分布式拒絕服務攻擊研究

摘 要：分布式拒絕服務攻擊是網絡攻擊中非常常見的攻擊方式，在進行攻擊的時候，這種方式可以對不同地點的大量計算機進行攻擊，進行攻擊的時候主要是對攻擊的目標發送超過其處理能力的數據包，使攻擊目標出現癱瘓的情況，不能提供正常的服務。為了更好的對這種攻擊進行防御，對攻擊的特點和攻擊的程序以及分類都要進行研究，找到最近的防御措施。

關鍵詞：分布式拒絕服務攻擊；分類；攻擊原理

分布式拒絕服務攻擊可以對多個聯合起來的計算機進行攻擊，進行攻擊的時候可以對一個或者是多個目標來進行攻擊，在進行攻擊的時候危害是非常大的。在進行攻擊的時候，攻擊人員可以通過竊取賬號的方式來對某個計算機來進行主控程序的安裝，在主控程序安裝完成以后再通過大量代理程序來進行通訊，在進行攻擊以前，代理程序已經通過互聯網被安裝到多臺計算機上，代理程序的作用就是在收到攻擊的指令后就進行攻擊，攻擊的時候，主控程序可以在短時間內就激活上千次的代理程序，導致攻擊目標出現無法正常使用的情況。

1 分布式拒絕服務攻擊概述

分布式拒絕服務攻擊可以使很多的計算機在同一時間遭受到攻擊，使攻擊的目標無法正常使用，分布式拒絕服務攻擊已經出現了很多次，導致很多的大型網站都出現了無法進行操作的情況，這樣不僅僅會影響用戶的正常使用，同時造成的經濟損失也是非常巨大的。分布式拒絕服務攻擊方式在進行攻擊的時候，可以對源IP 地址進行偽造，這樣就使得這種攻擊在發生的時候隱蔽性是非常好的，同時要對攻擊進行檢測也是非常困難的，因此這種攻擊方式也成為了非常難以防范的攻擊。

1.1 分布式拒絕服務攻擊分析

分布式拒絕服務攻擊在進行主機攻擊的時候是要花費大量的時間來進行準備，在主機完成攻擊以后才能對更多的從機進行攻擊。在對從機進行攻擊的時候需要在從機上安裝必要的程序，在接到攻擊的指令以后，程序會向服務器發送非常多的虛假地址，服務器在接收這些信息以后要得到信息回傳，因為發送的地址都是偽造的，這樣就會導致服務器在回傳信息方面要一直進行等待，在服務器等待一定的時間以后，會因為連接超時導致傳輸的信息被切斷，這時受到攻擊的從機還會繼續向服務器發送新的請求，這樣反復的發送，會使得服務器的資源被耗盡，導致系統出現崩潰的情況。

1.2 分布式拒絕服務攻擊的特點

分布式拒絕服務攻擊采取的攻擊手段就是分布式的，在攻擊的模式改變了傳統的點對點的攻擊模式，使攻擊方式出現了沒有規律的情況，而且在進行攻擊的時候，通常使用的也是常見的協議和服務，這樣只是從協議和服務的類型上是很難對攻擊進行區分的。在進行攻擊的時候，攻擊數據包都是經過偽裝的，在源IP 地址上也是進行偽造的，這樣就很難對攻擊進行地址的確定，在查找方面也是很難的。這樣就導致了分布式拒絕服務攻擊在檢驗方法上是很難做到的。

1.3 分布式攻擊會出現的現象

計算機在遭受到分布式拒絕服務攻擊以后會出現特定的現象，主要表現就是被攻擊的主機會出現大量的TCP連接等待，這時在網絡中就會出現大量的沒有用處的數據包，這些無用的數據包出現會導致網絡在運行的過程中出現堵塞的情況。被攻擊的主機在受到攻擊以后是無法同外界進行聯系的，同時主機在提供服務和傳輸協議上是存在缺陷的，這樣就會導致主機在不斷反復的進行服務請求的發出，使得主機無法對請求進行處理，進而會出現系統癱瘓的情況。

1.4 分布式拒絕服務攻擊的特性

對分布式攻擊進行必要的分析，就可以得到這種攻擊的特性。分布式拒絕服務在進行攻擊的時候，要對攻擊目標的流量地址進行集中，然后在攻擊的時候不會出現擁塞控制。在進行攻擊的時候會選擇使用隨機的端口來進行攻擊，會通過數千端口對攻擊的目標發送大量的數據包，使用固定的端口進行攻擊的時候，會向同一個端口發送大量的數據包。

