DDOS攻擊的分析與研究

摘 要：DDOS攻擊是用很多計算機發起協作性的DOS攻擊，它攻擊一個或者多個目標，最終導致系統資源或網絡帶寬資源耗竭，破壞性極強。文章介紹了DDOS攻擊的概念、產生的根源，分析了DDOS攻擊的原理與工作過程，最后給出了DDOS攻擊的防范方法。

關鍵詞：DDOS；分布式拒絕服務；資源

1 DDoS攻擊的概念

分布式拒絕服務（DDOS：Distributed Denial of Service）攻擊，是指將多臺計算機聯合在一起，運用客戶/服務器技術，同時向受害主機發起攻擊。多臺計算機作為攻擊平臺，受害主機處理數據過大而導致系統資源或網絡帶寬資源耗竭，從而大大提高了拒絕服務攻擊的危害，是防范更加困難。它們利用很多有漏洞的計算機作為攻擊平臺和幫兇來進行攻擊。

2 DDOS攻擊產生的根源

DDOS攻擊產生的根源不是簡單的Internet的設計缺陷，通過設置普通的防御系統或修改協議是無法彌補的，它產生的根源在于Internet的核心架構。Internet的設計在帶給我們信息財富和信息共享的同時，也隱含了拒絕服務的潛在威脅。

以下是對Internet設計進行分析后，得到的DDOS攻擊產生的根源：

（1）Internet設計缺陷。Internet設計在早起設計時，有若干個目標。這些目標按照一定意義進行排序。Internet設計的首要目標是：即使網絡內部損壞或是遭受外來破壞，仍可以確保數據傳輸的可達性和可靠性。而安全性（Security）和其他設計目標都被排在傳輸可達性和可靠性（Dependability）之后。

為了達到這個首要目標Internet在網絡的邊緣或端系統（End System）上集中了網絡最智能的部分，而中間網絡部分相對簡單。中間網絡只有一些必要的如路由的設備，所以Internet的承載協議都被設計成無連接的。這就給DDOS攻擊留下了很大的空間，防御困難。

（2）Internet安全的相互依賴性。接入Internet的用戶安全意識薄弱，沒有及時的為計算機安裝補丁，存在安全漏洞，使得這些計算機被黑客控制，成為傀儡主機。在DDOS攻擊中，攻擊者利用這些傀儡主機來協助其發動攻擊。只要用戶計算機與Internet相連，僅僅保證自身的系統安全并不能阻止發生DDOS攻擊。

（3）資源的不協調性。Internet設計的重點在終端主機的服務保證上，忽視了中間網絡的處理量，DDOS攻擊會有大流量的需求，終端網絡只按需要申請帶寬，這與中間網絡處理量狹小相悖。

（4）Internet資源的有限性。目前DDOS攻擊的常見模式都是消耗系統資源或是網絡帶寬，有一些還表現為消耗系統CPU處理能力、緩存區、內存容量、操作系統數據結構、硬盤存儲空間等。只要攻擊耗盡以上某種資源，就可以達到DDOS攻擊的效果。

但是，即使系統資源相當豐富，面臨DDOS攻擊，也有資源耗盡的時刻，這只是降低了DDOS攻擊成功的可能性，或許對單純的DoS攻擊會起到一定效果，但對DDOS攻擊可能起不到積極抵御的作用。

（5）責任的易逃避性。從源端到目的端的路由器上不檢測驗證IP包頭的源地址字段（改字段用來填充產生包的主機源IP地址）。如果偽造數據包的源IP地址，通常沒有被發現。這也使攻擊事件頻繁發生。

3 DDOS攻擊原理

DDOS攻擊是最先進的DOS攻擊形式，它區別于其它攻擊形式是它可以在Internet進行分布式的配置，從而加強了攻擊的能力給網絡以致命的打擊。DDOS攻擊從來不試圖去破壞受害者的系統，因此使得常規的安全防御機制對它來說是無效。DDOS攻擊的主要目的是對受害者的機器產生破壞，從而影響合法用戶的請求。

DDOS攻擊體系中有四種角色：

（1）攻擊者：由黑客操控的主機，又被稱為攻擊的主控臺。由它發動攻擊，操控攻擊的全過程，向位于控制層的主控端發送攻擊指令。

（2）主控端：就是人們常說的傀儡機，它是攻擊者通過非法手段控制的一些機器，這些機器負責控制大量的代理攻擊主機。它們在這些主控端上安裝特定的程序，由此接收攻擊者發來的攻擊命令，然后將這些命令發送到攻擊層的代理攻擊端主機上。

（3）代理攻擊端：它們也是攻擊者非法侵入并控制的計算機，攻擊端負責接受主控端發來的指令，運行特定的攻擊程序。代理攻擊端主機是攻擊的執行者，由它們向受害主機發起攻擊。

（4）受害者：當交換機、路由器、主機等遭受DDOS攻擊都是受害者。當出現DDOS進攻時，受害者的資源或網絡帶寬被無止境占用直至耗盡。防火墻和路由器遭到攻擊阻塞后很可能導致惡性循環，加重網絡阻塞情況，嚴重時還可能造成網絡全面癱瘓。

4 DDOS攻擊的步驟

一個典型的DDOS攻擊主要有以下幾個工作步驟：

（1）搜集資料，了解攻擊目標。了解所要攻擊的目標，以便對將來的攻擊做到心中有數。主要搜集被攻擊目標主機數目、地址情況、目標主機的配置、性能目標的寬帶等方面。

（2）占領傀儡機。即攻占傀儡機，控制盡可能多的機器，然后安裝相應的攻擊程序，在主控機上安裝控制攻擊的程序。那些網絡狀態好、 性能好、安全管理水平差的主機往往成為黑客的目標。

（3）實施攻擊。攻擊者通過前兩個步驟后，就開始通過主控機向攻擊機發出攻擊指令，或者按照原先設定好的攻擊時間和目標，攻擊機不停的向目標或者反射服務器發送大量的攻擊包，來吞沒被攻擊者，達到拒絕服務的最終目的。

5 DDOS攻擊的防范

針對DDOS攻擊可以采取以下措施進行防范：

（1）設置主機

平時養成良好的習慣，關閉不必要的服務；電腦做到及時升級、更新系統補丁；限制同時打開的Syn半連接數目；縮短Syn半連接的time out時間。

（2）設置網絡

a.防火墻的設置：限制同時打開的SYN最大連接數；限制特定IP地址的訪問；啟用防火墻的防DDOS的屬性；嚴格限制對外開放的服務器的向外訪問。

b.路由器：設置SYN數據包流量速率；將低版本的ISO及時升級；為路由器建立log server等方法。

TCP洪流攻擊、UDP洪流攻擊、ICMP洪流攻擊、畸形報文攻擊、應用層攻擊是最典型的DDOS攻擊，同時DDOS攻擊也在不斷變化升級，學者們研究針對DDOS攻擊的防御措施變得越來越有應用價值和現實意義。

參考文獻

[1]Zhang G，Parashar M.Coorporative defense against DDOSattacks. Journal of Research and Practice in Informa-tion Technology，2006.

[2]Yu， Shui，Zhou， Wanlei，Doss， Robin，et al.Traceback of DDOS attacks using entropy variations. IEEE Transactions on Parallel and Distributed Systems，2011.

[3]范斌，胡志剛，張健.一種基于數據融合的DDOS入侵檢測系統的設計[J].科技信息（學術研究），2007（32）.

作者簡介：楊銘（1982，1-），女，籍貫：吉林長春，工作單位：吉林電子信息職業技術學院，職稱：講師，學歷：研究生，研究方向：計算機應用技術。