DDOS的防御

DDOS的防御（精选10篇）

DDOS的防御 第1篇

在众多的网络攻击中，DDoS(Distributed Denial of Service分布式拒绝服务)攻击是一种常见的、危害极大的网络攻击方式，因此如何防范DDoS攻击也成为了人们高度关注的网络安全问题之一。

目前，校园网络中基本都会配置防火墙等网络安全工具，这些工具可以对DDoS攻击起到一定的防范作用，但都还不能完全绝对地防范DDoS攻击，为此我们还应加强校园网中计算机自身的防御能力，以减少遭到DDoS攻击的可能。本文就基于主机的DDoS防御问题进行了探讨。

1 DDoS攻击的原理

DDoS是在网络中通过数目众多的分布式攻击源进行协同操作，同时进行大量的拒绝服务(DoS)攻击，从而达到让攻击目标瘫痪的一种攻击方式[1]。

一般情况下，一个DDoS攻击体系主要包括攻击者、主控端、傀儡机和攻击对象四个部分。它是攻击者利用网络中的一些计算机防护能力较差或者存在系统漏洞，非法入侵并控制它们，使之成为主控端或傀儡机，进而通过主控端操纵大量傀儡机，让这些傀儡机在其命令下对攻击对象发起攻击。

常见的DDoS攻击有SYN/ACK Flood、smurf、Land-based等。

SYN/ACK Flood攻击：这是经典最有效的DDoS攻击方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务[2]。

smurf攻击：该攻击是利用一个虚假IP源地址(即要攻击的主机地址)，向受害网络的广播地址发送一个ICMP应答请求的包，当受害网络中的所有主机都对广播包的请求进行回应时，这些包就会涌向被攻击的主机，从而最终导致攻击目标的资源被耗尽。

Land-based：该攻击是攻击者利用IP伪装技术将数据包的源地址和目的地址均设为攻击目标的地址并发给攻击目标。当这种包发向攻击目标时，攻击目标会因为试图与自己建立连接而陷入死循环状态，最终造成系统性能严重降低。

2 主机遭到DDo S攻击的常见现象

如何判断计算机是否受到了DDoS攻击呢?如果网络中的主机出现以下这些现象就应该引起注意：

1)计算机系统的性能突然严重降低，CPU的使用率高达90%以上，系统运行缓慢甚至出现蓝屏停止工作等。

2)当服务器的访问量骤增，比平常正常运行时的最大流量高出十几甚至上百倍。

3)当服务器上出现的数据包很多不是服务器所提供服务连接的一部分，例如FTP服务器上出现的数据包不是指向FTP端口而是其它的端口。

4)服务器上用Netstat-na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少。

5)服务器提供的某一服务总是失败。

6)检查日志文件，发现日志文件有漏洞或日志时间出现变更。

3 基于主机的DDoS防御方法

我们知道，DDoS攻击的出现可能会对校园网产生很大危害，所以在校园网中进行DDoS防御显得相当重要。

校园网中除了在路由器、防火墙等工具中设置防御，还应在主机上设置自身的防御，这是因为网络中计算机可能成为DDoS攻击中的主控端、傀儡机或攻击对象之一。我们不仅要在服务器上进行DDoS防御，而且要在个人计算机上也进行DDoS防御，以提高每台单机防御DDoS的能力。如果校园网中的每台主机防御能力都提高了，那么整个校园网的防御能力也自然会在原有的基础上有所提高。

服务器是特别的主机，它的防御与个人计算机有所不同，接下来我们就来看看在服务器和个人计算机上进行DDoS攻击防御的一些措施。

1)积极关注信息，及时发现系统漏洞，对系统进行补丁。

DDoS攻击是利用计算机系统本身防御能力差或存在漏洞发起攻击，由此可见，受到攻击的很大因素是系统防御能力差或存在漏洞，给攻击者提供了可乘之机，因此及时对系统漏洞进行修补是我们防范DDoS的第一步。

2)入侵者一般是通过扫描端口，找到漏洞进而攻击计算机，所以在计算机上关闭不使用的、危险的端口是十分必要的。

关闭端口前，我们应该先确定在计算机上有哪些端口是开放的。打开命令窗口，输入netstat–na命令，就可以看到计算机当前有哪些端口是开放的(如图1)。之后我们根据需要关闭计算机上的不同端口。

如果是服务器，我们还可以在服务器上关闭不需要的端口，如：服务器只提供Web服务，那么我们只需要开放其80端口。如果不确定服务对应的端口号，可以通过记事本打开%windir%system32driversetcservices来查看相关服务及其对应的端口，再根据需要进行关闭。

那么如何关闭端口呢?以windowsXP为例，我们可以利用系统本身提供的功能进行关闭。打开“控制面板”中的“本地连接”的“属性”对话框，双击“Internet协议(TCP/IP)”在弹出的对话框中单击“高级(v)”按钮，在弹出的“高级TCP/IP设置”对话框中选择“选项”选项卡(如图2)，再单击“属性”按钮，打开“TCP/IP筛选”对话框(如图3)，在对应的端口类型上选择“只允许”后“添加”所需的端口后，单击确定，重启后即可。

当然我们还可以应用一些软件和路由器来关闭端口，这里就不一一说明了。

3)关闭server服务和远程登录服务。

安装了Windows2000、Xp等操作系统系统的计算机中都存在着IPC$。IPC$(Internet Process Connection)是共享“命名管道”的资源，也有人称其为网际进程连接，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用[3]。

telnet服务是提供远程登录服务，用户通过此服务远程访问计算机进行相关操作。

开放IPC$和telnet服务在为管理员管理计算机提供方便的同时也给攻击者提供了机会，攻击者利用这些服务访问计算机从而进行攻击，所以我们可以通过关闭IPC$和telnet服务来提高计算机的安全性。

打开“控制面板”>“管理工具”>“服务”，找到server和telnet服务，分别单击右键，选择“停止”即可。其中server服务停止后，IPC$也被关闭了，但由于server服务本身还涉及到其他服务，因此如果是服务器，在关闭此服务前要判断是否会影响服务器工作。

