探讨DDoS的攻击原理及防御方法

龙源期刊网的攻击原理及防御方法作者：于倩尹凯文汇杨凯钰庞朝曦来源：《信息安全与技术》2015年第03期【摘;要】当前DDoS攻击已成为网络安全的主要威胁，使互联网用户面临着严峻的挑战，因此近年来人们越来越关注到DDoS的攻击原理及其防御措施。文章在探讨DDoS的攻击原理、分类的基础上，提出了DDoS攻击相应的防御策略。【关键词】分布式拒绝服务;互联网安全;防御系统DDoSAttackPrincipleandDefenseMethodsareDiscussedYu;Qian1;Yin;Kai;1;Wen;Hui;1;YangKai-yu1;PangChao-xi2（1.YunnanUniversitySoftwareInstitute;YunnanKunming;650091;2.YunnanUniversitySchoolofEconomics;YunnanKunming;650091）【Abstract】Atpresent，theDDoSattackhasbecomethemainthreatofnetworksecurity，Internetusersisfacedwithseverechallenges.Therefore，inrecentyears，peoplemoreandmoreattentiontotheDDoSattackprincipleanditsdefensemeasures.IstoexploretheinfluenceofDDoSattack，onthebasisofprinciple，classification，andputforwardtheDDoSattacksthecorrespondingdefensivestrategy，foryourreference.【Keywords】distributeddenialofservice;internetsecurity;defensesystem1;;引言目前，针对DDoS攻击出现了多种防御手段，包括黑洞路由、CAR流量限速、端口访问控制、客户端防御设备等，对DDoS攻击起到了较好防御效果，在一定程度上确保了互联网业务的正常运转。2;;DDoS攻击的基本原理及分类2.1;DDoS攻击的基本原理DDoS作为一种常见的大规模计算机网络攻击方式，该攻击方式主要基于Dos分布与协作模式，经互联网系统对其他受控制的联网计算机对目标系统或者网络资源实施直接或者间接攻击。DDoS在攻击中可灵活选取多种不同DoS攻击方式，可同时攻击多个目标系统或者网络资源。在攻击中通过消耗被攻击者的内存、CPU及网络资源，促使被攻击目标计算机系统或者龙源期刊网网络痴出现死机、瘫痪，使得其它合法访问行为无法正常执行。DDoS与其他网络攻击方式相比而言，其攻击范围更大、破坏性更大，且不易发现攻击者踪迹。DDoS攻击原理如图1所示。2.2;DDoS攻击的分类对于DDoS攻击的分类方法较多，根据DDoS攻击的攻击速率可分为动态变化攻击和持续稳定攻击;根据DDoS攻击工具的自动化程度，可分为全自动化攻击、半自动化攻击及手动攻击。而根据攻击所采用的方式可分为服务器资源消耗型、带宽消耗型及TCP/IP协议漏洞利用型等。3;;DDoS攻击常见的防御方法在互联网安全领域中由于受到DDoS攻击的影响，目前越来越多的人关注到了DDoS防御方法，虽然当前针对DDoS防御方法较多，以下对一些主流的防御手段进行分析。3.1;客户端防御设备客户端防御设备其主要指将入侵防护系统（IPS）、防火墙等防御设备部署在客户端以防护DDoS攻击，这种防御手段在发生攻击时，可封堵和过滤攻击流量。这类CPE客户端防御设备不能为运营商到企业边缘路由器的访问链路提供有效的保护，主要因其位置处于网络路径下游远端，导致DDoS攻击企业网的出口链路部分，一旦DDoS流量堵塞出口链路，则下游的防御设备（如IPS、防火墙等）将失去抵御作用。同时，因IPS、防火墙这类设备实现保护主要是通过过滤具有攻击性的数据，而合法数据报文形式是DDoS攻击包中较为多用的，因此可避免IPS、防火墙的检测机制。但在串联攻击目标之前这类设备会消耗大量的性能资源对DDoS攻击数据包进行处理，因此，DDoS很可能将这类客户端设备作为攻击对象。3.2;端口访问控制端口访问控制实现对DDoS攻击的防御主要是运用路由器的访问控制列表（ACL）功能。在路由器中ACL是一项重要的安全功能，该功能所有的路由设备均支持。通过ACL，除了可应用于路由的再分配以外，还能实现网络访问控制策略。为防御DDoS攻击，对IP网用户上网流量通过在互联网的汇聚层或接入层实施端口过滤策略，在用户访问Internet不受任何影响的前提下，对DDoS工具端口和网络蠕虫端口实现过滤，从而对DDoS攻击实现防御作用。但若对DDoS攻击来自于互联网，则难以对DDoS攻击进行精确定位，从而难以制作面向源地址的访问列表，往往为了达到攻击者的目的，将面向这个服务器的访问控制量列出，并将所有请求所连接的数据包清除掉。此外，通过该方式，对于应用层的DDoS攻击类型和虚假攻击源无法识别。龙源期刊网流量限速约定该问速率（CAR）是指允许流出某一接口流量数量或某一网络设备严格限制流入的一种技术，通过该技术可对某类IP流量或所有IP流量使用CAR流量限速[3]。此外，将CAR流量限制功能应用在互联网中，有利于减少DDoS攻击对网络或系统造成冲击，尤其是对UDPflood、ICMPflood等flood形式的大流量型攻击。3.4;黑洞路由黑洞路由是一种防御DDoS攻击的技术，通常运营商较为多用。当攻周流量到时达网络边缘设备PE路由器时，BGP更新信息会经一台触发路由器向所有PE路由器发送，从而使PE路由器对流量的丢弃得到控制，也即将其转发到一个“路由黑洞”，从而使整个网络和主机受到保护不被影响。但该方式的缺点在于还能区别处理所牵引的数据包，使合法用户也被拒绝，从而导致间接的DDoS攻击。4;;结束语长期以来，在互联网安全领域中一直将如何有效防御DDoS攻击作为一个重点和难点问题，随着DDoS的防御技术的不断发展，因网络开放式架构及TCP/IP协议本身的特点，对于DDoS的攻击目前尚没有一种方法可从根本上解决。为确保网络安全，除了要采取一系统的防御措施之外，还应加强网络安全工作者与用户之间的合作。由于分布式为DDoS攻击的主要特征，因此需要大范围分布式的共同防范才能做好防御工作，由于现有的防御方法具有各自的优缺点，若将各种技术方法相融合，与单一方法相比所产生的防御效果更佳。参考文献[1]崔永君，张永花.基于DDoS攻击的研究[J].计算机时代，2010（3）：27-28.[2]杨文静，陈义平.一种新的分布式DDoS攻击防御体系[J].现代电子技术，2009（19）：54-57.[3]李光永，梁丰.网络蠕虫型分布式拒绝服务攻击的原理及防御[J].数据通信，2004（8）：44-45.基金项目：本论文受云南大学博士学位科研项目（XT412004）资助。作者简介：龙源期刊网于倩（1975-），女，河南汤阴人，博士，云南大学软件学院，讲师;主要研究方向和关注领域：软件过程和分布式技术。