ＤＤｏＳ攻擊原理與防御研究

摘要：DDoS攻擊利用TCP／IP協議本身的漏洞和缺陷。攻擊者利用成百上千個被“控制”節點向受害節點發動大規模的協同攻擊。通過消耗帶寬、CPU和內存等資源，達到被攻擊者的性能下降甚至癱瘓和死機，從而造成其他合法用戶無法正常訪問。如果通過適當的辦法增強了抵御DDoS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數攻擊者將無法繼續下去而放棄，也就相當于成功的抵御了DDoS攻擊。

關鍵詞：DDoS；攻擊；防御

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)22-659-02

1 DDoS的概念

分布式拒絕服務攻擊(Distributed Denial of Service)是一種比較新的黑客攻擊方法，最早出現于1999年夏天。從2000年2月開始，這種攻擊方法開始大行其道。2000年2月7日，在雅虎網站因遭到外來攻擊而癱瘓的第二天，美國另外幾家著名的因特網網站又接連遭到攻擊，并造成短時間癱瘓。分布式拒絕服務攻擊使用與普通的拒絕服務攻擊同樣的方法，但是發起攻擊的源是多個，通常來說，至少要有數百臺甚至上千臺主機才能達到滿意的效果。

2 DDoS攻擊的原理

DDoS的理論和技術很早就為網絡界所認識，而近來分布式拒絕服務才開始被攻擊者采用并有泛濫趨勢。它利用了TCP／IP協議本身的漏洞和缺陷。攻擊者利用成百上千個被“控制”節點向受害節點發動大規模的協同攻擊。通過消耗帶寬、CPU和內存等資源，達到被攻擊者的性能下降甚至癱瘓和死機，從而造成其他合法用戶無法正常訪問。和DoS比較起來，其破壞性和危害程度更大，涉及范圍更廣，也更難發現攻擊者。

傳統的DoS攻擊利用了軟件漏洞或系統負荷過度從而使計算機系統無法被正常訪問，一般只是一臺機器向受害者發起攻擊。而DDoS是由攻擊者在多臺機器上或與其他人合作，同時向一個目標主機或網絡發起攻擊，被攻擊者在同一時間內收到大量數據包不是一臺主機發送來的，這使得防御變得非常困難。同時，因為攻擊來自廣泛的IP地址，而且來自每臺主機的少量數據包有可能從入侵檢測系統(Intrusion Detection Systems，IDS)眼皮下溜掉，所以探測和阻止也就變得更加困難。如是單一的IP地址攻擊，可以在防火墻封鎖該p。如果是很多臺主機的話，封鎖就變得極其困難。只要用戶連接到了Internet，攻擊者就有機會發送大量用戶根本處理不了的數據，造成拒絕服務攻擊。

DDoS主要由兩部分組成：主控端主機上的客戶端和代理端主機上的守護進程。主控端向代理端發送攻擊指定的目標主機列表，代理端據此對目標主機進行拒絕服務攻擊。由一個主控端控制的多個代理端主機，能夠在攻擊過程中相互協作，保證攻擊的連續性。主控端和代理端的網絡通訊往往是經過加密的，還可能混雜了許多虛假數據包。整個攻擊可以使用不同的TCP、UDP或ICMP包進行通訊。而且主控端還能偽造其IP地址。DDoS攻擊的這些特性使得防御其攻擊變得非常困難。

DDoS攻擊的原理如下圖所示。

■

攻擊者為了隱藏自己，以免被跟蹤和定位，以及加大攻擊力度，往往采用三層結構，包括攻擊者、中間層和受害者。而中間層包含受控者和受控攻擊者。DDoS攻擊過程如下：

攻擊者通過漏洞或木馬技術入侵受控者，在受控者的機器上移植木馬服務程序。由受控者通過掃描等技術，查找有漏洞、適合的受控攻擊者，植入攻擊服務程序。當攻擊者發起DDoS攻擊時，只需要確定目標機器，通過木馬客戶端向受控者發出指令，受控者再向受控攻擊者發出指令。具體的DDoS攻擊由受控攻擊者完成。這樣做可以減少攻擊者的直接控制，以及攻擊者和受控攻擊者的信息交換，減少被發現和跟蹤的可能性，讓受害者更難確定攻擊者的位置。