4)定时检查日志文件，建立相应的日志分析系统，对主机的日志进行分析，以便及早发现入侵行为加以防范。

主机的日志有很多，如安全日志、系统日志、应用程序日志等。如果是服务器，根据它所提供的服务有其对应的日志文件，如FTP日志、WWW日志等。由于日志文件会记录下系统的所有操作，从日志中我们可以及时发现异常现象。当系统被攻击时,通过分析日志可以找出当前的系统漏洞,确定网络安全中的薄弱环节,分析和定位可能出现的攻击,从而采取相应的措施加强网络控制[4]，所以对日志进行分析系统对防范DDoS攻击也是十分必要的。日志数据非常多，仅靠人工分析是不现实的，这时我们可以借助日志分析工具如Faststs Analyzer、Logs2Intru-sions v.1.0、AWStats等等。

要使用日志分析工具，首先要提供日志文件，每个系统都有其日志存放的位置，以windows XP为例，常见的一些日志存放在以下位置：

安全日志文件：%systemroot%system32configSecEvent.EVT

系统日志文件：%systemroot%system32configSysEvent.EVT

应用程序日志文件：%systemroot%system32configAppEvent.EVT

FTP日志文件：%systemroot%system32LogFilesMSFTPSVC1

4 结束语

DDoS(分布式拒绝服务)攻击严重影响着校园网的安全稳定运行，为了改善这种状况，提出了加强校园网中各主机自身对DDoS的防御能力，从而提高全网的整体防御能力。随着网络的发展，新的DDoS攻击方式不断出现，只有不断地进行研究，才能更加有效地进行DDoS防御。

摘要：分布式拒绝服务DDoS是一种常见的、攻击性强的网络攻击,网络中的任何主机都有可能成为攻击的对象。就这种现状,对DDoS的攻击原理、类型和现象进行了分析,提出了一些基于主机本身的DDoS防御方法。

关键词：校园网,网络安全,分布式拒绝服务,主机防御,日志

参考文献

[1]韩竹,范磊,李建华.基于源端检测的DDoS防御机制[J].计算机工程,2007,33(19).

[2]马鸿雁.防范DDoS[J].电脑知识与技术,2009,5(3).

[3]曹英存,张伟峰.限制Windows服务器IPC$的远程默认共享策略[J].和田师范专科学校学报,2006,26.

DDOS的防御 第2篇

1、前言

随着Internet的应用越来越广泛，随之而来的网络安全问题成了Internet发展的主要障碍，特别是分布式拒绝服务攻击对因特网构成了巨大的威胁。目前，由于 采用DDoS攻击成功地攻击了几个著名的网站，如雅虎、微软以及SCO，mazon.com、ebuy、CNN.com、BUY.com、ZDNet、Excite.com等国外知名网站，致使网络服务中断了数小时，造成的经济损失达数百万美元。DDoS攻击由于破坏性大，而且难于防御，因此它已经引起了全世界的广泛关注。阐述的DDoS实时监测模型，能够快速监测出主机或服务器是否在遭受DDoS攻击，如果监测出突然增加的数据流是攻击流的话，能够快速给网络管理员发出警报，采取措施从而减轻DDoS攻击所带来的危害。

2、DoS攻击原理

2.1、DoS攻击概念与原理

WWW安全FAQ[1]给DoS攻击下的定义为：有计划的破坏一台计算机或者网络，使得其不能够提供正常服务的攻击。DoS攻击发生在访问一台计算机时，或者网络资源被有意的封锁或者降级时。这类攻击不需要直接或者永久的破坏数据，但是它们故意破坏资源的可用性。最普通的DoS攻击的目标是计算机网络带宽或者是网络的连通性。带宽攻击是用很大的流量来淹没可用的网络资源，从而合法用户的请求得不到响应，导致可用性下降。网络连通性攻击是用大量的连接请求来耗尽计算机可用的操作系统资源，导致计算机不能够再处理正常的用户请求。

2.2、DDoS攻击的概念与原理

WWW安全FAQ[1]给DDoS攻击下的定义是：DDoS攻击是用很多计算机发起协作性的DOS攻击来攻击一个或者多个目标。用客户端/服务器模式，DDoS攻击的攻击者能够获得很好的效果，远比用多个单一的DOS攻击合起来的效果要好的多。它们利用很多有漏洞的计算机作为攻击平台和帮凶来进行攻击。DDoS攻击是最先进的DOS攻击形式，它区别于其它攻击形式是它可以在Internet进行分布式的配置，从而加强了攻击的能力给网络以致命的打击。DDoS攻击从来不试图去破坏受害者的系统，因此使得常规的安全防御机制对它来说是无效。DDoS攻击的主要目的是对受害者的机器产生破坏，从而影响合法用户的请求。

DDoS攻击原理如图1所示。

图1 DDoS攻击原理图

从图1可以看出，一个比较完善的DDoS攻击体系包括以下四种角色：

(1)攻击者：指 所用的机器，也叫做攻击主控台，

它控制着整个攻击过程，向主控端发送攻击命令。

(2)主控端：是攻击者非法侵入并控制的一些机器，这些主机则控制大量的代理攻击主机。并在这些主控端上面安装特定的程序，以便使它可以接受攻击者发来的特殊命令，并且能够把这些命令发送到代理攻击端主机上。

(3)代理攻击端：同样也是攻击者侵入并控制的一批主机，其上面运行攻击程序，接受和运行主控端发来的命令。代理攻击端主机是攻击的执行者，真正的向受害者主机发送攻击。

(4)受害者：被攻击的目标主机或者服务器。

为了发起DDoS攻击，攻击者首先在互联网上扫描出有漏洞的主机，然后进入系统后在并在上面安装后门程序。接着在攻击者入侵的主机上安装攻击程序，其中的一部份主机充当攻击的主控端，另一部份则充当攻击的代理攻击端。最后各部分主机在攻击者操作下对攻击目标发起攻击。因为攻击者在幕后操纵，所以在攻击时攻击者不会受到监控系统的跟踪，攻击者的身份更不易被发现。

