现代网络环境中对于DDos攻击研究

开篇：润墨网以专业的文秘视角，为您筛选了一篇现代网络环境中对于DDos攻击研究范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘 要 本文对ddos攻击作出了系统的分类和介绍，阐述了攻击的特点。针对内网的网络特性和DDos攻击的特点、原理，提出了内网防御DDos攻击的隔离网闸技术。文章中对隔离网闸做了相关的介绍，突出了隔离网闸在安全趋势上的优越性。

关键词 DDos攻击 隔离网闸 数据交换

中图分类号：TP393 文献标识码：A

DDos攻击，也就是我们经常说的分布式拒绝服务攻击。当今社会，信息高度发达，在计算机技术发展的同时，网络攻击技术也应运而生，各种网络攻击利用病毒种植、系统入侵等多种手段，严重破坏受害主机功能的正常运行，导致大量数据和资源的泄露和破坏，给人类社会造成了不可挽回的巨大的经济和资源损失。其中，DDos攻击实时网络攻击中最为常见也是破坏性最为强大的一类计算机攻击手段，目前在国内外也已经发生多起DDos攻击事件，社会影响恶劣，在国际社会上引起了广泛的关注。

1背景及意义

随着网络技术的飞速发展，DDos攻击不断增多：国内外一些网站和站点多次遭受攻击，“SQL蠕虫”、“CodeRed”和“冲击波”等攻击性病毒都是以发动DDos攻击为主要目的，对网络环境造成了重大的影响。当前，DDos攻击已经严重威胁到了网络安全。近几年，我国各大政府网站、门户网站以及银行网银系统均遭受过不同程度的大规模的DDos攻击，造成了巨大的经济损失和恶劣的社会影响。

2 DDos攻击介绍

2.1 DDos攻击的原理

DDos攻击是由传统的DOS攻击演变发展而来的一类攻击方式。它的原理是通过使网络过载以干扰甚至阻断正常的网络通讯。它是利用一批受控制的计算机在同一时刻向一台机器发动攻击，很快消耗目标主机的网络资源，从而导致合法用户被拒绝提供服务。

DDos攻击可分为四层：攻击者、主控端、端和受害者，它们在攻击过程中发挥着各自的作用。

（1）攻击者：DDos攻击的发动者，攻击者控制主控端，并能把相应的分布式拒绝服务攻击程序发送到平台上。

（2）主控端：它是控制者以不正当方法入侵并控制的部分计算机，这些计算机分别控制着许多主机，主控端计算机上装有特定功能的程序，因此能接受攻击者发送的指令，并将命令传送到端。

（3）端：主控端主机与受害者主机之间的过渡主机，端的主机真正向受害主机发动攻击。在平时这些主机没有什么异常，不易被人们发现，但当攻击者连接上这些主机并发送指令的时候，就会向受害主机发动攻击。

（4）受害者：受到DDos攻击的主机、交换机、路由器等网络设备，受到攻击时，设备上的宽带或资源会被完全消耗。路由器、防火墙的阻塞甚至会导致恶性循环。

2.2 DDos攻击者的分布式特征

分布式拒^服务攻击是处于不同地区的多个攻击者同时向一个或者多个攻击对象发送恶意攻击包，或者一个或多个攻击者控制了位于不同地区的多台傀儡计算机并利用这些傀儡计算机像被攻击对象同时实施攻击。其特点如下：

2.2.1攻击流不易识别特性

DDos攻击流与网络用户之间通讯的正常数据流极为相似，两者难以区分，因为它们都符合网络协议并能同过lnternet中的路由选择，从而DDos攻击的攻击流并不会被路由选择协议所过滤掉。也正因为这个特点，DDos攻击的攻击流通常极难被用户发现，具有很强的隐蔽性。

2.2.2 DDos攻击是洪泛攻击

既是受害者能从数量庞大的接收包中找到分布式拒绝服务攻击的攻击包，受害者也没有能力抵御大规模的洪泛攻击。

3 内网DDos攻击防御技术―隔离网闸

隔离网闸技术是通过专用硬件使两个或两个以上的网络在互不连通的情况下达到数据传输安全和内网资源的共享的技术，其英文名称为GAP，隔离网闸可以在物理隔离的层面防御DDos攻击，在内网安全防护上是一个巨大的突破。

其基本工作原理是断开网络之间连接的所有通用协议，将数据包分解或者重组伪静态数据，并对得到的安全数据进行安全审查，确保数据安全后才让静态数据进入网络内部，用户必须经过严格的身份认证机制才能获取需要的数据。外部网络数据到达外部网络处理区后，要进行第一次病毒过滤、协议转换以及相应结构防护。到达内部网络处理区后，要进行第二次数据过滤、协议转换和结构防护，除此之外还需要进行相应的安全审计、访问控制和身份验证等工作。通过这两次的过滤和协议防护，有效地对DDos攻击进行安全防护，保护主机的各项数据资源不受侵害。

隔离网闸技术最为突出的技术优势是对外部网络和内部网络的数据交换过程中对内部数据的有效保护和对外部数据的有效过滤，很大程度上为各个重要单位及企事业公司的业务数据和网络服务提供了相对可靠的防护。

网络安全永远是世界各国关注的焦点，因为它不仅关乎网络秩序和安全，更加与一个国家的军事、经济和政府命脉密不可分，因此，我们更要对以DDos攻击为代表网络安全隐患进一步学习了解，提高我国网络安全防护的能力。

参考文献

[1] 周伟，王丽娜，等.一种新的DDos攻击方法及对策[J].计算机工程与应用，2013（1）：144-146.

[2] 黄振朴.分布式拒绝服务供给原理及防范措施[J].广西科学院学报，2011（11）.

[3] 张洁.基于熵的DDos攻击检测技术研究[J].软件工程，2010.

[4] 陈明奇.分布式拒绝服务攻击处理实例分析[J].信息网络安全，2007（6）.