DDOS攻擊原理與防范

王鴻鵬

摘 要 就網絡安全而言目前最讓人擔心和害怕的入侵攻擊就要算是拒絕服務攻擊了。他和傳統的攻擊不同，采取的是仿真多個客戶端來連接服務器，造成服務器無法完成如此多的客戶端連接，從而無法提供服務。

關鍵詞 DDOS攻擊 原理 防范

中圖分類號：TP3 文獻標識碼：A

1 DDOS的概念與產生

DDOS是英文Distributed Denial of Service的縮寫，即“分布式拒絕服務”。凡是能導致合法用戶不能夠訪問正常網絡服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明確，就是要阻止合法用戶對正常網絡資源的訪問，從而達成攻擊者不可告人的目的。雖然同樣是拒絕服務攻擊，但DDOS和DOS有所不同，DDOS攻擊手段是在傳統的DOS攻擊基礎之上產生的一類攻擊方式。單一的DOS攻擊一般是采用一對一方式的，當被攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項性能指標不高，它的效果是明顯的。隨著計算機與網絡技術的發展，計算機的處理能力迅速增長，內存大大增加，同時也出現了千兆級別的網絡，這使得DOS攻擊的困難程度加大了，因為目標對惡意攻擊包的“消化能力”加強了不少。

2 DDOS的攻擊原理

DDOS的攻擊策略側重于通過很多被攻擊者入侵過或可間接利用的主機向受害主機發送大量看似合法的網絡包，從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務。一般來說，黑客進行DDOS攻擊時會經過這樣的步驟：

（1）搜集了解目標的情況

對于DDOS攻擊者來說，攻擊互聯網上的某個站點時，搜集情報對DDOS攻擊者來說是非常重要的，這關系到使用多少臺傀儡機才能達到效果的問題。簡單地考慮一下，在相同的條件下，攻擊同一站點的2臺主機需要2臺傀儡機的話，攻擊5臺主機可能就需要5臺以上的傀儡機。有人說做攻擊的傀儡機越多越好，不管你有多少臺主機我都用盡量多的傀儡機來攻就是了，反正傀儡機超過了時候效果更好。

（2）占領傀儡機

簡單地說，就是占領和控制被攻擊的主機。取得最高的管理權限，或者至少得到一個有權限完成DDOS攻擊任務的帳號。對于一個DDOS攻擊者來說，準備好一定數量的傀儡機是一個必要的條件，下面說一下他是如何攻擊并占領它們的。

首先，黑客做的工作一般是掃描，隨機地或者是有針對性地利用掃描器去發現互聯網上那些有漏洞的機器，像程序的溢出漏洞、cgi、Unicode、ftp、數據庫漏洞等，都是黑客希望看到的掃描結果。隨后就是嘗試入侵了。

當黑客占領了一臺傀儡機之后，除了留后門擦腳印這些基本工作之外，他會把DDOS攻擊用的程序上載過去，一般是利用ftp。在攻擊機上，會有一個DDOS的發包程序，黑客就是利用它來向受害目標發送惡意攻擊包的。

（3）實際攻擊

前面的準備做得好的話，實際攻擊過程反而是比較簡單的。黑客登錄到做為控制臺的傀儡機，向所有的攻擊機發出命令，這時候埋伏在攻擊機中的DDOS攻擊程序就會響應控制臺的命令，一起向受害主機以高速度發送大量的數據包，導致它死機或是無法響應正常的請求。黑客一般會以遠遠超出受害方處理能力的速度進行攻擊。

老到的攻擊者一邊攻擊，還會用各種手段來監視攻擊的效果，在需要的時候進行一些調整。簡單些就是開個窗口不斷地ping目標主機，在能接到回應的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊。

3 DDOS的防范

目前對于DDOS的防范還是沒有什么好辦法的，主要靠平時維護和掃描來對抗。簡單的通過軟件防范的效果非常不明顯，即便是使用了硬件安防設施也僅僅能起到降低攻擊級別的效果，DDOS攻擊只能被減弱，無法被徹底消除。下面列出了對付它的一些常規方法：

（1）定期掃描

要定期掃描現有的網絡主節點，清查可能存在的安全漏洞，對新出現的漏洞及時進行清理。骨干節點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網絡主節點的都是服務器級別的計算機，所以定期掃描漏洞就變得更加重要了。

（2）在骨干節點配置防火墻

防火墻本身能抵御DDOS攻擊和其他一些攻擊。在發現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防范攻擊優秀的系統。

（3）過濾不必要的服務和端口

可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務和端口，即在路由器上過濾假IP。只開放服務端口成為目前很多服務器的流行做法，例如WWW服務器那么只開放80而將其他所有端口關閉或在防火墻上做阻止策略。

（4）檢查訪問者的來源

使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶，很難查出它來自何處。因此，利用Unicast Reverse Path Forwarding可減少假IP地址的出現，有助于提高網絡安全性。

參考文獻

[1] 孔 哲，孟麗容.數據庫連接策略優化方法[J].山東大學學報版，2003，33（6）：652-657.

[2] 賈 焰，王治英，韓偉紅，等.分布式數據庫技術[M].北京：國防工業出版社，2003.

[3] 孫曦，朱曉研，王育民.DDoS下的TCP洪流攻擊及對策[J].網絡安全技術與應用，2004（4）.

[4] Merike Kaeo.網絡安全性設計（第二版）[M].吳中福譯，北京：人民郵電出版社，2005.