2.3、DDoS攻击的工具

Trinoo[2]是第一个分布很广的DDoS攻击工具而且应用也很广泛。Trinoo[3]是一个消耗带宽的攻击工具，用一个或者多个IP地址来发起协作性的UDP洪水攻击。攻击用同样大小的UDP数据包，攻击的目标是受害机器上的随机端口。早期版本的Trinoo支持源IP地址欺骗。典型的是，Trinoo代理安装在能够使得远端的缓冲区溢出的系统上。软件中的这个漏洞允许攻击者用受害者系统的二级缓存来进行远端编辑和安转运行代理。操作者用UDP或者TCP来和代理端进行通信，因此入侵检测系统只能通过对UDP流量进行嗅探才能够发现它们。这个通道能够加密而且密码也可以受到保护。然而当前的密码不是以加密的方式传送，因此它可以被嗅探，或者被检测出来。现在的Trinoo工具没有提供源IP地址欺骗，因此它的攻击能力可以进一步扩展。

Tribe Flood Network (TFN)[4]也是一种DDoS攻击工具，它提供给攻击者可以同时发起损耗带宽和损耗资源的攻击。它使用命令行界面在攻击者和控制主程序之间进行通信，但是在代理端和主控端间或者在主控端和攻击者之间提供的通信是没有加密的。TFN发起协作性的拒绝服务攻击，是非常难于计算出来因为它能产生多种类型的攻击，能产生欺骗的源IP地址的数据包而且能够使目标端口随机化。它能够欺骗一位或者是32位的源IP地址，或者是后8位。TFN发起的一些数据包攻击包括：smurf，UDP洪水攻击，TCP SYN洪水，ICMP 回复请求洪水攻击和ICMP定向广播。

TFN2K[5]是一种基于TFN结构的DDoS攻击工具。TFN2K攻击增加了对构成攻击的所有组成部分之间的通信消息进行了加密[6]。真正攻击者和控制主程序之间的通信用基于密钥的CAST-256算法进行加密。控制者可以通过TCP，UDP，ICMP来发送攻击命令，可以用这三种中随机的一种，或者是把这三种全用上，则通过网络扫描就更难发现TFN2K攻击了。

DDOS的防御 第3篇

随着DDoS攻击对公众生活影响的加大，与DDoS攻击相关的报道越来越多，公众对在线信息安全日益重视起来。“棱镜门”事件暴露出美国政府无孔不入地通过互联网收集公众信息的事实，引发公众对在线信息安全的强烈关注。

不仅如此，名为联合威胁研究情报组（JTRIG）的英国特工机构以毒攻毒，采用传统SYN泛洪攻击发起一次针对匿名（Anonymous）、鲁兹安全（LulzSec）等黑客组织的DDoS攻击，更是将互联网安全问题推上了风口浪尖。

2013年末，针对NTP（网络时间协议）的攻击开始激增，并在前不久刷新了针对Spamhaus （国际反垃圾邮件机构）的DDoS攻击的纪录。值得注意的是，以往针对Spamhaus的攻击都采用DNS放大技术，而此次攻击则是基于NTP放大技术的攻击，攻击对象是美国云安全服务提供商CloudFlare公司的一个客户。

从以上几起安全事件不难看出：DDoS攻击方式大多简单、粗暴，而且发起DDoS攻击变得越来越容易，那些对计算机技术并不精通的用户也能发起DNS反射攻击。

为了有效防御DDoS攻击，为网络树起一道防线，用户首先要采用高性能网络硬件产品来保护好网络设备；然后要注意更为复杂的应用层（L7）攻击正在不断增多，应采用深度包检测（DPI）产品的保护。而防火墙、入侵防护系统（IPS）等传统安全解决方案受设备设计架构所限，缺乏足够能力去应对大规模的DDoS攻击。事实上，安全基础设施常常是DDoS攻击的直接目标，如果连网络安全系统都遭受破坏，受其保护的那些服务的安全就更无法保障了。

为帮助客户解决现实的安全问题，应用网络技术提供者A10 Networks推出了A10 Thunder TPS系列威胁防护系统产品。该系列产品可为服务提供商和大型企业提供高性能、全网范围的防护，有效抵御DDoS攻击。在遇到各种泛洪型、协议漏洞型、资源耗尽型和其他复杂应用攻击的情况下，服务依旧完好无损。它还能进一步优化现有安全解决方案，使其有足够能力应对大规模DDoS攻击。

Thunder TPS基于A10 Networks的高扩展性的高级核心操作系统ACOS构架，并采用A10 SSMP（可扩展的对称多处理）系统，利用共享内存架构高效地跟踪网络数据流，为服务提供商、网站运营商及企业提供精确的DDoS攻击防护。Thunder TPS将小巧的外形和出色的性能结合起来，通过大幅度降低电源消耗、机架空间和冷却要求来降低运营成本。

具体来说，Thunder TPS产品系列具有以下几个显著特性：

· 多级DDoS防护，确保服务可用性：对于很多客户来说，服务可用性非常重要，故障停机意味着收入损失。Thunder TPS可有效抵御多种类型的攻击，包括泛洪攻击、协议漏洞型攻击、资源耗尽型攻击和应用层漏洞型攻击。Thunder TPS可及时检测并防御这些攻击，确保服务可用性。此外，借助A10 Networks的aFleX深度数据包检查（DPI）脚本技术，Thunder TPS还可以根据需要对高级应用层（L7）攻击采取定制的应对措施。

· 高可扩展性，可适应不断增加的攻击规模：DDoS攻击不断增加的趋势备受关注，不仅攻击发生的频率不断提高，而且数量和复杂程度也与日俱增。借助从40～160 Gbps的DDoS防御性能（集群部署时性能高达1.2 Tbps），即使遇到极大规模的DDoS攻击，Thunder TPS也能有效应对。所有Thunder TPS系列产品都采用基于高性能的FPGA（现场可编程门阵列）的FTA（弹性流量加速）技术，可在硬件中快速检测并防御30多种常见攻击，而不影响通用CPU的运行。更为复杂的应用层（L7）攻击（如HTTP、SSL、DNS等），则由最新的Intel Xeon CPU来处理。

