分布式拒絕服務(wù)攻擊初探

摘要本論文首先對(duì)DoS和DDoS攻擊加以說明，然后詳細(xì)分析DDoS攻擊的方法，最后進(jìn)一步提出了防范解決DDoS攻擊的一些措施。

關(guān)鍵詞DDoS攻擊防范措施

中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A

1 引言

隨著網(wǎng)絡(luò)應(yīng)用的日益廣泛，使用互聯(lián)網(wǎng)的用戶越來越多，對(duì)網(wǎng)絡(luò)進(jìn)行攻擊的人也逐漸增多。不管出于哪種目的，對(duì)網(wǎng)絡(luò)的攻擊都會(huì)使網(wǎng)絡(luò)的正常工作受到嚴(yán)重的破壞，甚至使網(wǎng)絡(luò)或服務(wù)癱瘓，在經(jīng)濟(jì)等各個(gè)方面造成不同程度的損失。

DoS(Denial Of Service)，中文意思是拒絕服務(wù)，注意，這里千萬(wàn)不要認(rèn)為是微軟的dos操作系統(tǒng)。DoS攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問，這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問。另外，DoS有兩個(gè)鮮明的特點(diǎn):技術(shù)原理簡(jiǎn)單，工具化;難以防范，有限D(zhuǎn)oS可以通過管理的手段防止。

分布式拒絕服務(wù) (Distributed Denial of Service—DDoS)是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要針對(duì)比較大的站點(diǎn)，如商業(yè)公司、搜索引擎和政府部門的站點(diǎn)。DoS攻擊只要一臺(tái)連接網(wǎng)絡(luò)的單機(jī)就可實(shí)現(xiàn)，而DDoS攻擊是利用一批受控制的機(jī)器向同一臺(tái)機(jī)器發(fā)起攻擊，因此這樣的攻擊難以防備，具有較大的破壞性。

一個(gè)DDoS攻擊通常分三個(gè)過程。一是目標(biāo)確認(rèn):黑客會(huì)在互聯(lián)網(wǎng)上鎖定一個(gè)企業(yè)網(wǎng)絡(luò)的IP地址。這個(gè)被鎖定的IP地址可能代表了企業(yè)的Web服務(wù)器，DNS服務(wù)器，互聯(lián)網(wǎng)網(wǎng)關(guān)等。二是準(zhǔn)備過程:黑客會(huì)入侵互聯(lián)網(wǎng)上大量的沒有良好防護(hù)系統(tǒng)的計(jì)算機(jī)。黑客會(huì)在這些計(jì)算機(jī)中植入日后攻擊目標(biāo)所需的工具。三是實(shí)際攻擊過程:黑客會(huì)將攻擊命令發(fā)送到所有被入侵的計(jì)算機(jī)上，并命令這些計(jì)算機(jī)利用預(yù)先植入的攻擊工具不斷向攻擊目標(biāo)發(fā)送數(shù)據(jù)包，使得目標(biāo)無法處理大量的數(shù)據(jù)或者頻寬被占滿。

被攻擊的服務(wù)器有以下癥狀:被攻擊主機(jī)上有許許多多等待的TCP連接;網(wǎng)絡(luò)中充滿了好多垃圾數(shù)據(jù)包，源地址是假的;制造大量廢棄的數(shù)據(jù)，以致導(dǎo)致網(wǎng)絡(luò)擁塞，使受害的主機(jī)沒有辦法正常和外界進(jìn)行通訊;DDoS攻擊利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，不斷地發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)沒有辦法及時(shí)處理一切正常請(qǐng)求;嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī) 。

2 DDoS攻擊典型示例

(1)SYN Flood。每個(gè)機(jī)器都需要為半開連接分配一定的資源;這種半開連接的數(shù)量是有限制;共計(jì)方利用TCP連接三次握手過程，打開大量的半開TCP連接;目標(biāo)機(jī)器不能進(jìn)一步接受TCP連接。機(jī)器就不再接受進(jìn)來的連接請(qǐng)求。

(2)TearDrop。它利用IP包的分片裝配過程中，由于分片重疊，計(jì)算過程中出現(xiàn)長(zhǎng)度為負(fù)值，在執(zhí)行memcpy的時(shí)候?qū)е孪到y(tǒng)崩潰。

(3)IP欺騙攻擊。這種攻擊利用RST位來實(shí)現(xiàn)。

(4)PingOfDeath。直接利用ping包，即ICMP Echo包，有些系統(tǒng)在收到大量比最大包還要長(zhǎng)的數(shù)據(jù)包，會(huì)掛起或者死機(jī)。

(5)Land。用于Land攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的，因?yàn)楫?dāng)操作系統(tǒng)接收到這類數(shù)據(jù)包時(shí)，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，從而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。

(6)Smurf。攻擊者向一個(gè)廣播地址發(fā)送ICMP Echo請(qǐng)求，并且用受害者的IP地址作為源地址;廣播地址網(wǎng)絡(luò)上的每臺(tái)機(jī)器響應(yīng)這些Echo請(qǐng)求，同時(shí)向受害者主機(jī)發(fā)送ICMP Echo-Reply應(yīng)答;受害者主機(jī)會(huì)被這些大量的應(yīng)答包淹沒。

3 DDoS防范措施

3.1 對(duì)于網(wǎng)絡(luò)方面

(1)路由器和防火墻配置得當(dāng)，可以減少受其攻擊的危險(xiǎn)。(2)入侵檢測(cè)系統(tǒng)，檢測(cè)異常行為。

3.2 對(duì)于系統(tǒng)方面

(1)升級(jí)系統(tǒng)內(nèi)核，打上必要的補(bǔ)丁。(2)關(guān)掉不必要的服務(wù)和網(wǎng)絡(luò)組件。(3)如果有配額功能的話，正確地設(shè)置這些配額。(4)監(jiān)視系統(tǒng)的運(yùn)行，避免降低到基線以下。(5)檢測(cè)系統(tǒng)配置信息的變化情況。

3.3 建立備份和恢復(fù)機(jī)制方面

當(dāng)然，我們要徹徹底底的杜絕拒絕服務(wù)攻擊，只有追根溯源去找到正在進(jìn)行攻擊的機(jī)器和攻擊者。因?yàn)楣粽咭坏┩Ｖ沽斯粜袨椋茈y將其發(fā)現(xiàn)，只能在其進(jìn)行攻擊的時(shí)候，根據(jù)路由器的信息和攻擊數(shù)據(jù)包的特征，采用一級(jí)一級(jí)回溯的方法來查找其攻擊源頭。這就需要各級(jí)部門的協(xié)同配合，甚至是不同組織、不同國(guó)家的合作才能很好地完成，這幾乎是不可能實(shí)現(xiàn)的。

4 結(jié)束語(yǔ)

對(duì)于DDoS攻擊目前還沒有十分有效的防范辦法，我們只有加強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)，提高網(wǎng)絡(luò)系統(tǒng)的安全性，才能有效防范黑客的DDoS攻擊。