DDOS攻擊手段及其防護(hù)研究

摘 要：互聯(lián)網(wǎng)在現(xiàn)在得到了廣泛的使用，在使用互聯(lián)網(wǎng)的時(shí)候，安全是非常重要的。互聯(lián)網(wǎng)在使用的時(shí)候經(jīng)常會(huì)出現(xiàn)很多的安全問題，其中分布式拒絕服務(wù)攻擊就是非常嚴(yán)重的攻擊。為了更好的保證互聯(lián)網(wǎng)的使用安全，對(duì)分布式拒絕服務(wù)進(jìn)行攻擊原理的分析，對(duì)攻擊的手段進(jìn)行分析，進(jìn)而找到可行的檢測(cè)方法和防御的方法。檢測(cè)方法和防御方式的找出可以更好的避免攻擊帶來的危害，保護(hù)互聯(lián)網(wǎng)的安全。

關(guān)鍵詞：分布式拒絕服務(wù)攻擊；攻擊手段；防護(hù)措施

分布式拒絕服務(wù)攻擊主要是對(duì)攻擊目標(biāo)進(jìn)行攻擊使其計(jì)算機(jī)或者是網(wǎng)絡(luò)無法正常使用。分布式拒絕服務(wù)攻擊在攻擊的時(shí)候主要是對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)帶寬和連通性進(jìn)行攻擊，在攻擊的時(shí)候經(jīng)常會(huì)利用TCP三次握手出現(xiàn)的缺陷，利用出現(xiàn)的缺陷對(duì)服務(wù)器進(jìn)行虛假地址請(qǐng)求的發(fā)送，使服務(wù)器在回傳信息的時(shí)候出現(xiàn)過程時(shí)間的等待，使得系統(tǒng)在資源上無法進(jìn)行釋放，進(jìn)而導(dǎo)致網(wǎng)絡(luò)資源和操作系統(tǒng)在資源上出現(xiàn)匱乏的情況，最終導(dǎo)致用戶無法進(jìn)行操作，計(jì)算機(jī)出現(xiàn)癱瘓的情況。

1 DDOS攻擊的檢測(cè)

進(jìn)行分布式拒絕服務(wù)攻擊一定要有攻擊的工具，現(xiàn)在主要的攻擊工具有Trinoo，TFN及其改進(jìn)版本TFN2K，Stacheldraht，Trinity以及Shaft。這些攻擊工具在進(jìn)行攻擊的時(shí)候都是存在著一個(gè)共同點(diǎn)的，就是在進(jìn)行攻擊的時(shí)候都要進(jìn)行遠(yuǎn)程控制，通過對(duì)遠(yuǎn)程控制程序進(jìn)行控制，對(duì)多臺(tái)計(jì)算機(jī)進(jìn)行攻擊，在攻擊之前一定要確保要進(jìn)行攻擊的目標(biāo)已經(jīng)被代理程序控制，只有這樣才能更好的進(jìn)行攻擊。分布式拒絕服務(wù)攻擊在攻擊方法是主要是利用TCP/IP上出現(xiàn)的漏洞，這些漏洞的出現(xiàn)會(huì)使得大數(shù)據(jù)的數(shù)據(jù)包和TCP連接很容易被控制，出現(xiàn)的漏洞會(huì)導(dǎo)致系統(tǒng)在性能方面出現(xiàn)很多的問題，情況嚴(yán)重的時(shí)候非常容易導(dǎo)致系統(tǒng)癱瘓。分布式拒絕服務(wù)在進(jìn)行攻擊的時(shí)候，攻擊工具都是有其特定的通信方式的，這樣可以通過監(jiān)視的端口對(duì)其使用情況進(jìn)行了解，然后進(jìn)行更加有效的檢測(cè)。建立對(duì)分布式拒絕服務(wù)攻擊工具的監(jiān)測(cè)是網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)的重要組成部分，分布式攻擊工具通常會(huì)產(chǎn)生兩種網(wǎng)絡(luò)通訊信息，對(duì)網(wǎng)絡(luò)中出現(xiàn)的異常情況進(jìn)行監(jiān)測(cè)，可以更好的找出應(yīng)急措施。