· 高灵活性，可实现无缝集成：为将安全解决方案轻松集成到各种网络架构中，需要厂商提供灵活、中立的DDoS攻击防御解决方案。借助可支持带内和带外操作的灵活部署模式，以及路由或透明运行模式，Thunder TPS可轻松集成到任何规模的任何网络架构中。通过aXAPI（开放的RESTful API），Thunder TPS可集成到自定义或第三方的检测解决方案中。

DDOS防御的新方法 第4篇

关键词：分布式拒绝服务,攻击,防御,包标记,确定性,IP追踪,攻击包识别

1 DDOS攻击原理与防范

1.1 DDOS攻击原理

分布式拒绝服务,DDOS攻击是对DOS攻击的进一步发展[1]。DoS 攻击的目的是要使目标计算机由于大量的系统资源被占用,而导致系统无法正常运行,从而使对外提供的服务失效。DoS 的攻击方式多种多样, 但最基本的就是通过合理的服务请求来使计算机大量的服务资源被占用,而合法用户却因此得不到有效的服务[2]。

从图1可以看出,DDoS 攻击主要分为3层:攻击者、主控机和肉机,三者在攻击中起着不同的作用。

(1) 攻击者

攻击者是整个攻击过程的发出源,负责操控所有的攻击过程,主要负责向主控机发出各种控制攻击命令。他可以是网络上的任何一台主机,甚至可以是一台笔记本。

(2) 主控机

主控机是由攻击者非法入侵并控制的一些计算机,这些计算机上均由攻击者以某种方式安装了特定的应用程序,因此可以接受攻击者发来的攻击指令,并且可以把这些指令发送到肉机上,从而可以实现对目标的攻击。

(3) 肉机

肉机同样也是攻击者入侵并控制的一系列计算机,其上同样安装了攻击者指定的应用程序,可以接受和运行主控机发来的命令,从而实现对目标计算机的攻击。攻击者控制的肉机越多,他的攻击队伍就越大,对目标计算机所造成的影响就越强。

由于在DDOS攻击过程中,攻击者不是直接对攻击目标实施攻击,而是借用其他的计算机完成任务,故在攻击过程中不会受到监控系统的跟踪,身份不容易被发现。

1.2 DDOS常用攻击方法

拒绝服务攻击的具体表现方式主要有以下几种:

(1) 攻击者通过主控机控制肉机不断地产生大量的无用数据,从而造成网络的拥塞,使攻击目标由于数据传输通道被占用而无法正常和外界进行通信。

(2) 利用目标主机提供服务的缺陷,不断重复高速地向目标主机发出固定的服务请求,从而导致目标主机忙于处理一些无用的服务请求,而正常的服务请求却不能正常及时处理。

(3) 利用目标主机提供服务在数据处理方式上的缺陷,不断地向目标主机发送非法数据导致目标主机服务程序错误,从而大量的系统资源被占用,甚至产生死机的状况。

总体来说,DDOS攻击就是一种破坏目标主机网络服务的方式,实际上,DDOS的根本目的是使目标主机或网络失去及时接收和处理外界服务请求的能力,从而使正常的服务请求得不到响应。

1.3 DDOS的常用防御措施

有效防范DDOS攻击的手段主要包含3个方面,分别为使用网络入侵检测工具对网络运行情况进行检测、使用路由器防御和使用防火墙防御[2]。笔者认为在上述3种防御措施中,入侵检测工具相对滞后,防火墙防御需要额外设置工具,所以路由器防御的效果最佳。一般的路由器防御都是通过路由器的访问控制和服务质量设置来达到防御DDoS的目的。而目前处于研究热点中的基于包标记的IP追踪技术和攻击包识别技术[3],正是利用了路由器连接整个互联网这样的特点,提出的有效防止DDOS攻击的手段。

基于包标记的IP追踪技术即为当数据包从一个网络进入另一个网络时,路由器对该数据包进行IP标记,通过这样的IP标记,我们可以很轻松地知道该数据包来自于哪个子网,从而迅速找出发送该数据包的主机。而要防御DDOS攻击,主要就是要找出攻击包的发源地,从而屏蔽从该地址发送出来的数据包,达到保护其他主机的目的。这种基于包标记的IP追踪技术可以很好地追踪数据包的发源地[4]。

攻击包识别技术主要是在数据包标记的基础上提出来的,主要利用在数据包中增加的标记来识别不同来源的数据包[5]。现有方案中大多采用路由器的IP地址作为标记内容,这种标记方式简单有效,但是这种标记方式最大的问题就是攻击者非常容易通过IP地址得到整个网络的结构,从而把整个网络都活生生地摆在了攻击者面前。

针对现有基于包标记的IP追踪技术中存在的问题,本文提出一种新的路由器防御方法追踪包标记法TPM(Tracking Packet Marking)。通过入口路由器对数据包进行标记和签名,能够方便地找到数据包,从而有效防御DDOS的攻击。

2 路由器防御的新方法

2.1 网络划分成若干子网,入口路由器确定包标记

根据路由器在数据转发过程中所起的作用不同,路由器主要分为2类:边界路由器和中间路由器。根据本文描述的需要,先介绍如下定义:

定义1 边界路由器BR(Border Router):即为处于整个网络或者某个子网边界的路由器。

定义2 中间路由器IR(Intermediate Router):除边界路由器以外的路由器均为中间路由器。

定义3 入口点EP(Entry Point):数据包从一个子网进入另一个子网的过程中所经过的第一个路由器。

定义4 入口点签名EPS(Entry Point Signature):数据包在入口点中加上能唯一标识入口点身份信息的字符串(而不是普通的IP地址)。

定义5 跟踪服务器TS(Tracking Server):主要负责一个子网内部的追踪请求验证和跟踪服务,以及一个子网与其他子网之间的相互协作。

追踪包标记法只在入口点执行确定的包标记,也就是入口点签名,对中间路由器不进行任何处理。并且一旦入口点签名确定后,该标识入口点身份信息的字符串在整个数据传输过程中就不再改变,也就是说该签名既是数据追踪的依据,也是进行数据包识别的依据。

追踪包标记法的基本原理如图2所示。

因为每台主机请求发送数据包时都会在入口点处记录下边界路由器,所以一旦目标主机发现自己被攻击,就可以向TS发送带有入口点签名的特征攻击包以追踪数据源,只要TS验证主机合法,TS就可以执行入口路由器反标识方法,迅速找到边界路由器,从而进一步找到攻击的主机。

