淺析DDoS攻擊及其防護手段

陳 明 張曉勇

（河北省張家口卷煙廠有限責任公司信息中心 河北 075000）

0 前言

互聯網以驚人的速度改變著人們的生活方式和工作效率，給社會、企業、個人帶來了便利，但由于互聯網的開放性和匿名性特性不可避免的存在信息系統安全隱患。近年來黑客行為的不斷增多，攻擊成本的降低，越來越多的企業網站開始受到黑客的攻擊。以我公司為例，2012年10月19日20時，公司運維管理系統發出網絡故障告警，提示網絡管理員，互聯網絡防火墻出現故障，互聯網絡服務無法運行。網絡管理員對防火墻設備進行重點排查，從防火墻日志中看到有大量地址對公司公網地址進行DDoS攻擊。網絡管理員啟動應急方案，用備用公網地址在防火墻進行替換，并恢復線路連接，互聯網絡恢復正常。

1 DDoS攻擊的定義和原理

DDoS（Distributed Denial of Service）又稱“分布式拒絕服務”，是指導致合法用戶不能正常訪問網絡服務的行為。拒絕服務攻擊的最終目的就是阻止合法用戶對正常網絡資源進行訪問，從而實現攻擊者的目標。DDoS攻擊手段是在傳統的DOS攻擊基礎之上產生的一類攻擊方式。DDoS的原理是通過使網絡過載來干擾甚至阻斷正常的網絡通訊。它利用更多的傀儡機來發起進攻，以更大的規模來進攻受害者。

2 DDoS攻擊的表現形式和主要攻擊類型

2.1 DDoS攻擊主要有兩種表現形式

（1）流量攻擊，即利用大量攻擊包導致網絡帶寬被阻塞，而合法網絡包卻被虛假的攻擊包淹沒無法到達主機。這種攻擊主要是針對網絡帶寬的攻擊；（2）資源耗盡攻擊，即利用大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完，造成無法提供網絡服務，這種攻擊主要是針對服務器主機的攻擊。

2.2 DDoS攻擊主要攻擊類型

2.2.1 SYN/ACK Flood攻擊

是通過向受害主機發送大量偽造源IP和源端口的SYN或ACK包，導致主機的緩存資源被耗盡或忙于發送回應包而造成拒絕服務。由于源都是偽造的故追蹤起來比較困難。少量的這種攻擊會導致主機服務器無法訪問，但卻可以Ping的通，在服務器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，并會出現系統凝固現象。這種攻擊方法是最有效的DDoS方法，普通防火墻大多無法抵御此種攻擊。

2.2.2 TCP全連接攻擊

是通過許多僵尸主機不斷地與被攻擊的服務器建立大量的TCP連接，直到服務器的內存等資源被耗盡，從而導致拒絕服務。一般情況下，常規防火墻大多具備過濾DOS攻擊的能力，對于正常的TCP連接是放過的。但是，很多網絡服務程序能接受的TCP連接數是有限的。即便是大量正常的TCP連接，也會導致網站訪問非常緩慢甚至無法訪問。這種攻擊是為了繞過常規防火墻的檢查而設計的。

2.2.3 刷Script腳本攻擊

是針對存在JSP、ASP、CGI等腳本程序，并調用MSSQL Server、Oracle等數據庫的網站系統來設計的，它通過和服務器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用。這種攻擊是典型的以小博大的攻擊方法。

3 DDoS攻擊的防護手段

由于DDoS攻擊的惡劣性，難以被偵測和控制，來勢迅猛又令人難以防備，單一的網絡設備對攻擊也不具備明顯的防御效果，我們采用組合的策略盡量減少攻擊帶來的危害，常見的防護手段有如下幾種：

3.1 手工防護

一般而言手工方式防護DDoS主要通過兩種形式：

1）系統優化——主要通過優化被攻擊系統的核心參數，提高系統本身對DDoS攻擊的響應能力。但是這種做法只能針對小規模的DDoS進行防護。

2）網絡追查——遭受DDoS攻擊的系統的管理人員一般第一反應是詢問上一級網絡運營商，這有可能是ISP、IDC等，目的就是為了弄清楚攻擊源頭。

3.2 采用高性能的網絡設備

首先，盡量選用知名度高、口碑好的路由器、交換機和硬件防火墻等設備，避免網絡設備成為瓶頸。其次，盡量和網絡提供商建立特殊關系或協議，當大量攻擊發生的時候，向提供商申請在網絡接點處進行流量限制來對抗某些種類的DDoS攻擊。

3.3 充足的網絡帶寬保證

網絡帶寬直接決定了能抗受攻擊的能力。目前，至少要選擇100M的共享帶寬，并且要掛在1000M的主干上了。我們需要弄清楚的是，主機上的網卡是1000M的并不代表它的網絡帶寬就是千兆的，如果把它接在100M的交換機上，那么它的實際帶寬不會超過100M，即使是接在100M的帶寬上也不等于就能擁有百兆的帶寬，因為網絡服務商可以在交換機上限制實際帶寬為10M。

3.4 升級主機服務器硬件

在網絡帶寬保證的前提下，盡量提升硬件配置。為了能有效對抗每秒10萬個SYN攻擊包，服務器的配置至少應該為：P4 2.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內存，內存一定要選擇DDR的高速內存；硬盤要盡量選擇SCSI的；網卡一定要選用3COM或Intel等這些名牌的產品。

3.5 增強操作系統的TCP/IP棧

Win2000和Win2003作為服務器操作系統，本身就具備一定的抵抗DDoS攻擊的能力，在開啟的狀態下可抵擋約10000個SYN攻擊包，默認狀態下沒有開啟僅能抵御數百個。

3.6 安裝專業抗DDoS防火墻

一般的防火墻對抗單一類型的syn，udp，icmp dos效果很好，但是當多種混合時效果就略差。

總之，信息安全問題涉及到國家安全和社會公共安全。隨著計算機技術和通信技術的發展，計算機網絡已經滲透到社會生活的各個領域，成為信息交換的重要手段。近幾年由于寬帶的普及，很多非法網站利潤巨大，同行之間互相攻擊，甚至有一部分人利用網絡攻擊來敲詐錢財。我們要充分認識網絡的脆弱性和潛在威脅，積極采取有力的安全策略，對于保障網絡的安全非常重要。