攻擊者在進(jìn)行分布式拒絕服務(wù)攻擊以前要對(duì)主攻擊目標(biāo)的IP地址進(jìn)行必要的分析，因此就會(huì)使得服務(wù)器收到大量的反向解析的查詢請(qǐng)求。正是因?yàn)橐馕瞿繕?biāo)的主機(jī)名，因此每臺(tái)受到攻擊的服務(wù)器在攻擊之前一定要進(jìn)行必要的查尋，這樣就可以利用域名服務(wù)器對(duì)記錄進(jìn)行分析。在遭受到分布式拒絕服務(wù)攻擊以后會(huì)出現(xiàn)網(wǎng)絡(luò)工作時(shí)間過長(zhǎng)的情況，或者是出現(xiàn)通訊流量過大的情況。計(jì)算機(jī)在使用的時(shí)候如果出現(xiàn)極限流量的情況，就說明這臺(tái)計(jì)算機(jī)已經(jīng)受到了攻擊，因此在攻擊檢測(cè)的時(shí)候可以對(duì)通訊的極限進(jìn)行檢測(cè)。分布式拒絕服務(wù)在進(jìn)行攻擊的時(shí)候非常容易出現(xiàn)大的數(shù)據(jù)包，這些大的數(shù)據(jù)包的出現(xiàn)會(huì)導(dǎo)致計(jì)算機(jī)的處理無法正常進(jìn)行，使得計(jì)算機(jī)出現(xiàn)癱瘓的情況。分布式拒絕服務(wù)在攻擊的時(shí)候，會(huì)偽造虛假的地址，在進(jìn)行檢測(cè)的時(shí)候如果可以捕獲到?jīng)]有經(jīng)過偽造的信息，就可以對(duì)分布式拒絕服務(wù)攻擊的服務(wù)器位置進(jìn)行掌握，這樣就可以避免更大危害的發(fā)生。隱蔽的分布式拒絕服務(wù)攻擊工具在進(jìn)行攻擊的時(shí)候會(huì)使用多種通訊協(xié)議，而且這些協(xié)議在進(jìn)行數(shù)據(jù)發(fā)送的時(shí)候通常都是使用的TCP協(xié)議，這樣即使使用了防火墻來對(duì)數(shù)據(jù)包進(jìn)行隔離也是無法起到任何效果的。數(shù)據(jù)段內(nèi)容只包含文字和數(shù)字字符的數(shù)據(jù)包。這往往是數(shù)據(jù)經(jīng)過BASE64編碼后而只會(huì)含有BASE64字符集字符的特征。TFN2K發(fā)送的控制信息數(shù)據(jù)包就是這種類型的數(shù)據(jù)包。TFN、TFN2K等的特征模式是在數(shù)據(jù)段中有一串A字符（AAA…），這是經(jīng)過調(diào)整數(shù)據(jù)段大小和加密算法后的結(jié)果。數(shù)據(jù)段內(nèi)容只包含二進(jìn)制和high-bit字符的數(shù)據(jù)包。雖然此時(shí)可能在傳輸二進(jìn)制文件，但如果這些數(shù)據(jù)包不屬于正常有效的通訊時(shí)，可以懷疑正在傳輸?shù)氖菦]有被BASE64編碼但經(jīng)過加密的控制信息通訊數(shù)據(jù)包。

2 分布式拒絕服務(wù)攻擊的解決方案

分布式拒絕服務(wù)攻擊是一種多層次的，而且是通過正常請(qǐng)求渠道來實(shí)施攻擊的方法，這樣就使得這種攻擊在發(fā)生的時(shí)候很難進(jìn)行跟蹤和防范，但是在技術(shù)上也還是存在著解決的可能性的。在攻擊解決方案上采取對(duì)攻擊地址的連接請(qǐng)求進(jìn)行截?cái)嗟姆椒ú⒉皇鞘值目煽浚芏嗟墓粽咴谶M(jìn)行攻擊的時(shí)候會(huì)假冒合法的用戶，將所有的連接進(jìn)行截?cái)嗾脮?huì)使拒絕服務(wù)的目的達(dá)到。分布式拒絕服務(wù)在攻擊的時(shí)候非常的簡(jiǎn)單，而且很容易進(jìn)行實(shí)施，同時(shí)在追蹤上是非常困難的，在解決方式上不能依賴已有的產(chǎn)品，要進(jìn)行新產(chǎn)品和技術(shù)的開發(fā)。可以從網(wǎng)絡(luò)服務(wù)和數(shù)據(jù)交換技術(shù)方面出發(fā)，對(duì)網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)，對(duì)比特流的方向、大小、速度和變化率進(jìn)行監(jiān)測(cè)，然后對(duì)監(jiān)測(cè)到的數(shù)據(jù)進(jìn)行分析，同時(shí)對(duì)相應(yīng)的協(xié)議進(jìn)行分析，對(duì)正常的網(wǎng)絡(luò)流量情況進(jìn)行掌握，這樣就能更好的提高設(shè)備的性能，使得分布式攻擊得到及時(shí)的發(fā)現(xiàn)，同時(shí)不會(huì)影響系統(tǒng)的正常連接，這是對(duì)攻擊進(jìn)行預(yù)警非常有效的方式。