2.2 改变EPS编码方式,以适应新的路由器防御方法

为了能唯一地标识出每一个路由器,最简单的方法是根据网络划分成子网的情况,记录每一个边界路由器。而据权威部门CAIDI 的测量统计,绝大多数子网的边界路由器数量少于1000,只有很少的一部分大型子网的边界路由器数量也一般不超过2000。按照这个数量统计,我们选择11位就能够表示出2048个路由器地址(用RouterID表示),为了能适应更大型的网络,可以预留出部分路由器地址,我们可以选择13位来描述每个子网中的路由器地址。一个非零的13位ID可以表示8192个路由器地址,这样的表示范围对于经常遇到的网络已经足够了。

在子网内部可以通过RouterID来唯一地标识路由器,但是如何区分各个子网,就必须为各个子网定义一个标识,也就是子网标识,这可以通过入口点签名来体现。我们为每个子网的入口点定义一个16位的ID来描述入口点签名标识(EPSID)。

通过入口点签名标识,能够保证任何一台主机都不能根据接收包中的标记信息来确定IP地址,从而保障了网络拓扑结构的隐秘性。EPS编码方式如图3所示。

分别用16bit表示入口点签名ID和用13bit的offset表示RouterID,其中3bit的Parity表示标识校验位,用以验证追踪服务器(TS)中保存的信息是否正确。

在追踪服务器(TS)中保存着路由器RouterID 和IP地址的对应关系,从而可以简单地实现追踪查询。

2.3 入口路由器标识方法

当数据包从一个网络通过入口点到达另一个网络时,入口点将该数据包的RouterID和所属子网的EPSID分别写入RouterID和EPSID字段。数据包在整个网络传输的过程中,中间路由器不对数据包做任何标记。入口点采取的标记算法如下:

For each incoming Packet P

P.ESPID=Q.ESPID

P.RouterID=Q.RouterID

入口点地址的还原非常简单。因为在每一个标记数据包中都记录了路由器的完整信息,只要能得到一个攻击数据包,就可以从中清晰地看出该数据包所在子网的EPSID和他的RouterID,从而能够方便地得出攻击者的IP地址。

2.4 新方法的防御过程

目标主机可以根据标记数据包中的EPSID字段,判断攻击是来自同一子网还是来自其他子网。如果攻击来自内部网络,跟踪服务器(TS)可以直接根据其保存的路由器和IP地址的对应关系表,找出攻击主机,从而直接对该主机采取一定的防御措施。如果攻击来自其他网络,TS需要将入口点的RouterID告知攻击源端子网的TS,并由其负责对相应入口点的防御。

3 性能分析

文献[1]中提出的方法称为DPM,是一种非常经典的确定性包标记方法,文献[3]中提出的方法称为DPM-RD,是在经典确定性包标记方法基础上的改进。

(1) 误报率

FAR=(攻击源的总数量-正确报送的攻击源的数量)/(攻击源的总数量)

在一个网络中,所有的主机都有可能成为攻击源,因此攻击源的总数量即为网络中所有的主机数。因为在本文提到的防御新方法中,数据包中记录的是标记路由器的完整信息,只需要获得单独的一个数据包,就可以确切地得出攻击主机所属的子网和路由器地址,所以正确报送攻击源的数量也即为网络中的所有主机数。根据以上分析得知,本文提供的这种方法的FPR=0,即没有误报。

(2) 追踪攻击源的最大数量(N)

本文用16bit来标识入口点签名,也就是用16bit来区别各个子网,用13bit来标识路由器编号,也就是说本文所提供的方法理论上可以追踪数量为216213的攻击源,而这个数量在我们实际生活中可被趋近于任意大规模的DDOS攻击。

(3) 数据包识别

在TPM方案中,每一个标记数据包中都记录了该数据包所在子网的EPSID,从而能够迅速地识别出该数据包所在的子网,找到数据包的发源地。而在另外两种方法中没有记录子网的信息,故不能迅速通过一个数据包就确定数据包的发源地。

(4) 单包追踪

在TPM方案中,每一个标记数据包中都记录了路由器的完整信息,只要得到一个攻击数据包,就可以从中清晰的看出该数据包所在子网的EPSID和他的RouterID,通过与TS联系,可以知道攻击者的IP地址。

(5) 有效保护网络拓扑的隐秘性

通过入口点签名标识,能够保证任何一台主机都不能根据接收包中的标记信息来确定IP地址(只能确定Routerid),从而保障了网络拓扑结构的隐秘性。

从表1中可以看出,不管从数据包的误报率还是从追踪攻击源的最大数量上看,本文提出的方法都明显优于其他方法。此外,本文方法还具有数据包识别、单包追踪和有效保护网络拓扑的隐秘性等优点。说明本文提出的DDOS防御的新方法具有一定的实用意义。

4 结 语

本文针对DDOS攻击提出了一种基于确定包标记的防御新方法。该方法将网络划分为若干子网,依靠在每个子网中增加跟踪服务器,同时改变EPS编码方式,并通过边界路由器来追踪和识别攻击数据包。实验证明,该方法具有追踪攻击源数量大,没有误报率,可以实现攻击包识别、单包追踪和有效保护网络拓扑的隐秘性等优点,具有一定的推广价值。

参考文献

[1]Yang B,Hu H,Guo S.Cost-oriented task allocation and hardware re-dundancy policies in heterogeneous distributed computing systems con-sidering software reliability[J].Computers and Industrial Engineering,2009,56(4):1687-1696.

[2]Herzog P.Open-source security testing methodology manual[EB/OL].2009-12-10.http://isecom.securentled.com/osstmm.es.2.1.pdf.

[3]金光.基于数据包标记的拒绝服务攻击防御技术研究[D].杭州:浙江大学,2008.

[4]Savage S,Wetherall D,Karlin A,et al.Network Support for IPTrace-back[J].ACM SIGCOMM Computer Communication Review,2000,30(4):295-306.

