DDOS攻擊方式和防護方法的研究

徐 斌

（南京鐵道職業技術學院信息管理中心 江蘇 210015）

0 引言

Incapsula公司今年發表了一篇有關DDoS（分布式拒絕服務）攻擊的趨勢分析文章，稱2014年DDoS攻擊正呈現出更大、更快、更強、更聰明的趨勢。他們發現，2014年以來DDoS攻擊呈現出了快速飆升的勢頭，與去年同期相比，今年的 DDoS攻擊行為增加了240%。

1 當前DDOS的現狀

現階段的DDOS攻擊呈現出了下面兩個特點：

（1）攻擊活躍。結合各方統計數據可以看出，現階段的DDOS攻擊活動還處在一個高發期，無論是在持續增長的大小、速度、持續時間和復雜性上，都有了比較明顯的增長。一方面，低技術門檻的特點使得DDOS攻擊變成了一種簡單高效、極易實施的行為；另一方面，大量的缺乏安全措施的終端/服務器，也為DDOS的攻擊提供了數量可觀的僵尸資源，使得發動攻擊成為可能。

（2）攻擊目標對象清晰，攻擊目的明確。數據中心一直是DDoS攻擊的重災區。在數據中心，排名前三的被攻擊業務分別為電子商務、在線游戲、DNS服務。尤其是針對DNS服務的攻擊影響面最廣，對互聯網基礎架構所造成的威脅也最嚴重。政治上的惡意動機、對手之間的惡意競爭、敲詐勒索等經濟犯罪，是黑客發起DDOS的主要目的。

2 DDOS的主要攻擊方式分析

2.1 大流量沖擊型

大流量攻擊一方面使得基礎網絡的出口擁塞、帶寬被占滿，正常的業務流量無法得到帶寬保證，另一方面基礎網絡的安全設備、服務器主機等設備也因為過量的負載導致CPU繁忙甚至掛死，整個網絡可能癱瘓并無法繼續對外提供服務，主要的攻擊形式如下所述。

2.1.1 以SYN Flood為代表的有狀態協議報文攻擊

SYN Flood攻擊是目前使用最為廣泛的攻擊方式，它充分利用了TCP協議三次握手機制的特點，偽造大量的源IP和端口的SYN報文，在向服務器端發送第一個SYN報文后，不再繼續發送后續響應報文，導致服務器端在發送SYN+ACK的響應報文后，因為收不到響應報文而長時間的保持TCP連接，最終導致服務器因為存在大量的半連接而資源耗盡而造成拒絕服務，通過對僵尸網絡大量“肉雞”主機的控制很容易形成大規模的SYN Flood攻擊。

除了傳統的SYN報文攻擊之外，攻擊者還可以在這個基礎上進行變形形成新的類似攻擊，例如使用ACK報文進行Flood攻擊、構造超長字節數目的攻擊報文、修改TCP頭的TCP標志位使得協議狀態機混亂的攻擊、短時間內大量建立完整TCP連接使得應用程序的TCP并發連接數達到極限值從而造成拒絕服務，這是目前使用比較多的攻擊方式

2.1.2 以UDP/ICMP Flood為代表的無狀態協議報文攻擊

基于UDP協議的DDOS比較簡單易行。黑客只需要偽造大量IP地址和小字節的UDP報文，針對特定的應用服務器及其端口號，連續大量發包沖擊諸如DNS域名解析服務器、Radius認證服務器及流媒體視頻服務器等。這些攻擊報文將導致目標服務器始終處在繁忙狀態，從而影響正常UDP消息的處理。其他諸如ICMP Flood攻擊，其原理也和UDP比較類似。

2.2 應用層資源消耗型

應用層攻擊不是依靠超大規模的流量取勝，其主要是通過模擬用戶發送請求，對特定的應用或服務的資源進行消耗占用，利用較小的流量攻擊就可以耗盡應用層資源并拒絕提供服務，這其中以HTTP GET和DNS Query為典型代表。

2.2.1 HTTP GET攻擊

作為CC（Challenge Collapsar）攻擊的一種主要表現形式，HTTP GET的攻擊目前比較流行。攻擊者可能通過單主機構造多個IP地址或者通過控制的大量的僵尸主機，在和服務器建立正常的 TCP連接，之后不斷的向目標服務器特定頁面發起HTTP GET請求來達到拒絕服務攻擊的目的.

2.2.2 DNS查詢的泛洪攻擊

黑客通過利用僵尸網絡（或模擬大量 IP地址）基于真實DNS協議發起大量DNS Query域名查詢請求，導致DNS服務器資源被大量消耗，網絡帶寬被占用耗盡，使得無法傳送正常DNS查詢請求；或者發送大量非法域名查詢報文引起DNS服務器持續進行迭代查詢，從而達到用小流量實現攻擊的效果，比如5.19安全事件，暴風影音的DNS攻擊事件。

3 DDOS攻擊的主要防護方式分析

考慮到DDOS攻擊的多樣性，現階段沒有辦法完全杜絕這種攻擊行為的發生，但是我們可以做到減少被DDOS攻擊，在遭受DDOS攻擊之后快速恢復業務。接下來將從四個方面進行分析。

3.1 網絡安全管理員通過合理的配置實現攻擊預防

在運維管理過程中，網絡安全管理員除了調整 WEB服務器負載，做好業務之間的冗余備份和負載均衡外，還可以關注以下幾個方面的配置調整，以減少被攻擊的風險。

確保所有服務器采用最新系統，并打上安全補丁，避免服務器本身的安全漏洞被黑客控制和利用。同時關閉不需要使用的服務和端口，禁止使用網絡訪問程序如Telnet、FTP、Rlogin等，必要的話使用類似SSH等加密訪問程序，避免這些端口被攻擊者利用。

