DDoS攻击方式与防御技术研究

开篇：润墨网以专业的文秘视角，为您筛选了一篇DDoS攻击方式与防御技术研究范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要:ddos(分布式拒绝服务)攻击是当前网络安全中最难解决的问题之一。通过对DDoS攻击方法的介绍,分析了DDoS攻击的原理,提出了防御DDoS攻击的方案,并对确定DDoS攻击源的方法进行了探讨。

关键词:DdoS(分布式拒绝服务)攻击;网络安全;攻击源追踪

中图分类号:TP393.08文献标识码:A文章编号:1009-3044(2009)13-3392-02

1 引言

分布式拒绝服务攻击(Distributed Denial of Service,DDoS)由于其可用工具多、容易操作、攻击范围广、隐蔽性强、简单有效等特点,其发生频率越来越高,极大地影响网络和业务主机系统的有效服务,被公认为互联网上最难解决的问题之一[1],现已对网络安全构成了重大威胁,它是近年来新出现的且被经常使用的一种攻击方式。它借助于C/S技术将大量计算机联合起来作为攻击平台,使用攻击机、主控机、傀儡机三层网络结构,采用IP地址欺骗技术在同一时间对某个目标发动的DoS攻击,极大地提高了攻击的成功几率,同时攻击者通常很容易将少数的主控机的日志、路由等信息清理干净,使得难以追查攻击者。DDoS的攻击原理如图1所示。

2 DDoS攻击方式介绍

攻击者在攻击前为了提高攻击的成功几率,通常会想方设法将目标主机的一系列参数搞到,其中比较重要的是目标主机的IP地址、服务器网络带宽、服务器的配置、性能(对于使用负载均衡的还要了解其服务器的个数)。当得到网络带宽和服务器的性能后攻击者会根据两者的参数进行计算、比较,选择一种能够比较奏效的方式实施攻击。

DDoS攻击方式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即过量攻击包导致网络带宽被阻塞,致使合法网络包被虚假的攻击包淹没而无法到达主机。另一种为资源耗尽攻击,主要是针对服务器主机的攻击,大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务,严重时甚至造成服务器的死机。近年主要的DDoS攻击统计结果[2]和常见的攻击方式和工具如表1所示。

至于进行攻击,这已经是后期的工作了,在选择好一种攻击方式后,最重要的就是要建立攻击平台。在建立攻击平台的时候。黑客最感兴趣的是有下列情况的傀儡机主机:安全管理水平差的主机、链路状态好的主机、性能好的主机。对于安全水平差的主机攻击者能够更便于控制,对于链路状态好和性能好的控制主机可以减少傀儡主机的数量来达相同的攻击效果。近年主要的DDoS攻击统计结果表明,目前大多数DDoS攻击主要采用TCP洪流攻击,大多数的DDoS攻击是通过TCP协议实现的。因此,对于基于TCP协议的服务必须进行重点防护,保护TCP部分的带宽将能保护绝大多数的服务。

3 DDoS的防御措施

一般对DDoS攻击采取的防御措施主要有如下几种:

1) 网络节流和服务器均衡技术:在网络管理方面,首先要在有网络带宽保证的前提下,要优化路由和网络结构,配置好安全规则,在网络设备流量较大的时候采取丢报的方式来维持其功能的正常,丢掉的数据报会包含攻击的数据报和正常访问的数据报。另外,尽量提升主机服务器硬件配置,利用负载均衡技术可以让多台服务器或多条链路共同承担一些繁重的计算或I/O任务,从而以较低成本消除网络瓶颈,提高网络的灵活性和可靠性。

2) 报文过滤技术:可以分为基于入口报文过滤和基于路由报文过滤两种技术。入口报文过滤[3](Ingress Filtering)是一种对付匿名攻击的方法,可以过滤掉伪造源IP地址的数据包。这种机制主要是配置在路由器的入口,通过网络提供者(ISP)利用路由器将来源地址不属于该客户区域的数据包过滤掉。要求路由器有足够能力去检查每个包的源IP地址,并且能够有足够的能力去区别合法的和非法的地址。因此,入口过滤在ISP的边缘或者客户网络中更加有作用,这里处理数据包更加明确,并且流量负载相对低些。基于路由报文过滤(RPF,Route-based Packet Filtering)本质上是将入口报文过滤机制扩展到了Internet核心。与后者不同,RPF使用路由信息分辨出伪造IP地址的报文。该机制在Internet核心路由器部署大量报文过滤器,根据报文的源地址和目的地址,以及边界网关协议(GP)路由信息,判断该报文是否来自正确链路。如果某报文的来源和它所声称的来源不符,则该报文将被丢弃。RPF机制的先进之处在于它并不使用或存储个别主机地址用于过滤,而是利用了自治系统(AS)的拓扑信息。