DDOS的防御 第5篇

DDOS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”，那么什么又是拒绝服务(Denial of Service)呢?可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击，也就是说拒绝服务攻击的目的非常明确，就是要阻 止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击，但是DDOS和DOS还是有所不同，DDOS的攻击策略侧重于 通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布 式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝 服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script. Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见 的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言，危害较大的主要是DDOS攻击，原因是很难防范，至于DOS攻击， 通过给主机服务器打补丁或安装防火墙软件就可以很好地防范，后文会详细介绍怎么对付DDOS攻击。

当前主要有三种流行的DDOS攻击：

1、SYN/ACK Flood攻击：这种攻击方法是经典最有效的DDOS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK 包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支 持，

少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键 盘和鼠标。普通防火墙大多无法抵御此种攻击。

2、TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能 力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序(如：IIS、Apache等Web服务器)能接受的TCP连接数是有限的，一旦有大量的 TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到 服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸 主机的IP是暴露的，因此容易被追踪。

DDOS的防御 第6篇

DDo S(分布式拒绝服务),其全称为Distributed Denial of Service,它是一种基于DoS(Denial of Service拒绝服务)的分布和协作的大规模攻击方式,即集中Internet网上众多“傀儡”机[1]同时向一个目标发送数据包,以阻止人们正常访问受害点。这种攻击方式主要用来攻击域名服务器、路由器以及其他网络服务。DDoS攻击集合了众多已经被攻陷的系统去攻击同一个目标,使得受害站点的资源很快被消耗殆尽。

1 DDoS攻击原理

DDoS的攻击原理如图1所示:

从图1中可以看出,DDo S攻击分为3个层次:攻击者、主控端、代理端,三者在攻击中扮演着不同的角色。

攻击者攻击者所用的攻击主控台可以是网络上的任何一台主机,也可以是一个活动的便携机,是攻击总控台。攻击者通过向主控端发送攻击命令,操纵整个攻击过程。

主控端主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制着大量的代理主机。主控端被安装了特定的程序,因此可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理机上。主控端只发布命令而不参与实际的攻击。

代理端代理端是攻击行动的最终执行者,它们往往也是被攻击者非法入侵和控制的网络主机,其中被植入了攻击程序,一旦接收到主控端发来的攻击指令,就开始向目标主机发起DDoS攻击。

由于攻击者在幕后操纵,所以在攻击时不会受到监控系统的跟踪,身份不易被发现。

2 SYN Flood攻击

SYN Flood是常见而且最有效的DDoS攻击之一,它是一种利用TCP协议中的建立连接的三次握手方法中的缺陷和IP欺骗技术,通过发送大量伪造的TCP连接请求,使得被攻击方资源耗尽(CPU满负荷或内存不足),从而无法处理客户正常请求的攻击方式。其特点是在发出攻击数据包时可以任意改变源IP地址,以此使得受害主机忙于处理这些虚假来源的数据包,因而使其无法为合法用户无法提供正常服务。

3 SYN Flood防御原理

面对SYN Flood拒绝服务攻击,目前的DDoS防御系统普遍采用了特征匹配和资源比拼两大类防御算法[2]。

早期的DDoS攻击常常带有某种易于识别的特征,如TTL、SYN序列号等可能采用固定的数值。利用这个特点,特征匹配算法通过查找已知攻击模式中的固定关键字,能够精确而高效地过滤使用简单DDoS工具发起的攻击。其最大的缺点是无法防御新出现的攻击。

资源比拼式算法主要通过防御设备自身的运算和存储能力,以较小的代价消耗攻击者的攻击资源,常见的资源比拼式算法有:SYN Proxy、SYN Cache和SYN Cookie三种。

4 SYN Cookie概述

SYN Cookie的基本思想是用处理器时间换取存储空间,其具体流程是:服务器收到TCP SYN报文,不按通常做法那样为该连接分配一个缓冲区,而是只计算生成cookie(cookie保存了客户机的相关信息,如:IP地址、连接的域名(edu、com、net、gov等)、端口号或者使用的浏览器的类型),然后再作为SYN ACK报文的TCP初始序列号,随该报文返回。正常的客户在收到回应后,会把该SYN值加1,放入ACK字段中返回。服务器将检查该报文的确认号是否含有相关合法cookie,并与ACK报文确认号中的cookie对比,以此来验证该cookie的合法性。如果cookie合法,系统将为此分配缓冲区,正式建立连接,实现正常的通信功能;否则丢弃该报文。

该做法的关键是服务器端并不为此次连接存储任何信息,属于无状态的握手。可以给TCP SYN报文流分配更多的带宽,从而使得合法的TCP SYN报文被接收的几率增大,更重要的是可以识别检测除非法TCP SYN报文,并将其丢弃。

4.1 SYN Cookie建立TCP连接的方式

如何有效地将通过防御系统验证的客户端发起的TCP连接请求转交给服务器,通常有2种连接方式,即不转交连接的SYN Cookie和常规转交连接的SYN Cookie。

由图2可知,不转交连接的SYN Cookie中,防御系统作为TCP连接代理,其实现较为容易,但也存在着很大的缺点,即:随着TCP连接数的增加,即使没有受到DoS攻击,防御系统也会耗费大量的资源来进行序列号转换,在高负载的网络环境中很难有效地实施防御。

从常规的SYN Cookie转交连接流程(图3)可以看出,客户端通过(1)(2)(3)三步SYN Cookie认证后,防御系统把客户端信息添加到访问控制列表(Access List)中,然后向客户发送RST信号,中断已建立的TCP连接。在第(5)步重新发起TCP呼叫,然后在防御系统的允许下,直接与服务器建立连接。其主要缺点是效率较低,除了验证客户端真实性和与服务器建立连接分别经历的三次握手之外,还需“通知”客户端重新连接的RST,不适应目前高速网络下的实际运用。

鉴于以上两种传统连接转交流程的优缺点,可以对上述两种SYN Cookie连接转交流程稍作修改,得出一种改进的SYN Cookie转交流程。具体如图4所示。

改进的SYN Cookie转交连接流程[3]是:防御系统在收到SYN连接请求后,故意错误地回应一个ACK信号而不是SYN-ACK。客户端未接收到SYN-ACK,会认为连接出现了异常,于是发送RST信号终止该连接。需要明确的是,客户回应的RST数据包中的ACK字段值是根据第(2)步中防御系统回复ACK数据包中的SYN字段值加1生成的,所以防御系统可以根据第(3)步的RST信号验证客户端的真实性。