系統(tǒng)串接在網(wǎng)絡(luò)邊界最前端，將TCP的三次握手過程移植到設(shè)備中，通過端口數(shù)據(jù)接收器流入網(wǎng)絡(luò)數(shù)據(jù)包，核心算法引擎和流量控制器將正常流量與攻擊流量或可疑流量區(qū)分開來，讓正常流量通過而阻止攻擊流量，監(jiān)視可疑流量。為了保證對(duì)流量的準(zhǔn)確區(qū)分以及高效的抗DDOS攻擊性能，系統(tǒng)采取了如下的技術(shù)和措施：用專用的ASIC架構(gòu)，以ASIC的高性能芯片技術(shù)應(yīng)對(duì)DDOS攻擊，提高系統(tǒng)對(duì)流量的識(shí)別與響應(yīng)效率。核心算法基于專用的ASIC架構(gòu)匯編實(shí)現(xiàn)，對(duì)標(biāo)準(zhǔn)TCP狀態(tài)進(jìn)行了精簡(jiǎn)和優(yōu)化，提高對(duì)“三次握手”的響應(yīng)，效率遠(yuǎn)高于目前流行的SYN Cookie和Random Drop等算法。系統(tǒng)提供完全解包方式與網(wǎng)絡(luò)三層解包方式。在完全解包方式下實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的完全監(jiān)控；在網(wǎng)絡(luò)流量壓力過大時(shí)，網(wǎng)絡(luò)三層解包方式可以提高系統(tǒng)響應(yīng)的性能。系統(tǒng)采用多引擎的策略以防止連接耗盡，增強(qiáng)對(duì)資源比拼型攻擊的防護(hù)能力。數(shù)據(jù)進(jìn)入系統(tǒng)控制單元后，與協(xié)議分析器中建立的典型網(wǎng)絡(luò)訪問閾值、規(guī)則進(jìn)行比對(duì)，同時(shí)與特征模式庫(kù)中的攻擊特征進(jìn)行匹配，通過核心算法引擎對(duì)網(wǎng)絡(luò)數(shù)據(jù)報(bào)文進(jìn)行概率統(tǒng)計(jì)，準(zhǔn)確地區(qū)分出惡意報(bào)文和正常訪問數(shù)據(jù)報(bào)文，結(jié)果傳遞到流量控制器實(shí)現(xiàn)數(shù)據(jù)流量的準(zhǔn)確區(qū)分。另外，流量控制器可以與節(jié)點(diǎn)路由器的路由控制策略以及防火墻的安全控制策略互動(dòng)，增強(qiáng)對(duì)部分異常數(shù)據(jù)流的控制，跟蹤入侵主機(jī)以及發(fā)出警報(bào)以采取應(yīng)急措施，同時(shí)系統(tǒng)建立審計(jì)日志。系統(tǒng)控制單元采用神經(jīng)元網(wǎng)絡(luò)對(duì)采集信息進(jìn)行統(tǒng)計(jì)分析和特征匹配，同時(shí)具備自學(xué)習(xí)功能的更新規(guī)則庫(kù)以及特征模型，能及時(shí)更新DDOS攻擊模式的最新特征動(dòng)態(tài)。同時(shí)系統(tǒng)采取無IP地址策略實(shí)現(xiàn)網(wǎng)絡(luò)隱身，極大增強(qiáng)系統(tǒng)自身安全。系統(tǒng)除對(duì)流入節(jié)點(diǎn)的數(shù)據(jù)進(jìn)行檢測(cè)外，同時(shí)對(duì)節(jié)點(diǎn)內(nèi)主機(jī)流出的數(shù)據(jù)實(shí)施檢測(cè)，以防止節(jié)點(diǎn)內(nèi)主機(jī)成為DDOS攻擊系統(tǒng)結(jié)構(gòu)中的主控端和代理端，從而更大可能地防止DDOS攻擊的發(fā)生。DDOS攻擊預(yù)警及入侵防御系統(tǒng)的實(shí)現(xiàn)關(guān)鍵在于準(zhǔn)確區(qū)分正確流量和有效提高DDOS效率，因此，高效的算法以及高性能芯片技術(shù)將是成功的關(guān)鍵。

3 結(jié)束語

分布式拒絕服務(wù)攻擊是一種破壞力很大的攻擊方法，這種攻擊在進(jìn)行攻擊的時(shí)候可以對(duì)多臺(tái)計(jì)算機(jī)進(jìn)行攻擊，為了更好的保證網(wǎng)絡(luò)的安全使用，對(duì)這種攻擊方式進(jìn)行檢測(cè)和預(yù)防都是非常必要的，對(duì)攻擊的方式和原理進(jìn)行分析，一定可以找到防范的措施。

參考文獻(xiàn)

[1]陳波.分布式拒絕服務(wù)攻擊研究[J].計(jì)算機(jī)工程，2002，6（6）：63-65.