DDOS攻擊原理及對策研究

周麗麗，韋曉麟

（廣西理工職業技術學校，廣西南寧，530033）

DDOS攻擊原理及對策研究

周麗麗，韋曉麟

（廣西理工職業技術學校，廣西南寧，530033）

本文主要介紹了DDOS的攻擊原理及特點，并分析了攻擊中常用的攻擊工具。在防御DDOS方面，本文按照防御階段進行了探討，在平時如何預防DDOS的攻擊，減少攻擊成功的概率，而當發生這種攻擊時如何應對，減少攻擊造成的損失。

DDOS攻擊；防御對策；信息安全

0 引言

DDOS攻擊是一種破壞力極強的攻擊方式，并且防御起來較難。這種攻擊方式主要是利用Internet自身存在的設計缺陷、系統安全漏洞以及系統資源的有限性來進行。由于DDOS攻擊方式是在源代碼開放的條件下進行開發與改進的，這樣黑客就不需要知道它的技術細節，因此它的使用更加容易，門檻也較低。但這并不代表我們對這種攻擊束手無策，目前關于防御DDOS攻擊的對策研究也有很多，下面將詳細進行介紹。

1 DDOS的攻擊原理及分類

1.1 DDOS的攻擊原理

在介紹DDOS攻擊原理之前，首先了解DOS攻擊的概念。DOS攻擊，即拒絕服務，出現于1983年，它首先向服務器發送的請求，這些請求都是偽造的虛假地址，在服務器接受請求后，等待回傳信息，由于地址是虛假的，那么就不會有回傳信息回饋給服務器，這些請求占用的空間就無法得到釋放。在請求超時后，服務器的連接會被切斷。那么攻擊者會再次發送一批新的請求，占用消耗服務器的資源，使得用戶無法進行正常的服務訪問。由于攻擊者單一以及服務器資源和寬帶的增大，這種攻擊方式的破壞力有限。而在DDOS攻擊，即分布式拒絕服務，作為一種特殊的DOS攻擊模式，能夠通過利用一些傀儡計算機，操控大量的攻擊機群，進行大規模的攻擊。這種攻擊模式下，再多的資源也無法抵擋，最終被消耗殆盡，影響用戶的正常使用服務器。

在DDOS攻擊中，為了提高攻擊的有效性，攻擊者首先會對目標進行前期的基本調查，了解攻擊目標的一些信息，包括目標的主機數量、地址、網絡寬帶以及基本的配置性能等。在得到這些信息后，攻擊者對于攻擊力度就有了一定的了解。接著，攻擊者便會尋找一定數量的傀儡機，構建攻擊網絡組織。由于現在電腦安裝的軟件五花八門，這些軟件如果存在漏洞，很容易被攻擊者利用。在尋找傀儡機的時候，攻擊者一般是利用掃描，找到一些容易攻破的主機，攻破占領這些主機，并安裝后門，實現占用傀儡機的目的。為了利用傀儡機進行攻擊，攻擊者還會在傀儡機上安裝攻擊軟件，這樣攻擊者便可以向傀儡機發送攻擊方法、攻擊周期等內容。在以上工作完成中，攻擊者通過操控傀儡機，向受害者的發送攻擊數據包，占領受害者的服務器資源，影響主機或者網絡的正常使用。

1.2 DDOS攻擊工具

在進行DDOS攻擊時，一些黑客主要是通過安裝一些黑客程序來完成攻擊，常用的攻擊工具有：Trinoo，TFN，Stacheldraht等，這些攻擊工具還可以進行融合與發展，產生新的攻擊工具。

Trinoo是最早的攻擊工具之一，它支持TCP、UDP等通信協議。Trinoo的攻擊原理是：向受害者的任意端口發送大量的UDP報文，這些UDP報文的長度常常是固定的，這種攻擊還能夠支持偽造源IP。

TFN攻擊工具相比于Trinoo，它的攻擊類型更加廣泛。在TFN的基礎上，還衍生出了TFN2K。它的網絡通訊均是加密的，攻擊移植容易，這些嚴重降低了系統的防御效率。