当客户端程序应用层重新发起TCP连接呼叫[4]时,此时防御系统已经通过了验证,并在访问控制列表中加入了客户信息,所以第(4)步的SYN信号可以顺利通过防御系统,直接与服务器建立连接。

4.2 3种SYN Cookie建立TCP连接的仿真比较

为了更好的阐明改进的SYN Cookie的优势,作者利用虚拟机搭建了一个局域网环境,利用Telnet对上述3种连接方式进行了仿真,使用Windump网络包捕获工具对其性能进行了分析,其结果如下表所示:

5 总结

综上所述,改进的SYN Cookie连接转交流程能有效提高防御SYN Flood攻击的效率,随着防御系统硬件性能的提升,该算法必将得到更为广泛的应用。

参考文献

[1]Joel Scam bray,Stuart Mc Clure著.杨涛译.Windows Server2003黑客大曝光[M].清华大学出版社,2004.

[2]Jelena Mirkovic,Sven Dietrich,DavidDittrich,etal.Internet Denial of Service:Attack and Defense Mechanisms.Prentice Hall PTR,2004.

[3]彭笛,王文胜.基于SYN Cookie的DDoS防御技术研究.信息安全与通信保密,2007,[2].

[4]Gary Wright,Richard Stevens.TCP/IP详解,卷2:实现.北京:机械工业出版社,2000.

DDoS攻击防御技术探究 第7篇

随着网络的普及,安全问题越来越突出。分布式拒绝服务DDoS(Distributed Denial of Service)攻击由于技术门槛低、难以防范、难以追踪,成为网络攻击最常用的手段,给客户造成重大损失,严重危害网络安全。

1 DoS攻击/DDoS攻击

DoS(Denial of Service,拒绝服务)攻击用超出目标处理能力的海量数据包消耗可用系统资源、网络带宽资源,使网络服务瘫痪,正常的请求服务得不到响应。常见的DoS攻击有网络带宽攻击和资源耗尽攻击两种方式。

DDoS攻击利用大量被控制的计算机同时向攻击目标发送超出处理能力的海量数据包,消耗可用系统和带宽资源,从而导致网络服务瘫痪。

DoS是DDoS的基础,利用TCP三次握手过程的漏洞发起攻击。正常TCP连接需要经过三次握手,服务器在收到客户端SYN连接请求时,先是分配内存空间、建立会话,并放到一个等待队列中。如果这个等待队列满了,服务器就不为新的连接分配资源,拒绝为新的连接请求提供服务。DDoS攻击方式有两种:(1)迫使服务器的缓冲区满,不接收新的请求;(2)使用IP欺骗,伪造不存在的主机发出连接请求,当然这些伪装的主机也就不可能发出RST置位信息。

DDoS攻击架构一般分攻击者(Client)、主控端(Master)、代理端(Daemon)和被攻击者(Victim)几层,它利用受控主机向攻击目标发起攻击,具有威力更大、更难防御、更难追随的特征,见图1。

2 DDoS攻击

2.1 DDoS攻击模型

DDoS攻击过程一般分为3个阶段。

(1)收集目标信息。通常,攻击目标不是盲目的,需要掌握目标足够多的信息。攻击前,利用各种技术,如扫描技术、嗅探技术,包括社会工程学等技术,对目标进行侦查,收集攻击目标的主机数目、配置、性能、操作系统、地址情况以及网络带宽等详细信息,为攻击作准备。

(2)占领主控端和代理主机。为了达到对目标攻击的有效响应强度和攻击时隐藏自己、不被跟踪发现的目的,攻击者先利用收集到的信息攻陷并占领相当数量的主控端和代理主机,并植入相应的后台程序。这些主控端和代理主机位于网络域以外,隐藏攻击者不被发现。主控端和代理主机一般有良好的性能和足够资源,便于发送强大的攻击数据流。

(3)攻击实施。攻击者发出攻击指令,所有受控的主控端和代理主机根据指令参与攻击,向受害主机发送大量的TCP SYN请求等垃圾数据包,受害主机因资源耗尽导致系统崩溃或无法响应正常请求。

2.2 SYN Flood攻击

SYN Flood攻击是利用TCP协议缺陷实现的,是最常见的DDoS攻击。SYN Flood攻击向受害主机疯狂发送伪造IP地址的SYN攻击报文,而不返回ACK报文,导致受害主机不断重发SYN/ACK请求包,造成受害主机的半开连接队列被占满,合法用户请求得不到响应。SYN Flood攻击还能攻击网络设备,只要设备开启了TCP服务,就可能受到SYN Flood攻击,见图2。

2.3 HTTP Get Flood攻击

HTTP Get Flood通常利用代理服务器作为主控端向Web服务发起大量的HTTP Get请求。由于很多网站使用动态页面技术,通常一次GET请求可能引发后台数据库的查询操作,当HTTP Get数量增加到一定程度时,数据库服务器将不堪重负,导致动态页面无法响应,正常请求难以进行。这种攻击方式对静态页面效果不很明显,见图3。

2.4 Connection Flood攻击

Connection Flood攻击,即TCP连接耗尽攻击(也叫空连接攻击),是攻击者操控大量的真实IP地址主机或者代理服务器,对受害主机发起大规模连接,连接成功后长时间不释放,占用受害主机的带宽资源,造成受害主机WAIT状态连接过多,直至资源耗尽而无法响应正常客户连接,从而达到拒绝服务的攻击目的,见图4。

3 DDoS防御

根据DDoS的攻击原理,对DDoS攻击防范主要集中在3方面:攻击源防范、主干网防范和受害主机端防范。对于攻击源防范,由于攻击者事先做好了保护、隐藏措施并能删除痕迹,而且网络协议本身存在缺陷,现有法律很难追查和惩罚;对于主干网络,要满足不同的服务要求,认证授权难以解决问题,实现防范几乎不可能。因此,受害主机端防范成为重中之重。

