簡介基于洪泛法的分布式拒絕服務攻擊及其防范措施

吳曉春 張豐驛

(1.防城港市環境監測站，廣西 防城港 538001；

2.廣西廣播電視大學防城港市分校，廣西 防城港 538001)

簡介基于洪泛法的分布式拒絕服務攻擊及其防范措施

吳曉春1張豐驛2

(1.防城港市環境監測站，廣西 防城港 538001；

2.廣西廣播電視大學防城港市分校，廣西 防城港 538001)

分布式拒絕服務攻擊是利用網絡資源和被攻擊的目標主機的處理能力不對稱的特點讓被攻擊主機由于一直處于超負荷運行狀態而無法響應新請求的一種攻擊手段。由于因特網的分布特性，哪怕在技術發展迅猛的今天，拒絕服務攻擊仍然是互聯網上需要解決的難題之一。文章回顧了基于洪泛法的分布式拒絕服務攻擊的類型并對每種類型的攻擊手段和特點進行了詳細討論，最后總結了當前針對拒絕服務攻擊的主流解決方法。

拒絕服務攻擊；Dos/Ddos；網絡攻擊

（一）引言

拒絕服務攻擊(DoS Attack)的出現源于讓目標感染用戶無法正常使用網絡服務和網絡資源。盡管人們為了防范它而投入了巨大的人力物力和財力，但仍然無法有效的解決這個棘手的問題，原因很簡單，因為因特網上的資源十分有限，不管是帶寬，服務器的處理能力，還是存儲空間大小等等，這些有限得資源都能被攻擊者利用。當然，人們可以利用資源的有效合理分配算法來填補這些漏洞，“亡羊補牢”固然不晚，但是在技術飛躍發展的今天，這個漏洞卻越來越大，而這個漏洞的根本成因是因為因特網安全性是在網上的主機來說是高度相關聯的，也就是說，你的個人防火墻可以做得很完美，但這并不意味著你收到的攻擊的概率或者次數就會變少，因為你所受到的攻擊類型及攻擊數目是取決于整個互聯網的安全性。

（二）分布式拒絕服務攻擊的類型

拒絕服務攻擊分為幾種情況，一種比較典型的就是利用系統漏洞對目標主機進行攻擊，這一類的攻擊利用操作系統或者軟件設計的缺陷，能夠引起目標主機掉入到無意義的空運算中甚至喪失對計算機的控制能力從而無法對用戶提供相應服務。在早期的攻擊行為中，這一種行為比較常見，這個攻擊的解決方法就是打系統補丁，隨著人們逐漸認識到計算機安全重要性，這一類攻擊變得越來越困難。

而分布式拒絕服務攻擊卻是利用網絡資源和目標主機的處理能力不對稱的特點讓目標主機由于一直處于超負荷運行狀態而無法響應新請求的一種攻擊手段，這種攻擊方法不依賴于具體的網絡協議或者特定的系統漏洞。

拒絕服務攻擊可以是有一個源主機(source)往一個目標主機(destination)發送大量的攻擊包或者由多個源向同一個目標主機同時發動攻擊這一種攻擊形式也成為直接攻擊（direct attack）。單個源攻擊單個主機的方式相對簡單，利用單個機器的處理能力帶寬等多方面優勢向目標主機發起攻擊，從而導致目標主機忙于服務攻擊者而不能像其他人提供服務。正是由于其簡單性，這一類型的攻擊也比較容易防范，對于攻擊者來說投入的硬件成本也相對較高，目標主機可以針對同一地址源來設置防火墻即可抵御。在多個源攻擊同一個目標主機的方法中攻擊能力開始升級，同時也更加難以防范。在發動攻擊之前，由攻擊者策劃一系列僵尸機器直接往目標主機發送大量的攻擊包，從而導致目標主機忙于處理這些垃圾信息而癱瘓。在發動直接攻擊之前，攻擊者需要組織一個僵尸軍團，也就是往多個第三方機器植入 agent后臺病毒，這樣在需要發動攻擊的時候能統一調度。這一類攻擊方法利用了互聯網的分布式特點，其內在思想和現在流行的“云計算”思想不謀而合。它不依賴于單個機器的硬件能力，而是利用分布式原理，利用網絡上的其他機器的運算能力讓目標機器來服務。由于其分布式特征，目標機器無法利用簡單的IP規則來判別該請求是否是攻擊，使得該類攻擊的成功性較之第一種攻擊更高。雖然如此，多對一的攻擊方式需要攻擊者往多個第三方機器植入后臺病毒，這種攻擊方式的門檻相對更高。