Stacheldraht吸收了上述攻擊工具的優點，它不僅攻擊類型廣，還能夠自動更新攻擊腳本。這種自動更新腳本的能力使得防御變得更加困難。

1.3 DDOS攻擊的特點

通過以上DDOS攻擊原理和工具的分析，可以看出DDOS攻擊特點如下。

（1）采用分布式的攻擊模式，利用精心搭建的攻擊網進行攻擊，攻擊的威力很強大，占用的空間更大，防御起來比較困難。

（2）利用傀儡機進行攻擊，掩蓋了自己的機器，這樣就很難追蹤到攻擊源頭，無法實現針對性的防御。

（3）對專業知識要求低，很容易發起攻擊。DDOS攻擊使用簡單、代碼開放，攻擊者比較容易上手，這也是出現低齡攻擊者的原因。

2 DDOS攻擊的防御對策

2.1 DDOS攻擊的預防對策

首先，提高安網絡安全意識，認真對待系統出現的問題。針對管理權限較高的賬號，設置一些高級避免，降低風險。當系統中存在漏洞時，及時下載并安裝補丁程序，這樣做一是提高了自身系統的防御能力，二是減少了成為傀儡機的概率。

其次，要做好網絡管理工作，不用的網絡服務一定要及時關閉，同時與網絡服務商進行協商，讓他們對訪問和寬帶總量進行控制，進一步增強網絡的防御入侵的能力。

最后，為了進一步增強系統的防御能力，利用防火墻可以對IP進行過濾，這是一種有效的防御措施。在過濾過程中，可以識別一些假的IP、異常的數據包，這樣有助于及時發現系統異常，并采取相應的措施，減少攻擊造成的損失。

2.2 DDOS攻擊的響應對策

一旦確定系統正在遭受攻擊，可通過攻擊源追蹤技術來對攻擊的來源進行定位，并在合適的位置部署相應的措施，例如限制攻擊源的流量等。保護好系統的服務器，關閉那些不用的服務，盡量減輕服務器的負擔。在極端情況下，也就是DDOS攻擊已經耗盡了寬帶資源的話，那就加大防火墻的限流力度，保護服務器。同時在攻擊發生后，要及時與網絡供應商聯系，要求其提供技術支持。還應將情況匯報給上級部門，減少傷害和損失的蔓延。在DDOS攻擊中，攻擊者是利用傀儡機進行操作的，這些傀儡機的數量龐大，要想將他們全部找出，工作量太大。但是可以找出一些控制節點。這些節點往往控制著很多傀儡機，一旦把他們找出來，就無法對傀儡機發送命令，傀儡機也就無法進行攻擊，那么就能夠有效緩解攻擊的強度。

如果發現系統被攻擊者作為代理端，不要無動于衷，成為不法分子的幫兇。此時盡管系統沒有直接受到攻擊者的侵害，但是也應注意到系統中存在一定的漏洞，這時應該將DDOS的工具軟件進行清除，避免留下隱患，提高系統的安全性。

3 結語

網絡信息安全與人們的生活息息相關，在平時的工作和生活中，增強網絡安全意識，提高警惕性，針對系統的漏洞及時處理，不要給那些黑客可乘之機。面對DDOS攻擊，并不是無計可施，讓它肆意妄為的。平時多注意維護系統的安全，發現異常及時采取措施，就算無法徹底階段DDOS的攻擊，也能夠減少一定的措施。解決DDOS攻擊是一個長期的問題，還需要更多學者的努力。

[1]蘇文杰.DDoS攻擊防御技術探究[J].軟件導刊,2016,(06):209-211.

[2]莊建兒.淺析網絡DDoS攻擊與治理[J].通訊世界,2015,(01):33-34.

[3]池水明,周蘇杭.DDoS攻擊防御技術研究[J].信息網絡安全,2012,(05):27-31.

[4]黃憲艷.分布式拒絕服務攻擊(DDoS)及防御對策[J].科技信息,2011,(08):241-242.

Research on the principle and Countermeasure of DDOS attack

Zhou Lili，Wei Xiaolin
(Guangxi Polytechnic vocational school,Nanning Guangxi,530033)

This paper mainly introduces the attack principle and characteristics of DDOS, and analyzes the attack tools commonly used in attack. In defense of DDOS, according to the defense stage are discussed, in peacetime, how to prevent DDOS attacks, reduce the probability of successful attacks, and when the attack to reduce the losses caused by the attack.

DDOS attack; defensive countermeasures; information security