DOS與DDOS攻擊與防范措施

摘 要：在網(wǎng)絡(luò)技術(shù)用語(yǔ)中，攻擊是指對(duì)目標(biāo)進(jìn)行破壞或使其停止服務(wù)的惡劣的行為，其中DOS和DDOS是兩種最遭人唾棄的攻擊手段。這種暴力的、純惡意的攻擊行為在中國(guó)存在了十多年，一直都沒(méi)能很好的遏制這種行為。本文對(duì)DOS和DDOS的攻擊手段和典型的攻擊案例進(jìn)行了剖析，并提出了幾點(diǎn)參考意見(jiàn)，希望能對(duì)制止這種行為進(jìn)獻(xiàn)綿薄之力。

關(guān)鍵詞：DOS；DDOS；攻防措施

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712 （2014） 16-0000-01

Denial of service 簡(jiǎn)稱(chēng)DOS，是一種簡(jiǎn)單有效的拒絕服務(wù)的攻擊模式，可以讓目標(biāo)服務(wù)器中止對(duì)用戶的服務(wù)。DDOS是DOS攻擊的晉級(jí)模式，在DOS采用單一機(jī)器進(jìn)行攻擊的基礎(chǔ)上，DDOS可以采用單臺(tái)機(jī)器來(lái)控制數(shù)目眾多的機(jī)器來(lái)對(duì)目標(biāo)實(shí)施攻擊。

一、DOS和DDOS攻擊的危害

IP地址管理協(xié)議DHCP的出現(xiàn)為人們的上網(wǎng)提供了很大的便利，但也因?yàn)槠渲械腡CP/IP協(xié)議的弱點(diǎn)，經(jīng)常被一些別有用心的人加以利用，進(jìn)行破壞DHCP服務(wù)器的行為。這種行為中危害最深的就是早先的DOS以及發(fā)展到后來(lái)的DDOS攻擊手段。這兩種手段都是想服務(wù)器發(fā)送大量discover信息，占用大量的寬帶資源并嚴(yán)重拖慢服務(wù)器的運(yùn)行甚至造成系統(tǒng)癱瘓。DDOS的危害性更大，因?yàn)檫@種攻擊模式可以聯(lián)合多臺(tái)計(jì)算機(jī)的力量進(jìn)行協(xié)作攻擊，能在一瞬間攻陷服務(wù)器，停止其正常服務(wù)，給用戶帶來(lái)巨大的經(jīng)濟(jì)損失。

在以往帶寬較小的情況下，黑客在進(jìn)行攻擊的時(shí)候還有一定的局限性，之恩能夠聯(lián)合目標(biāo)服務(wù)器附近的肉雞對(duì)服務(wù)器發(fā)動(dòng)DDOS攻擊，但現(xiàn)在帶寬都在2G甚至更快，這使攻擊者在選擇傀儡機(jī)進(jìn)行攻擊的時(shí)候更加靈活，分布更廣泛，這也使得預(yù)防DDOS攻擊變得更加艱難。

二、DOS和DDOS典型的攻擊類(lèi)型

（一）死亡之ping——The ping of death

這使DOS攻擊最典型的一個(gè)例子，利用對(duì)微軟命令行中的ping也就是ICMP的更改，使其變成服務(wù)器無(wú)法讀取的畸形的ping包，這種ping包的大小與TCP/IP協(xié)議規(guī)定的64k不同，超出了系統(tǒng)認(rèn)知的上限，擾亂正常的內(nèi)存分配，繼而導(dǎo)致協(xié)議棧崩潰，將目標(biāo)與服務(wù)器隔絕開(kāi)來(lái)。

（二）UDP洪水——UDP flood

UDP洪水，最初是專(zhuān)門(mén)針對(duì)UNIX類(lèi)型服務(wù)器的攻擊手段，攻擊者通過(guò)偽造虛假信息，使主機(jī)chargen服務(wù)與另一臺(tái)主機(jī)的echo服務(wù)相連，這就會(huì)使兩者之間來(lái)回傳送無(wú)用數(shù)據(jù)，當(dāng)兩臺(tái)主機(jī)之間的數(shù)據(jù)流累積到一定程度，就會(huì)使網(wǎng)絡(luò)可用寬帶癱瘓。

（三）SYN洪水——SYN flood

這種攻擊方式主要是擾亂用戶正常的TCP連接，通過(guò)信息的偽造使服務(wù)器接收不到用戶的ASK回饋，這樣雙放就都處于等待狀態(tài)，直到響應(yīng)停止。這種攻擊會(huì)導(dǎo)致服務(wù)器儲(chǔ)存大量的虛假信息而無(wú)法向用戶提供正常的網(wǎng)絡(luò)服務(wù)。

（四）經(jīng)升級(jí)和變化的SYN/ACK flood攻擊

這是在傳動(dòng)DOS攻擊模式上進(jìn)行的改進(jìn)，屬于DDOS攻擊方法。這種方法可以通過(guò)龐大的肉雞群，或者說(shuō)僵尸網(wǎng)絡(luò)對(duì)服務(wù)器進(jìn)行攻擊，攻擊的威力相較于DOS呈數(shù)倍的提升，而且對(duì)各種網(wǎng)絡(luò)服務(wù)都能構(gòu)成威脅，是現(xiàn)在依然流行的攻擊模式之一。

（五）TCP全連接攻擊

這使在防火墻出現(xiàn)后的新的攻擊模式。這種攻擊模式能利用正常的TCP連接繞過(guò)防火墻的存在，利用防火墻允許正常連接的方式建立大量的可用TCP連接以拖慢網(wǎng)站訪問(wèn)或者使服務(wù)器中斷服務(wù)。

