網絡監控與有效防御DDoS攻擊的相關

陳明璨

【摘要】 本文對DDoS的攻擊原理和過程進行了闡述，并介紹了幾種有效的通過網絡監控對DDoS攻擊進行防御的技術。

【關鍵詞】 網絡監控 有效防御 DDoS攻擊

DDoS是一種攻擊方式，其基礎是DoS攻擊，而DoS攻擊是一種較為常見且攻擊效果較好的攻擊技術，利用偽裝的策略通過計算機系統所存在的缺陷或是協議漏洞進行網絡攻擊，導致計算機因資源消耗殆盡而出現癱瘓現象，無法正常運行和提供服務。具有多種攻擊方式，最基本的就是通過提出過多的合理請求來占用資源，導致其他的合法用戶無法得到響應。

一、DDoS攻擊的原理及其過程

DoS攻擊的方式通常情況下是一對一的，被攻擊的服務器若配置和各項性能并不是良好的話，攻擊的效果更為明顯，然而伴隨著科學技術的發展，計算機技術和網絡技術也在進步，計算機的內存不斷變大、運行速度也大大提升，DoS攻擊也不再具有的明顯的效果，被攻擊的主機在受到攻擊時其性能也不會出現明顯的下降，因此順勢出現了DDoS攻擊。DDoS攻擊的平臺是聯合起來的多個計算機，利用服務器技術對主機進行攻擊，攻擊方式是多端發起的協作攻擊，這將攻擊力大大進行提升。

在進行攻擊前首先要對目標的信息進行搜索，對攻擊對象的主機數量、主機配置和地址信息等進行必要的了解，在對互聯網的站點進行攻擊時，一定要對支持站點的主機數目進行明確。大型的網站通常情況下會運用負載均衡技術，將訪問的IP地址通過特定的算法對下屬的主機進行分配，使一個IP地址對應著多臺主機。此外，還需要準備傀儡機，并且傀儡機的數量要足夠，攻擊者通過網絡掃描對存在漏洞的機器進行排查，隨后進行入侵，在入侵后將后門植入到傀儡機當中并將痕跡清除，有時也會將攻擊所使用的程序安裝到傀儡機上，通過傀儡機進行遙控攻擊。前期的準備工作完成后，攻擊者就可以對主機進行攻擊，向傀儡機發出攻擊命令，預先安裝在傀儡機中的攻擊程序就會根據命令對目標主機進行攻擊，致使目標出現死機的現象，而無法響應服務器的請求。

二、有效的防御DDoS攻擊的技術

2.1蜜罐技術

從字面上進行理解，蜜罐是極具誘惑性的，在計算機領域中的含義，它就是一臺接入互聯網但是卻沒有采取防范措施的機器，相比于一般的主機，它能夠對運行的數據等進行記錄，并且存在著較為明顯的缺陷和漏洞，誘惑攻擊者對其進行攻擊，隨后對攻擊者的信息進行收集，保護主機。目前的防火墻基本都能夠對DDoS攻擊進行檢測，若遇到攻擊，防御系統會自動開啟定向的模塊，將攻擊引向蜜罐主機，蜜罐主機相比于正常的主機在功能上并沒有過大的差別，由于大部分的攻擊都被蜜罐主機所阻攔，所以服務器主機并不會遭受到過多的攻擊請求，進而對服務器起到了保護作用，并且蜜罐主機能夠利用自身的日志對攻擊數據進行分析，為保護網絡的系統安全提供幫助。

2.2 SYN Cookie技術

對網絡安全威脅性最大的攻擊之一就是拒絕服務攻擊，SYN Flood是常見的一種攻擊，也具有良好的效果，后來美國的專家提出可以通過SYN Cookie技術對DDoS攻擊進行防御。其原理是在SYN請求發送到服務器主機時，服務器會相應地進行應答，并將數據包SYN+ACK進行返回，在正常狀態下，序列號是一組隨機數或者是根據某種計算方法所得到的數字，但是SYN Cookie技術中的序列號是利用hash運算對一些安全數值進行計算和加密，最后得到的數值就是cookie，不過并不具備專門的數據區域。當服務器又一次收到了TCP ACK包時，可以根據cookie值對數據包的合法性進行檢查，若合法再繼續進行分配數據。在進行計算時，并不需要將數據進行保存，降低對內存的消耗量，對主機有限的內存進行保護。

2.3過濾技術

若是在DDoS攻擊已經發動攻擊后才對服務器主機進行防御措施的運行，會將較大的壓力都壓在服務器主機之上，因此主機并無法做出快速的反應對攻擊的情況進行緩解，所以大部分的網絡防御設備都會在服務器主機的前端進行設置和安裝，比如防火墻。過濾技術就是指對網絡邊界進行過濾，在網絡邊界進行分散式布置過濾機制的技術，如路由器上，在網絡邊界流經的數據包都要被過濾機制查詢，若發現數據包并沒有直接聯系本網絡，就會將此數據包視為偽造并進行過濾，對服務器主機的壓力進行有效緩解，將大部分的攻擊數據包都進行過濾和排除，并且能夠較為便捷地對攻擊數據包進行IP地址的追查。

三、結語

在當前網絡不斷發展的今天，網絡安全的問題已經成為了各國研究的重點，并且基本無法做到絕對的網絡安全，網絡協議自身的漏洞等都是不可避免的事情，因此采取積極的措施進行預防和應對，減小損失。

參 考 文 獻

[1]何亨，黃偉，李濤，曾朋，董新華.基于SDS架構的多級DDoS防護機制[J].計算機工程與應用，2016（01）.

[2]莊建兒.淺析網絡DDoS攻擊與治理[J].通訊世界，2015（01）.

[3]李江，張峰，付俊，楊光華.一種基于資源感知的小流量DDoS攻擊防御方法[J].電信工程技術與標準化，2013（12）.