如何在企業中應對DDoS攻擊

張靜靜　中國電信股份有限公司江西分公司高級技術經理

產品與技術方案

如何在企業中應對DDoS攻擊

張靜靜中國電信股份有限公司江西分公司高級技術經理

隨著Internet互聯網絡帶寬的增加和多種DDoS工具的不斷發布，DDoS拒絕服務攻擊的實施越來越容易，DDoS攻擊隨處可見，業界為克服DDoS攻擊進行了大量研究，提出了多種解決方案。

DDoS拒絕服務 網絡攻擊

1　DDoS攻擊的發展

隨著Internet互聯網絡帶寬的增加和多種DDoS工具的不斷發布，DDoS拒絕服務攻擊的實施越來越容易，DDoS攻擊事件正在呈上升趨勢。出于商業競爭、打擊報復和網絡敲詐等多種因素，導致很多IDC托管機房、商業站點、游戲服務器、聊天網絡等網絡服務商長期以來一直被DDoS攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業損失等一系列問題。因此，解決DDoS攻擊問題成為網絡服務商必須要考慮的頭等大事。

分布式拒絕服務攻擊DDoS是搞信息安全的人都非常頭疼的問題。本文系統分析了DDoS攻擊的原理和攻擊思路，從管理和技術兩個方面提出一些關于減少DDoS攻擊方法。

在探討DDoS之前首先要對DoS有所了解，DoS即DenialOfService，拒絕服務的縮寫。DoS是指故意的攻擊網絡協議實現的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源，目的是讓目標計算機或網絡無法提供正常的服務或資源訪問，使目標系統服務系統停止響應甚至崩潰，而在此攻擊中并不包括侵入目標服務器或目標網絡設備。通常而言，DoS的網絡數據包是利用TCP/IP協議在Internet傳輸，這些數據包本身一般是無害的，但是如果數據包異常過多，就會造成網絡設備或者服務器過載，迅速消耗了系統資源，造成服務拒絕，這就是DoS攻擊的基本工作原理。

2　研究背景

DoS攻擊之所以難于防護，其關鍵之處就在于非法流量和合法流量相互混雜，防護過程中無法有效地檢測到DoS攻擊。加之許多DoS攻擊都采用了偽造源地址IP的技術，從而成功地躲避了基于統計模式工具的識別（見圖1）。

（1）從攻擊者和攻擊方式分析

●利用被攻擊目標的漏洞，以比較技術化的方式讓被攻擊目標不能提供服務。比如，將目標服務器中的一個應用系統服務進程搞宕。

●以分布式的僵尸網絡為攻擊源，對于目標系統發起沒有針對性的攻擊。比如，一個大范圍的分布式僵尸網發起一個Ping或者TCP半連接攻擊，造成目標系統的系統資源耗盡。

●以分布式的僵尸網絡為攻擊源，實現用錄制、腳本等方式模擬出一個非常真實的訪問過程，然后讓這個大規模僵尸網絡同時向目標系統發起請求。

（2）站在被攻擊目標之前進行保護

如果針對這些拒絕服務攻擊，第一種方式已經和一般性攻擊的防護方式相同的。一般來說，用IDS、IPS 和UTM等安全設備是可以基本解決這第一種問題的。是否有效，就是看你能不能識別出這種攻擊的特征，并且有針對性地阻斷和處理。現在來說，這類的拒絕服務攻擊已經不是大家最最頭疼的問題了。

對于第二種攻擊方式。已經比第一種攻擊方式要難一些。但是，畢竟攻擊流還是有特征可以總結出來的。判斷至少有兩個：其一是有攻擊特征；其二是大量的數據流沒有業務意義。那么，經過流量過濾和清洗就可以將這些惡意流分離出來。IPS系統或者IPS系統陣列，配合導流等機制可以在一定程度上解決這個問題。

圖1　在被攻擊目標之前進行保護

但是，如果攻擊流沒有特征，而且還和目標系統的業務有關聯，這個時候就難于將攻擊流和正常訪問流量區別開。這個時候，系統拒絕服務完全是由于資源耗盡導致的，可能是主機資源耗盡，可能是帶寬資源耗盡。那么站在目標系統主機之前進行防護幾乎是不能產生效果的。那么怎么辦呢？

（3）擋在被攻擊目標前面的區域性防護

面對大規模分布式拒絕服務攻擊，在目標系統緊跟前難于有效地抵御攻擊，防御體系常常被性能壓力打垮。所以，要降低單點的性能壓力，就有必要將防御機制前移。那么我們可能就有必要將防護區域拓展到目標系統更前面的縱深網絡中。

對于第二種形態的分布式拒絕服務攻擊，可以在前端的縱深網絡地區，增加檢測和過濾機制。只要能夠在之前了解攻擊流的部分特征，那么在前端的縱深區域較早地進行清洗。當然，這時解決攻擊問題的難點就是如何能夠檢測清楚哪些是攻擊流。

