更類似于正常情況。

分布式拒絕服務攻擊的安裝過程包括一系列非常隱蔽的入侵攻擊。通常的做法是攻擊者首先在某個具有高速的Internet連接，且用戶多而管理松散的主機上盜用N個帳戶，用以存放預先編譯好的掃描工具入侵工具，Root Kit（用以隱藏入侵蹤跡的工具）、Sniffer監(jiān)聽工具、分布式拒絕服務攻擊的主管和代理程序，以及已經在控制之中的Internet主機（俘虜主機）的IP列表和具有可利用安全漏洞的主機（以下稱脆弱主機）的1P列表，預先編譯好的腳本程序能根據IP列表在俘虜主機或脆弱主機上安裝分布式拒絕服務攻擊的主管程序，安裝完畢，則通過預先定義的端口自動建立與被盜用帳戶所在主機的連接，或者向某個指定的免費Web MaR帳戶發(fā)送電子郵件以確認安裝成功。接著，攻擊者根據攻擊主管節(jié)點和俘虜主機、脆弱主機的分布情況，設計分布式拒絕服務攻擊網絡的分布圖。編制腳本程序上載到被盜帳戶中，該腳本程序將自動在入侵者指定的俘虜主機上安裝攻擊代理程序，攻擊者在每個攻擊主管節(jié)點上維護一份由該主管程序控制的攻擊代理節(jié)點的1P列表。

在目前發(fā)現(xiàn)的分布式拒絕服務攻擊網絡中，攻擊代理程序的自動安裝程序會在系統(tǒng)的定時一程序表中增加一條記錄，設定攻擊代理程序每分鐘啟動一次，在Stacheldraht中攻擊代理程序甚至可以按照攻擊主管程序的指令，到某個指定的地方獲取新的版本，進行自我升級。

二、抵御攻擊的措施

方法：1．緊密跟蹤安全動態(tài)：這是一條普遍適用的原則。在技術飛速發(fā)展的今天，隨時了解有關的安全動態(tài)更顯必要。隨時一掌握最新安全信息有三個主要目的：（1）是了解、掌握最新的安全保護技術、工具；（2）是了解新出現(xiàn)的安全漏洞或攻擊方法，以及新的攻擊工具的特點；（3）是根據對當前安全動態(tài)和自身網絡、系統(tǒng)特點的綜合分析，采取必要的措施增進網絡、系統(tǒng)的安，包括及時安裝必要的補丁程序，修訂原有的安全策略，引進必要的安全工具等等。

2．簡單的服務，嚴格的訪問控制：這條原則的指導思想來源于越單一越安全。在網絡邊緣，即連接（不僅是物理還包括邏輯連接）內部網絡與外部網絡的節(jié)點處，這個原則尤其重要。簡單的服務指僅提供必需的服務/功能，功能齊全是爭取用戶的一項重要措施，許多工具、「產品的缺省安裝都提供了名目繁多的功能。這些功能在方便用戶的同時，也可能給攻擊者帶來了更多入侵的機會。

嚴格的訪問控制策略：指除非被明確允許，否則一律拒絕。這要依靠路由器等網絡設備和防火墻、甚至是自主開發(fā)的一些安全工具來輔助實現(xiàn)。網絡通訊是通過交換數(shù)據包實現(xiàn)的，所以應嚴格限制數(shù)據包的類型除非在被明確允許的數(shù)據包類型之列，否則不允許進/出本網。這兩項措施相配合，可以降低主機系統(tǒng)、網絡系統(tǒng)的復雜程度，減小遭受未知模式攻擊的可能性，可以減輕日常管理的工作量（比如需要審計的日志減少，系統(tǒng)配置時只需考慮為數(shù)不多的幾類服務的特殊要求等等），而且一旦出現(xiàn)意外事件，實時搜查的范圍小，便于迅速找到事情起因。

如果系統(tǒng)管理員可以在本地對網絡設備進行配置管理，就應關閉其遠程管理功能，以免入侵者利用其中某個還未公開的漏洞使你的系統(tǒng)成為他的俘虜：如果沒有特殊的需要，可設置路山器使之阻隔來自外界的直接廣播使之不響應發(fā)往廣播地址的PING包，這可以使你的網絡避免成為Smurf攻擊的中轉網絡；使路由器僅允許源于內部的IP包向外發(fā)出，可以防止本網段的IP地址欺騙；嚴格配置的防火墻可限制外部網絡對內部主機、端口的訪問，記錄各種對系統(tǒng)的越權訪問請求。這樣的系統(tǒng)，能把入侵者的端口掃描拒之門外，即使網絡中己經存在Satcheldrhat的攻擊主管節(jié)點，攻擊控制臺也無法通過16660端口與其取得聯(lián)系。

3．定期對系統(tǒng)進行安全檢查：一般的系統(tǒng)日志僅提供有限的信息，所以，除了常規(guī)的日志審查之外，有必要定期對系統(tǒng)進行安全檢查。安全檢查的目的至少有兩個：其一及時發(fā)現(xiàn)系統(tǒng)的安全缺陷，這些缺陷可能是新發(fā)現(xiàn)的，或者是由于系統(tǒng)配置改變引起的，或者是對系統(tǒng)的使用不當引起的；其二及時發(fā)現(xiàn)入侵的蹤跡。

有兩類工具值得推薦：一類是入侵檢測工具，它能夠實時檢測入侵蹤跡。通常也具有漏洞檢測工具的功能，即通過模擬入侵行為，幫助管理員了解系統(tǒng)的安全漏洞所在；另一類是文件系統(tǒng)完整性檢查工具，典型的有Tripe Wire，它通過記錄、比較文件或目錄的MDS等多種難以仿冒的簽名等信息，幫助管理員迅速發(fā)現(xiàn)被非法篡改的重要文件。需要提醒的是，對于記錄文件/目錄完好狀態(tài)信息的簽名文件，應該妥善保存，比如把它存放在一次性可寫的CDROM上，以防被篡改。

參考文獻：

[1]鄭顯舉、張敏、徐琳、龔茗茗，DDoS攻擊原理及防御[J]成都電子機械高等?？茖W校學報，2007，（02）.

[2]張胡，校園網DDoS攻擊防御平臺建設方案研究[J]電腦知識與技術，2008，（33）.