建設完整的安全日志跟蹤系統，在網絡的邊緣出口運行端口映射程序或端口掃描程序，實時監控網絡中可能存在的惡意端口掃描等行為，同時對網絡設備、主機/服務器系統的日志進行收集分析，及時發現可能存在異常的日志行為并進行排查。

3.2 利用防火墻等設備實現DDOS攻擊檢測

目前的狀態檢測防火墻等安全設備都具備一定的安全攻擊檢測能力，一般其情況下基于對協議報文的狀態跟蹤，可以準確發現一些畸形TCP協議報文的攻擊。除此之外，現階段的典型攻擊檢測方式還有以下幾種。

使能TCP Proxy連接代理技術。防火墻產品可以利用TCP Proxy代理功能，實現對攻擊報文的準確識別。通過這種代理技術可以準確的識別基于 TCP連接狀態的攻擊報文，如針對SYN Flood攻擊，TCP半連接狀態攻擊等。

智能會話管理技術。TCP連接并發的攻擊，因為其本身有完整的TCP 三次握手，因此常規的TCP 代理技術并不能有效檢測。為了避免這種情況，防火墻產品可以在TCP代理的基礎上進一步改進，在TCP連接建立后，防火墻會主動檢測該TCP連接的流量大小，如果設備存在大量的沒有流量的空連接，則設備會主動將該TCP連接進行老化，避免這些空連接占用耗盡服務器的會話資源。

HTTP兩次重定向技術。在接受到HTTP Get請求之前，安全設備會與客戶端瀏覽器進行虛擬連接，待瀏覽器發送 HTTP Get報文請求后，將所要GET的URL進行重定向發向該瀏覽器，等待瀏覽器發起對該重定向鏈接的訪問。如果瀏覽器再次發起該請求，則將該客戶端加入到信任的IP列表，并再次重定向到瀏覽器所要請求的正確 URL，后續可以根據該 IP地址黑白名單信譽列表轉發。

3.3 基于流量模型自學習的攻擊檢測方法

對于部分缺乏狀態的協議報文攻擊，因攻擊報文屬于正常報文，很難以通用的檢測技術判斷是否是攻擊報文，此時可以通過流量自學習模型可以較好的解決這個問題。

在用戶的自定義學習周期中，系統將獲取用戶在這個時間段內的流量分布情況，形成包含L4-L7層信息的流量模型。其參數包括但不限于：帶寬占用情況、L4層協議端口的流量分布統計、應用層協議的種類及帶寬分布、TCP報文帶寬速率、會話連接數目及每秒新建速率參數、ICMP/UDP報文的速率、HTTP協議的帶寬大小等，然后形成符合用戶流量實際的比對模型，并作為后續判斷網絡中是否存在異常流量的標準。流量模型確立后，系統可以實時監控網絡的流量并與模型進行比對，一旦超出模型標準一定的比例將被定義為異常流量，此時系統將生成動態過濾規則對網絡流量進行過濾和驗證，如驗證源IP地址的合法性、對異常的流量進行丟棄，從而實現對DDOS攻擊的防御。

3.4 基于云計算服務實現DDOS攻擊防護

在實際的DDOS攻擊防護過程中，面對萬兆以上超大規模的攻擊流量，攻擊對象的出口帶寬可能被完全擁塞，此時企業內部的DDOS檢測和防護措施已經無法解決問題，租用高性能的運營商的云計算DDOS服務成為現實的選擇。云計算服務商的主要優勢是其超高的攻擊檢測性能和城域網內部就地清除攻擊報文的能力。另外除了上述提到的一些攻擊檢測方式外，云計算服務商還可以充分利用云安全檢測機制來識別攻擊。比較典型的有基于IP信譽和惡意URL地址庫的識別機制。對于惡意的IP地址和和惡意 URL鏈接訪問流量直接攔截丟棄，最大限度提升防護效率。

利用云計算服務商實現DDOS攻擊防護的工作流程如下：首先，通過引流技術將需要分析攻擊的用戶流量引導到DDOS攻擊檢測平臺，再綜合利用檢測平臺的各種技術最終實現對用戶流量的攻擊檢測；其次，當攻擊檢測平臺探測到疑似異常攻擊流量后，將用戶的疑似攻擊流量自動牽引到服務商的流量清洗中心進行惡意流量清除；最后，攻擊清除后的合法流量回注到原有網絡，并上報清洗日志到業務管理中心生成各種攻擊報告，以便提供給云計算DDOS服務的租戶審計。

4 結束語

互聯網業務和云計算的發展熱潮，將會導致針對云數據中心的DDoS攻擊頻率大幅增長，攻擊手段也會更加復雜；同時隨著全球LTE建設步伐的加快，移動網絡帶寬迅速提升，移動智能終端和應用的不斷豐富，黑客將會在移動互聯網嗅到更多的利益引誘，并可能開始嘗試發起DDOS攻擊；運營商和云計算服務商需要更多的關注DDOS的攻擊危害，綜合多種安全防護手段，并通過云計算服務DDOS服務租用的方式進行布局。

[1]王雪玉.新一波DDOS來襲.金融科技時代，2013.3.

[2]余雙成.DDoS攻擊檢測技術研究.北京郵電大學碩士論文，2013.

[3]Mims，Christopher.The Huge DDoS Attack That's Clogging Up the Whole Internet--Right.Now National Journal，2013.