（4）針對攻擊源的反制

對于第一種和第二種形態的拒絕服務攻擊，可以在采用有效的檢測機制支持下，在防御體系中加以一定程度的防范。但是，對于第三種攻擊，就基本上無法在防御方有所作為了。

現在的方式僅僅防御地區前移已經無效了。那么，唯一的方式就是既前移防御區域，也要前移應對時間。也就是在攻擊尚未發生的時候，就對于攻擊主體的僵尸網絡和僵尸網絡后面的幕后操縱者進行檢測并處理。從原理上說，如果有足夠的檢測覆蓋度，發現在覆蓋范圍內的僵尸網絡并不是技術上的難點。也就是說，如果一個負責任的網絡，是比較容易做到自己不成為僵尸網絡的。所以，這個問題主要就變成了一個公共安全機制和法律依據問題了。

（5）通過調整被攻擊目標的服務模式來規避

分布式拒絕服務攻擊的原理，就是因為攻擊者掌握著一個非常大的僵尸網絡資源。這個僵尸網絡的資源規模與被攻擊目標的服務能力不能匹配。也就是由于出現N對“1”的關系，使得在“1”的位置會非常被動。那么，也許我們可以將這個1拆分開，這樣可以分解整個目標服務體系的壓力。例如，CDN內容分布式網絡（ContentDistributedNetwork），用分布式的服務來對抗分布式拒絕服務。

3　應對DDoS攻擊的技術實踐

到目前為止，進行DDoS攻擊的防御還是比較困難的，主要是由于這種攻擊的特點是它利用了TCP/IP協議的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻擊。不過這不等于就沒有辦法阻擋DDoS攻擊，可以從管理和技術兩個方面減少DDoS的攻擊。

對于普通用戶，要加強每個網絡用戶的安全意識，安裝殺毒軟件，并保持病毒庫及時更新，安裝軟件或者硬件防火墻，不從不名網站下載軟件，不訪問一些不名網站，不打開不名郵件，盡量避免黑客入侵種值木馬最終成為“肉雞”。

對于國家層面，需要國家立法單位，對網絡犯罪進行立法，對傳播病毒，木馬，和進行黑客攻擊的行為進行定性，并有法可依，保障國家信息高速網絡平臺的安全，為國內信息化建設保駕護航。對我們的一些網絡運營平臺用戶，如經營性網站、門戶網站、網上交易平臺、網絡游戲提供商、網吧、VoIP提供商等，也要加強網絡出口的防護，發現和舉證攻擊行為，做好日志記錄，并利用硬件防護設備，最大程度地減少黑客攻擊的危害，保障經營性平臺的正常運行。

在技術的手段上，還應加強以下幾點：

（1）確保服務器的系統文件是最新的版本，并及時更新系統補丁。

（2）關閉不必要的服務。

（3）限制同時打開的SYN半連接數目。

（4）縮短SYN半連接的TimeOut時間。

（5）正確設置防火墻。

禁止對主機的非開放服務的訪問，限制特定IP地址的訪問，啟用防火墻的防DDoS的屬性，或者使用專用的抗DDoS設備。嚴格限制對外開放的服務器的向外訪問，運行端口映射程序禍端口掃描程序，要認真檢查特權端口和非特權端口。

（6）認真檢查網絡設備和主機/服務器系統的日志。只要日志出現漏洞或是時間變更，那這臺機器就可能遭到了攻擊。

（7）限制在防火墻外與網絡文件共享。這樣會給黑客截取系統文件的機會，主機的信息暴露給黑客，無疑是給了對方入侵的機會。

（8）路由器，以Cisco路由器為例，Cisco Express Forwarding（CEF），使用UnicastReverse-path，訪問控制列表（ACL）過濾，設置SYN數據包流量速率，升級版本過低的ISO，為路由器建立logServer。我們的運營商有義務在網絡平臺升級和建設的過程中，有效在各個節點抵御黑客惡意攻擊的行為，以凈化我們的網絡。不光僅僅是只加強可以看到效益的終端平臺，如IDC機房的抗DDoS防護，而是應該在網絡的各個節點都加強防護，在接入端進行DDoS防護和源地址檢測，使得黑客的主機或者占領的“肉雞”，無法拉起大量帶寬，有效記錄各種用戶（特別是網吧用戶）的網絡行為，建立電子檔案，以協助公安部門對網絡犯罪進行調查，為指證犯罪提供證據。

4　結束語

對DDoS的原理與應付方法的研究一直在進行中，找到一個既有效又切實可行的方案不是一朝一夕的事情，因此此時需要我們公安、運營商、網絡安全廠商、網絡的用戶，在意識到網絡攻擊問題的嚴重性前提下，多方配合，共同加強網絡平臺安全性的建設性，凈化我們的網絡，不給黑客以生存的攻擊，保障我們十幾年來信息網絡平臺建設的成果，為我國的經濟建設提供堅固安全的網絡信息化平臺。減少企業因為信息泄露而導致的損失。

1 鮑旭華，洪海，曹志華.破壞之王:DDoS攻擊與防范深度剖析.機械工業出版社

2 魏興國.云盾防DDoS文獻之敵情篇——DDoS攻擊原理

3 防DDoS文獻之敵情篇.DDoS攻擊原理

4 防DDoS文獻之應對篇.DDoS防御方案

5 淺談DDoS攻擊與防御

Howto Deal withDDoSAttack in the Enterprise

With the Internet bandwidth increase and a variety of DDoS tools are continuously being released， DDoS attack is implemented more and more easily， DDoS attack prevails everywhere， in order to overcome DDoS attack， the industry carrys out a largenumberof research， and put forward a variety of solutions.

DDoS，denialofservice，networkattack