淺談Web 系統的DDoS 攻擊與防護

◆楊京

（陜西省網絡與信息安全測評中心 陜西 710065）

1 引言

最早的Web 系統程序只是單純為了應用，只需運行程序的這臺計算機安全，那么整個應用程序也是安全的。現在Web 應用程序都運行在不同的服務器，如客戶端服務器、審計服務器、Web 應用服務器、數據庫服務器和日志服務器等。并且由于他們能夠讓任何登錄互聯網的人訪問，所以這些Web 應用程序就成為大量黑客攻擊的目標。DDoS 攻擊主要是針對Web 系統本身存在的設計缺點、系統安全漏洞以及系統資源的有限性來進行。因為DDoS 攻擊工具是在開源的條件下進行開發與改良的，所以其利用起來也更加容易，門檻也比較低。目前針對DDoS 攻擊的防護方法也有很多，下面將一一進行介紹。

2 何為DDoS 攻擊

舉一個簡單的例子。我開了一家大門面的火鍋店，生意火爆，但街道對面的火鍋店卻生意蕭條。為了對付我，他們找了很多人進店搗亂卻不就餐，這樣就使得其他人沒法進店就餐。這就是非常經典的DDoS 攻擊，全稱是分布式拒絕服務攻擊。一般來說是指攻擊者借助公共網絡將大批的計算機設備整合起來，對目標系統在較短的時間內發起大量請求，使目標系統疲于應對大量請求，而無法對證長請求進行處理，致使Web 系統無法正常服務。網絡游戲行業、電力行業、金融行業等都是受DDoS 攻擊的高發行業。

3 DDoS 攻擊分類

DDoS 攻擊可以分為兩種。其一是流量攻擊，主要是針對網絡帶寬的攻擊，攻擊者發送大量需要回復的信息，也就是攻擊數據，消耗網絡帶寬，合法請求數據被這些攻擊數據淹沒而無法抵達Web 系統，最終導致服務癱瘓；其二是資源耗盡攻擊，攻擊者利用Web 系統自身的漏洞或者所使用的協議上的缺陷，快速不停地發出需要連接的服務請求，消耗系統資源，使系統的內存被耗盡，導致系統癱瘓而停止提供正常的網絡服務。下面介紹幾個主要的DDoS 攻擊方式。

（1）SYN 變種攻擊

攻擊者會發送大量的TCP 包，來造成服務器TCP 連接數達到服務器的最大限制，從而不能為新的用戶訪問請求建立新的TCP 連接，占用系統資源，從而使系統無法正常提供服務。

（2）TCP 混亂數據包攻擊

攻擊者通過發送偽造源ⅠP 的TCP 數據包，TCP 數據包報頭部分是混亂的，可能是SYN，ACK，SYN+ACK，SYN+RST 等等，會造成安全設備處理錯誤并癱瘓，耗費服務器內存的同時還會堵塞帶寬。

（3）針對用UDP 協議的攻擊

攻擊者通過發送偽造源ⅠP 的UDP 數據包，只要用戶系統開放了一個UDP 端口并提供相關服務，就可以針對該服務進行攻擊。這種攻擊通常的解決辦法是在安全設備配置策略，通過匹配UDP 數據包中的特征碼，對經過的數據包進行過濾、攔截。

（4）針對Web server 的多連接攻擊

攻擊者控制大量計算機設備，通過技術手段同時連接Web 系統，大量的連接會占據系統資源，造成系統無法處理并癱瘓。這種攻擊方式的特點就在于這種連接和我們正常用戶的訪問連接是一樣的，不過在同一時間段內，訪問鏈接的數量是以萬計的，有些安全設備能夠通過限制ⅠP 連接數來進行預防，但是作為正常用戶，多訪問幾次系統也會被攔截。

（5）針對Web server 的變種攻擊

攻擊者控制一些計算機設備同時連接Web 系統，并不斷地向系統程序提交帶有GET 訪問請求的調用，耗費大量的系統資源。這種攻擊方式的特點是不需要與Web 系統建立大量的連接，卻能大量消耗系統資源，達到攻擊目的。

4 DDoS 攻擊防護

因為DDoS 攻擊的實施并不困難，往往是黑客常用的攻擊手段，下面列出幾點常見的防護手段。

（1）高防服務器

高防服務器主要是指能獨立防御50Gbps 以上的服務器，能夠對SYN、UDP、ⅠCMP、HTTP GET 等各類DDoS 攻擊進行防護，并且定期對服務器進行安全掃描與安全加固。

（2）添加黑名單

在安全設備上添加ⅠP 黑名單，將發現有攻擊行為的ⅠP 添加至黑名單中，使系統免受來自該ⅠP 的DDoS 攻擊。

（3）DDoS 清洗

DDoS 清洗就是對用戶的訪問請求數據進行實時監測，及時發現DDoS 攻擊等異常流量，在不影響正常業務開展的情況下清洗掉這些異常流量。

5 CDN 加速

CDN 加速就是將網站訪問流量分配到了各個節點中，這樣一方面隱藏服務器的真實ⅠP，另一方面即使遭遇DDoS 攻擊，也能夠將流量分散到各個節點中，避免系統崩潰。

6 結束語

本文主要是基于信息安全從業者日常工作中的總結，簡要的介紹了何為DDoS 攻擊、DDoS 攻擊分類及DDoS 攻擊防護。面對DDoS攻擊，并不是無計可施，需要多注意維護Web 系統的安全，發現異常及時采取措施，就算無法徹底解決DDoS 攻擊，也能夠大大減少損失。沒有絕對的安全，只有不斷加強安全防護。