為了提高DDoS攻擊的成功效率，攻擊者需要控制很多被入侵主機。這些主機通常是Linux和SUN機器，而且Unix、Solaris和Windows平臺的機器也能被用于DDoS攻擊，而且攻擊工具很容易被移植到其他平臺上運行。這些攻擊工具入侵主機和安裝程序的過程都是自動化的。這個過程可以分為以下幾個步驟：①探測掃描大量主機來尋找可以入侵的目標主機；②入侵有安全漏洞的主機并且獲取控制權；③在每臺入侵主機中安裝攻擊程序；④利用已經入侵主機繼續進行掃描和入侵。

攻擊者在攻擊取得成功后，為了能夠方便下次再輕易地返回系統，專業黑客在退出系統之前，肯定要留下一些后門。對于后門，管理員比較難以察覺，因為在沒有發現攻擊者的情況下，很少管理員會主動去查找是否系統里留有攻擊者的后門。后門的類型五花八門，種類繁多，有些可以通過工具或自檢查到或處理掉，有些就比較麻煩，可能要花費大量的人力和物力。高級復雜的后門如“內核后門”是很難發覺到的，除非重裝系統，否則不能保證沒有后門留在里面。攻擊者在攻擊取得成功后要做的另一件事就是攻擊痕跡清除或將攻擊行為轉嫁。如果獲得了訪問系統的完全權限，攻擊者很容易修改系統上的事件日志來掩蓋留下的任何痕跡。

3 DDoS攻擊的防御

對付DDoS是一個系統工程，想僅僅依靠某種系統或產品防住DDoS是不現實的，可以肯定的是，完全杜絕DDoS目前是不可能的，但通過適當的措施抵御90%的DDoS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當的辦法增強了抵御DDoS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數攻擊者將無法繼續下去而放棄，也就相當于成功的抵御了DDoS攻擊。

1)采用高性能的網絡設備

首先要保證網絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協議的話就更好了，當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDoS攻擊是非常有效的。

2)盡量避免NAT的使用

無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用，因為采用此技術會較大降低網絡通信能力，其實原因很簡單，因為NAT需要對地址來回轉換，轉換過程中需要對網絡包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。

3)充足的網絡帶寬保證

網絡帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主干上了。但需要注意的是，主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因為網絡服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。

4)升級主機服務器硬件

在有網絡帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務器的配置至少應該為：P4 2.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內存，若有志強雙CPU的話就用它吧，內存一定要選擇DDR的高速內存，硬盤要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。

5)把網站做成靜態頁面

大量事實證明，把網站盡可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現在為止關于HTML的溢出還沒出現，看看吧!新浪、搜狐、網易等門戶網站主要都是靜態頁面，若你非需要動態腳本調用，那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主服務器，當然，適當放一些不做數據庫調用腳本還是可以的，此外，最好在需要調用數據庫的腳本中拒絕使用代理的訪問，因為經驗表明使用代理訪問你網站的80%屬于惡意行為。

6)增強操作系統的TCP/IP棧

Win2000和Win2003作為服務器操作系統，本身就具備一定的抵抗DDoS攻擊的能力，只是默認狀態下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵御數百個。

7)安裝專業抗DDoS防火墻

4 結論

采用以上對抗DDoS的建議，絕大多數擁有自己主機的用戶可以避免DDoS攻擊，但假如采取以上措施后仍然不能解決DDoS問題，就有些麻煩了，可能需要更多投資，增加服務器數量并采用DNS輪巡或負載均衡技術，甚至需要購買七層交換機設備，從而使得抗DDoS攻擊能力成倍提高，只要投資足夠深入，總有攻擊者會放棄的時候，那時候你就成功了！

參考文獻：

[1] 周曉冬，黃永泰，等.DDoS攻擊原理及對策研究[J].計算機與現代化，2004(3):21.

[2] 陳莊.計算機網絡安全技術[M].重慶:重慶大學出飯社，2001.

[3] (美)史蒂文斯.TCP/IP詳解[M].北京:機械工業出版社，2000.

[4] 李濤.網絡安全概論[M].北京:電子工業出版社，2004.

[5] 楊義先.網絡安全理論與技術[M].北京:人民郵電出版社，2003.

[6] (美)福羅贊.TCP/IP協議族. 3版 [M]. 北京:清華大學出版社，2006.