DDoS攻击原理与防御研究

龙源期刊网ＤＤｏＳ攻击原理与防御研究作者：徐向阳来源：《电脑知识与技术·学术交流》2008年第22期摘要：DDoS攻击利用TCP／IP协议本身的漏洞和缺陷。攻击者利用成百上千个被“控制”节点向受害节点发动大规模的协同攻击。通过消耗带宽、CPU和内存等资源，达到被攻击者的性能下降甚至瘫痪和死机，从而造成其他合法用户无法正常访问。如果通过适当的办法增强了抵御DDoS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDoS攻击。关键词：DDoS；攻击；防御中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)22-659-021DDoS的概念分布式拒绝服务攻击(DistributedDenialofService)是一种比较新的黑客攻击方法，最早出现于1999年夏天。从2000年2月开始，这种攻击方法开始大行其道。2000年2月7日，在雅虎网站因遭到外来攻击而瘫痪的第二天，美国另外几家著名的因特网网站又接连遭到攻击，并造成短时间瘫痪。分布式拒绝服务攻击使用与普通的拒绝服务攻击同样的方法，但是发起攻击的源是多个，通常来说，至少要有数百台甚至上千台主机才能达到满意的效果。2DDoS攻击的原理DDoS的理论和技术很早就为网络界所认识，而近来分布式拒绝服务才开始被攻击者采用并有泛滥趋势。它利用了TCP／IP协议本身的漏洞和缺陷。攻击者利用成百上千个被“控制”节点向受害节点发动大规模的协同攻击。通过消耗带宽、CPU和内存等资源，达到被攻击者的性能下降甚至瘫痪和死机，从而造成其他合法用户无法正常访问。和DoS比较起来，其破坏性和危害程度更大，涉及范围更广，也更难发现攻击者。传统的DoS攻击利用了软件漏洞或系统负荷过度从而使计算机系统无法被正常访问，一般只是一台机器向受害者发起攻击。而DDoS是由攻击者在多台机器上或与其他人合作，同时向一个目标主机或网络发起攻击，被攻击者在同一时间内收到大量数据包不是一台主机发送来的，这使得防御变得非常困难。同时，因为攻击来自广泛的IP地址，而且来自每台主机的少量数据包有可能从入侵检测系统(IntrusionDetectionSystems，IDS)眼皮下溜掉，所以探测和阻止也就变得更加困难。如是单一的IP地址攻击，可以在防火墙封锁该p。如果是很多台主机的话，封锁就变得极其困难。只要用户连接到了Internet，攻击者就有机会发送大量用户根本处理不了的数据，造成拒绝服务攻击。龙源期刊网主要由两部分组成：主控端主机上的客户端和代理端主机上的守护进程。主控端向代理端发送攻击指定的目标主机列表，代理端据此对目标主机进行拒绝服务攻击。由一个主控端控制的多个代理端主机，能够在攻击过程中相互协作，保证攻击的连续性。主控端和代理端的网络通讯往往是经过加密的，还可能混杂了许多虚假数据包。整个攻击可以使用不同的TCP、UDP或ICMP包进行通讯。而且主控端还能伪造其IP地址。DDoS攻击的这些特性使得防御其攻击变得非常困难。DDoS攻击的原理如下图所示。■攻击者为了隐藏自己，以免被跟踪和定位，以及加大攻击力度，往往采用三层结构，包括攻击者、中间层和受害者。而中间层包含受控者和受控攻击者。DDoS攻击过程如下：攻击者通过漏洞或木马技术入侵受控者，在受控者的机器上移植木马服务程序。由受控者通过扫描等技术，查找有漏洞、适合的受控攻击者，植入攻击服务程序。当攻击者发起DDoS攻击时，只需要确定目标机器，通过木马客户端向受控者发出指令，受控者再向受控攻击者发出指令。具体的DDoS攻击由受控攻击者完成。这样做可以减少攻击者的直接控制，以及攻击者和受控攻击者的信息交换，减少被发现和跟踪的可能性，让受害者更难确定攻击者的位置。为了提高DDoS攻击的成功效率，攻击者需要控制很多被入侵主机。这些主机通常是Linux和SUN机器，而且Unix、Solaris和Windows平台的机器也能被用于DDoS攻击，而且攻击工具很容易被移植到其他平台上运行。这些攻击工具入侵主机和安装程序的过程都是自动化的。这个过程可以分为以下几个步骤：①探测扫描大量主机来寻找可以入侵的目标主机；②入侵有安全漏洞的主机并且获取控制权；③在每台入侵主机中安装攻击程序；④利用已经入侵主机继续进行扫描和入侵。攻击者在攻击取得成功后，为了能够方便下次再轻易地返回系统，专业黑客在退出系统之前，肯定要留下一些后门。对于后门，管理员比较难以察觉，因为在没有发现攻击者的情况下，很少管理员会主动去查找是否系统里留有攻击者的后门。后门的类型五花八门，种类繁多，有些可以通过工具或自检查到或处理掉，有些就比较麻烦，可能要花费大量的人力和物力。高级复杂的后门如“内核后门”是很难发觉到的，除非重装系统，否则不能保证没有后门留在里面。攻击者在攻击取得成功后要做的另一件事就是攻击痕迹清除或将攻击行为转嫁。如果获得了访问系统的完全权限，攻击者很容易修改系统上的事件日志来掩盖留下的任何痕迹。3DDoS攻击的防御对付DDoS是一个系统工程，想仅仅依靠某种系统或产品防住DDoS是不现实的，可以肯定的是，完全杜绝DDoS目前是不可能的，但通过适当的措施抵御90%的DDoS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDoS的能力，也龙源期刊网就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDoS攻击。1)采用高性能的网络设备首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。2)尽量避免NAT的使用无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。3)充足的网络带宽保证网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。4)升级主机服务器硬件在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P42.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。5)把网站做成静态页面大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧!新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此龙源期刊网外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。6)增强操作系统的TCP/IP栈Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDoS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能抵御数百个。7)安装专业抗DDoS防火墙4结论采用以上对抗DDoS的建议，绝大多数拥有自己主机的用户可以避免DDoS攻击，但假如采取以上措施后仍然不能解决DDoS问题，就有些麻烦了，可能需要更多投资，增加服务器数量并采用DNS轮巡或负载均衡技术，甚至需要购买七层交换机设备，从而使得抗DDoS攻击能力成倍提高，只要投资足够深入，总有攻击者会放弃的时候，那时候你就成功了！参考文献：[1]周晓冬,黄永泰,等.DDoS攻击原理及对策研究[J].计算机与现代化,2004(3):21.[2]陈庄.计算机网络安全技术[M].重庆:重庆大学出饭社,2001.[3](美)史蒂文斯.TCP/IP详解[M].北京:机械工业出版社,2000.[4]李涛.网络安全概论[M].北京:电子工业出版社,2004.[5]杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003.[6](美)福罗赞.TCP/IP协议族.3版[M].北京:清华大学出版社,2006.