另一種攻擊手段可以稱之為映射攻擊（reflector attack），它和直接攻擊相似，只不過它不是直接往目標主機發送攻擊包，而通過路由來實現大量攻擊包的傳送。我們知道，因特網之所以取得成功，是因為它采用了IP體系結構。IP地址隱藏了主機的實際地理位置。主機向服務器或者另一個對等體發送消息其實都要經過路由器的轉換。路由器會根據消息中的IP頭來確定目標主機所在的位置。如果該目標不存在，路由器會向源主機發送目標不可達等通知消息(ICMP)。

映射攻擊方法正是利用了網絡體系結構特點來發起攻擊，它通過往路由器發送大量數據包，但是這些數據包所發往的目的地址都是一些垃圾地址，當路由器發現無法投遞這些數據時就會往源主機發送通告消息，然而問題出現在這里，所有這些數據包的源地址都修改為目標主機的地址，由于路由器無法識別該地址是被修改過的，所以會直接發送給攻擊者要攻擊的目標主機，從而間接地發生了攻擊行為。當整個攻擊網絡足夠大的時候，由于目標主機需要接受成百上千的路由器返回的通告消息，盡管目標主機沒有發送過這些消息，它收到路由器傳送過來的通告消息后會默認選擇丟棄，然而這些通告消息會消耗目標主機的帶寬資源，大量無用消息的傳送同樣會使目標主機癱瘓。映射攻擊由于它利用了因特網的路由器，所以它較直接攻擊更為隱蔽也更加難以追蹤，同時防范它的措施更加困難。但是并不是說映射攻擊就是萬能的。由于這種方法需要用到路由器的轉發功能，為了產生足夠大的垃圾信息，攻擊者需要準確計算路由器的轉發時間和效率才能耗費完目標主機的帶寬資源而使之癱瘓。然而因為通過路由器的信息非常龐大，攻擊者的攻擊信息并不一定能夠按照預定的時間到達目標主機從而使攻擊失效。

（三）防御措施

為了防范分布式拒絕服務攻擊，人們提出了多種方法，一類方法是基于防火墻的方法，其中之一是在因特網主干網上面增設數據包過濾，由于主干網擁有 BGP信息，所以可以很容易分析通過主干網上面的數據的來源從而判斷出該信息是不是有效的。然而這種方法卻是以損耗主干網路由器的處理性能為前提的，如果數據量過大將損害主干網性能。另外一種方法相類似，不過它不是在主干網上設置，而是采用了幾個點做檢測，然而由于缺少 BGP信息，這種方法很有可能發生誤檢的事情。

另一類方法是從目標主機角度出發，構建更加強大的防火墻機制，包括利用數據挖掘技術和預測機制來判斷檢測拒絕服務攻擊。然而由于防范拒絕服務攻擊的實時性以及這些方法都需要耗費一定的計算能力，雖然從某種角度來說解決了問題，但同樣也降低了主機的性能。這是系統設計者在設計時需要考慮的。

（四）結語

由于拒絕服務攻擊并不單單是個體行為，發生攻擊的同時會消耗整個互聯網的帶寬等資源，所以從長遠來說，問題的根本解決方法是在全球的因特網上構建一個安全架構，在主干網的路由防火墻假設一道防火墻，同時利用IPv6的安全特性解決這些問題。

[1] Rocky K.C. Chang. Defending against Flooding-Based Distributed Denial-of-Service Attacks: A Tutorial. IEEE Communications Magazine, October 2002.

[2] Internet Denial-of-Service Considerations[M].The IETF Trust(2006).

[3] 高能,馮登國,向繼.一種基于數據挖掘的拒絕服務攻擊檢測技術[J].計算機學報,2006,29(6):944-950.

TP393

A

1008-1151(2011)05-0040-01

2011-02-22

吳曉春，男，防城港市環境監測站助理工程師，研究方向為重點污染源自動在線監測設施管理與網絡維護。