3) 防火墙:中继防火墙的作用就是一个SYN,防火墙代替了服务器去处理SYN攻击,SYN程序工作在用户层,处理半连接数量也是有限的,很容易被攻破。另外,由于增加了一次进行TCP的三层握手,不可避免地引起TCP连接的延迟。半透明网关防火墙作用是当客户端的TCP连接请求到来时,防火墙会让这个数据包通过到服务器端,服务器端回应SYN+ACK数据包时,防火墙也会将这个数据包转发到客户端,并且会送一个ACK数据包给服务器端,提前完成TCP连接过程。如果说在一个特定时间内,防火墙没有再收到客户端的ACK数据包,这时防火墙会送一个RST数据包给服务器端,将刚刚的连接断开。如果是正常的用户,这时客户端会收到两次的ACK数据包。当连接建立之后,数据传输将不会受到防火墙的控制。

4) 加强对傀儡机的检测。傀儡机又被称为“肉鸡”,金山毒霸反病毒专家李铁军表示,“从广义上讲,遭遇木马攻击的电脑均可以称为肉鸡。”金山毒霸云安全中心监测数据显示,截止至2009年月19日,全国累计超过3800万台次计算机遭遇木马攻击,其中专门针对网银的木马暴涨近10倍,互联网用户的财产安全面临巨大威胁。用“肉鸡”查杀软件对电脑进行查杀,既是对自己负责,也是对他人负责,及早发现系统中存在的漏洞,做出相应的处理。另外,对一些重要的信息(例如系统配置信息)建立和完善备份机制,对一些特权账号(如管理员账号)的密码设置尤其要谨慎。

4 对攻击的追踪

随着DDoS攻击工具自动化程度越来越高, 破坏力和隐蔽性愈来愈强,DDoS攻击已经成为Internet 安全的一个严重威胁,为了能更好的追踪DDoS攻击源。攻击追踪的目标就是查出攻击的真实来源,由于攻击者基本上使用IP欺骗技术来隐藏攻击的实际源头IP,攻击追踪困难重重。同时,对于DDoS的攻击的追踪需要巨大的人力、物力和财力来支持,这两点也是DDoS攻击猖獗的重要原因。因此,在当前条件下,如何能够快速、成功的追踪到DDoS攻击源已经成为目前研究人员研究的热点。目前国内外的专家提出了几种解决DDoS 的攻击源追踪方法,主要分为数据包标记方法、日志记录技术、基于ICM P的技术、input debugging、controlled flooding等几大类,表2对这些方法的优缺点进行了总结。

通过上述表格中的对比我们不难发现,数据包标记方法由于具有较低的管理负担、较少的负载、良好的可扩展性等特性成为当前IP追踪的热门方法,这一方法的关键就是对于攻击树的再现。攻击树的再现就是要将攻击过程中合法用户和非法用户的数据包进行分离,因为目标机不仅会收到攻击者发来的攻击性数据包,还会收到正常用户发来的合法数据包。基于概率的数据包标记算法(PPM,Probabilistic Packet Marking)则能更快的构建出攻击树来[5],其主要原理如下:路山器以一定的概率P(通常是1/ 25),用其IP地址或IP地址的一部分随机标记经过它的数据包。当发生DDo S攻击时,受害者根据其收到的攻击数据包中的标记信息,重建攻击路径。使用PPM算法,路由器负担较小,采用标记边压缩和分片技术大大降低了额外的网络流量,对攻击后这种方法也同样的适用。

5 结束语

对于DDoS攻击来说并没有绝对有效的防御手段。但是由于攻击者必须比防御者付出更大的努力才能成功,所以只要我们对DDoS攻击有很好的了解,积极部署防御措施,还是能够在很大程度抵御这种安全威胁。

参考文献:

[1] 蒋平.DDoS 攻击分类及趋势预测[C]//全国网络与信息安全技术研讨会,北京:人民邮电出版社,2004.

[2] 刘峰,范松波,周斌.DDoS攻击报文过滤器在Linux防火墙中的应用[J].长沙通信职业技术学院学报,2005,4(3):23-25.

[3] Nort hcutt S.网络入侵检测分析员手册[M].北京:人民邮电出版社,2000.

[4] 赵恒,王宁宁,荣瑞峰.DDoS的攻击与防御[J].信息技术与信息化,2007(3):28-30.

[5] 张健,陈松乔,戴昭,等.一种通用的大规模DDoS攻击源追踪方案研究[J].小型微型计算机系统,2007,3(3):431-437.

李有琛(1983-),男,山东平度人,硕士研究生,主要研究方向:计算机安全技术;

刘泰康,男,研究员;姜云,女,高级工程师。