（六）穿過(guò)專(zhuān)業(yè)的抗DDOS防火墻的攻擊

這使最專(zhuān)業(yè)的攻擊模式之一，到目前為止，這種技術(shù)只有少數(shù)幾個(gè)人才了解。由于這種攻擊模式無(wú)視防火墻的存在，可以利用防火墻自身的弱點(diǎn)采取攻擊手段，這種攻擊方法一旦流出，將會(huì)對(duì)網(wǎng)絡(luò)安全形成巨大的沖擊。

三、如何防范DOS/DDOS的攻擊

人們?cè)诶肨CP/IP協(xié)議進(jìn)行網(wǎng)絡(luò)連接時(shí)，就已經(jīng)承擔(dān)著協(xié)議自身缺陷可能帶來(lái)的攻擊威脅。但我們很容易發(fā)現(xiàn)，不管是DOS攻擊還是DDOS攻擊，其攻擊的手段并不是十分復(fù)雜，一是通過(guò)大量的虛假信息致使服務(wù)器癱瘓，另一種就是利用龐大的、無(wú)用的數(shù)據(jù)交流占用帶寬，影響用戶網(wǎng)絡(luò)的正常使用。這種利用網(wǎng)絡(luò)協(xié)議缺陷進(jìn)行的DOS或DDOS短時(shí)間內(nèi)根本無(wú)法消除，我們只能通過(guò)加強(qiáng)防范的手段盡量減少此類(lèi)攻擊發(fā)生的概率，現(xiàn)在主要的防范措施主要有以下幾種

（一）網(wǎng)絡(luò)入侵檢測(cè)工具的使用

我們可以通過(guò)防火墻和入侵檢測(cè)系統(tǒng)（IDS）的聯(lián)合使用，通過(guò)防火墻將入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)的異常數(shù)據(jù)或鏈接攔截，盡量減少DOS和DDOS的攻擊。IDS的存在彌補(bǔ)的防火墻無(wú)法及時(shí)監(jiān)測(cè)病毒入侵的缺陷，可以協(xié)助防火墻進(jìn)行病毒的監(jiān)測(cè)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)系統(tǒng)的安全。到今天為止，已經(jīng)有兩者結(jié)合的產(chǎn)物“入侵防御系統(tǒng)”產(chǎn)生，這種系統(tǒng)不僅有IDS的監(jiān)視功能，還能將發(fā)現(xiàn)的威脅及時(shí)的攔截，阻止攻擊行為的發(fā)展。這將是未來(lái)安全系統(tǒng)架構(gòu)的一種主要方式。

（二）路由器防御

對(duì)于DOS和DDOS的攻擊，可以通過(guò)路由器中的QoS設(shè)置和訪問(wèn)控制有效的減少攻擊的頻率。首先來(lái)說(shuō)，我們可以開(kāi)啟路由器的RPF反向轉(zhuǎn)發(fā)機(jī)制，有效的減少源IP地址是不可達(dá)IP的數(shù)據(jù)的轉(zhuǎn)發(fā)，也就是DOS的攻擊。其次，可以通過(guò)帶寬控制將大量傳輸數(shù)據(jù)的可疑數(shù)據(jù)流限速，保證整個(gè)網(wǎng)絡(luò)的暢通。最后，可疑通過(guò)對(duì)非法IP的過(guò)濾，使內(nèi)部IP才能正常通過(guò)路由進(jìn)行數(shù)據(jù)的交換。

（三）提高全民的網(wǎng)絡(luò)安全意識(shí)

如果我們?cè)谏暇W(wǎng)時(shí)都能了解DOS或DDOS的攻擊手段并定期檢查網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，加上現(xiàn)在的安全軟件一般具有較好的防御機(jī)制，我們只要確保每臺(tái)計(jì)算機(jī)都能安裝相應(yīng)的防御機(jī)制，在全民聯(lián)防的情況下一定能將DOS/DDOS的攻擊頻率和危害降到最低。另外，隨著網(wǎng)絡(luò)安全防護(hù)軟件的發(fā)展，已經(jīng)有連接監(jiān)控和同步網(wǎng)關(guān)兩種專(zhuān)門(mén)的DDOS防火墻，能對(duì)此類(lèi)攻擊起到很好的防御作用。

四、結(jié)束語(yǔ)

DOS/DDOS的攻擊原理十分簡(jiǎn)單，但對(duì)其進(jìn)行防范和追蹤卻很難做到。這種常見(jiàn)的攻擊方式一直威脅著我們的網(wǎng)絡(luò)安全。為了凈化我們的網(wǎng)絡(luò)環(huán)境，我們?cè)趯?duì)DOS/DDOS的攻擊手段進(jìn)行了介紹后，通過(guò)對(duì)攻擊手段的詳細(xì)分析，提出了幾點(diǎn)可行的防范措施，但防范措施是否能真正起到作用還需要廣大網(wǎng)民的大力支持。只有建立完整的網(wǎng)絡(luò)安全體系，才能將攻擊攔截并消滅。另外，我們還應(yīng)不斷完善DHCP協(xié)議，盡量填補(bǔ)協(xié)議的缺陷和漏洞，將DOS/DDOS攻擊扼殺在搖籃之中。

參考文獻(xiàn)：

[1]肖霞.談DoS拒絕服務(wù)攻擊原理及防御[J].電大理工，2008（03）.