1.5 分布式拒絕服務攻擊的程序

在進行網絡攻擊的時候，分布式拒絕服務攻擊主要有幾種攻擊的程序。第一種是Trinoo，這種程序是出現最早的攻擊程序，在進行攻擊的時候主要是通過遠程控制程序和主控通訊，對服務器程序發動攻擊。服務器程序是存在于系統中的，在進行攻擊的時候，攻擊者要控制多臺計算機，在這些計算機上進行分布式拒絕服務軟件的安裝，然后建立起來相應的網絡，這樣就可以隨時對攻擊的目標進行攻擊。第二種是TFN，它由客戶端程序和守護程序組成。通過綁定到TCP端口的Root Shell控制，實施ICMP Flood，SYN Flood，UDP Flood和Smuff等多種拒絕服務的分布式網絡攻擊。TFN客戶端、主控端和代理端主機相互間通信時使用ICMP Echo和Icmp Echo Reply數據包。第三種是Stacbeldraht，它結合了Trinoo與TFN的特點，并添加了一些補充特征，如加密組件之間的通信和自動更新守護進程。Stachd-draht使用TCP和ICMP通信，攻擊者與主控端交互，同時主控端控制代理端。Stacheldraht在功能上與Trlnoo和TFN相近。最后一種是TFN2k，TFN2k代表TFN 2000版。它允許端口上隨機通信及加密，這樣就繞過了邊界路由器上端口阻擋的防護措施和入侵檢測軟件。TFN2k攻擊不但可以與SYN、UDP、ICMP和Smud攻擊相配合。而且還可以在不同的攻擊方式之間隨機切換。

2 分布式拒絕服務攻擊的分類

按照TCP/MP協議的層次可將DDOS攻擊分為基于ARP的攻擊、基于ICMP的攻擊、基于IP的攻擊、基于UDP的攻擊、基于TCP的攻擊和基于應用層的攻擊。

2.1 基于ARP的攻擊

ARP是無連接的協議，當收到攻擊者發送來的ARP應答時。它將接收ARP應答包中所提供的信息。更新ARP緩存。因此，含有錯誤源地址信息的ARP請求和含有錯誤目標地址信息的ARP應答均會使上層應用忙于處理這種異常而無法響應外來請求，使得目標主機喪失網絡通信能力。產生拒絕服務，如ARP重定向攻擊。

2.2 基于ICMP的攻擊

攻擊者向一個子網的廣播地址發送多個ICMP Echo請求數據包。并將源地址偽裝成想要攻擊的目標主機的地址。這樣，該子網上的所有主機均對此ICMP Echo請求包作出答復，向被攻擊的目標主機發送數據包，使該主機受到攻擊，導致網絡阻塞。

2.3 基于IP的攻擊

TCP/IP中的IP數據包在網絡傳遞時，數據包可以分成更小的片段。到達目的地后再進行合并重裝。在實現分段重新組裝的進程中存在漏洞，缺乏必要的檢查。利用IP報文分片后重組的重疊現象攻擊服務器，進而引起服務器內核崩潰。如Teardrop是基于IP的攻擊。

2.4 基于應用層的攻擊

應用層包括SMTP，HTTP，DNS等各種應用協議。其中SMTP定義了如何在兩個主機問傳輸郵件的過程，基于標準SMTP的郵件服務器，在客戶端請求發送郵件時，是不對其身份進行驗證的。另外，許多郵件服務器都允許郵件中繼。攻擊者利用郵件服務器持續不斷地向攻擊目標發送垃圾郵件，大量侵占服務器資源。

3 結束語

網絡技術在現在的使用范圍是非常廣的，在使用的時候也是經常會出現被攻擊的情況，網絡攻擊在很多的時候會是多種多樣的，其中分布式拒絕服務攻擊就是網絡攻擊中重要的方式，在對這種攻擊方式進行分析以后，就能避免這種攻擊帶來的危害。

參考文獻

[1]曹愛娟，劉寶旭.抵御DDOS攻擊的陷阱系統[J].計算機工程，2004，30（1）.

[2]徐嗚濤，陸松，楊樹堂.五種IP返回艱蹤拒絕服務攻擊方法的比較[J].計算機應用研究，2004，21（3）.