目前,对DDoS的防范以预防为主,结合防御攻击为辅,攻击预防主要方法有:

(1)对所有主机和网络节点定期扫描,发现并修复可能被利用的漏洞,加强主机及网络节点的安全防护。

(2)防火墙防范DDoS攻击,尤其防范SYN Flood攻击。设置IP Inspect(IP检测)功能,过滤各种针对系统漏洞的攻击包;设置过滤网关防护,包括SYN网关设置、网关超时设置、SYN代理,过滤网关防护能很好防范SYN Flood攻击。

(3)使用路由器防范DDoS攻击。对路由器进行合理设置,升级过低的IOS版本,为路由器建立Log server,设置SYN包速率,设置ACL过滤,对DDoS的端口过滤掉不必要的UDP和ICMP数据报;设置流量限制,对IC-MP、UDP、TCP-SYN流量等进行控制,将其大小限制在合理水平,;配置SYN/ICMP的最大流量,限制SYN/ICMP封包占用最高的带宽。在网关或汇聚节点对源IP地址过滤,可以有效减少IP地址欺骗行为。

(4)将动态Web应用改为静态页面。目前,DDoS越来越多地针对网页攻击,主要攻击网站的运营,因此防御HTTP Get Flood攻击对网站显得尤其重要。将Web动态应用改为静态页面方式是防御HTTP Get Flood攻击的最有效方法,既可降低服务器资源消耗,又能减少非法入侵风险。

(5)网络设备应避免使用网络地址转换。虽然网络地址转换(NAT)解决了IP地址不足的问题,但NAT进行网络地址转换时,要对网络数据包进行校验和大量计算,会过多占用CPU的处理时间,这一方面导致资源浪费,另一方面又降低了网络的通信处理能力,因而路由器和硬件防火墙等设备应尽量避免使用NAT功能。

DDOS攻击应对策略主要分攻击检测和攻击过滤两部分。

(1)攻击检测可尽早发现所有正在进行的攻击。攻击检测在网络里进行,那里存在大量的攻击分组,容易检测到攻击行为。根据策略不同,分为模式检测和异常检测方式。

模式检测就是把网络中存在的每个通信模式与已知的各种攻击模式比较,如果发现和某个确定的攻击模式相匹配,就认为该通信是一个攻击。如果检测到网络流量中存在异常数量的某种确定类型的分组,例如(TCP SYN)和(HTTP Get Flood)等,很可能就是来自某个DDoS攻击。

异常检测是通过发现网络中的某些异常行为来检测判断是否是攻击行为。例如,当发现主机或网络性能突然有大幅度下降,或有大量来自同一网络的IP地址时,就有可能发生了DDOS攻击。

(2)过滤是利用已知类型的DDOS攻击特征来彻底排除具有相同特征的攻击数据包,过滤发生在网络边界,利用路由器或防火墙等设置访问控制策略,防止大量带有源IP地址欺骗的攻击数据包通过。

4 结语

DDoS严重危害网络安全,造成网络经济损失,还可能给网络带来巨大灾难。虽然对DDoS的攻击与防御研究已取得很多成果,但由于防御技术的局限性,目前还没有完全防御DDoS的方法,需要不断研究新的防御技术。

摘要：网络攻击事件越来越频繁,DDoS攻击是常见的一种。分析了DDoS攻击常见类型与技术原理,针对DDos攻击行为提出了多种防范策略,为及时防范潜在的黑客攻击、降低损失提出了有效对策。

关键词：DDoS攻击,网络防御,检测,过滤

参考文献

[1]杜晔,张大伟.网络攻防技术教程[M].第2版.武汉:武汉大学出版社,2012.

[2]牛少彰,江为强.网络的攻击与防范---理论与实践[M].北京:北京邮电大学出版社,2008.

[3]石志国,薛为民.计算机网络安全教程[M].第2版.北京:清华大学出版社,2010.

[4]叶建波.DDOS攻击及防御技术研究[J].现代计算机,2008(1):155-159.

[5]池水明.DDoS攻击防御技术研究[J].信息网络安全,2012(5):25-28.

DDoS攻击原理及防御技术 第8篇

DDo S是Distributed Denial of Service的简称,即分布式拒绝服务。DDo S攻击手段是在传统的Do S(Denial of Service)攻击基础之上产生的一类攻击方式。Do S攻击一般采用单一的一对一的攻击方式,使用这种攻击方式当计算机的性能指标不高(CPU速度较低,网络速度较慢,内在较小等),DOS的攻击效果是非常明显的。但随着计算机技术和计算机网络技术的飞速发展,DOS攻击已不能发挥作用,一种更高级的分布式的拒绝服务攻击手段(DDo S)就应运而生。DDo S是攻击者借助于C/S技术,联合网络上众多计算机(傀儡主机)作为攻击平台,对一个或多个计算机(目标主机)发送大量的网络数据包,耗尽目标主机的网络带宽或者系统资源,让目标主机无法提供正常的服务,达到攻击目的。

2 DDo S攻击产生的根源

为确保网络中数据传输的可靠性,Internet在设计时首先考虑数据传输的可达性和可靠性,而安全性则排在其后,这样,即使网络遭受外来攻击使网络内部遭受损坏,仍可保证数据的正确传输。这样才设计Internet时网络最智能的部分集中在网络边缘或端系统上,而中间网络部分只有一些必要的网络设备,Internet所有承载协议都被设计成无连接的,这就给DDo S攻击带来了可乘之机。

由于安全意识淡薄,对计算机的安全漏洞不能及时安装补丁,使得这样一些计算机被黑客控制,在DDo S的攻击中,这样一些计算机就成儡主机,协助黑客来发动攻击。

目前DDo S攻击的主要方式就是消耗对方的系统资源或是网络带宽,由于Internet资源的有限性,DDo S攻击时消耗对方的资源达到攻击效果。

路由器上从源端到目的端不进行检测验证IP源地址字段,DDo S攻击时就可以伪造数据包的IP地址,使用户不容易发现,实现攻击目的。

3 DDo S攻击方式

3.1 SYN Flood攻击

SYN- Flood攻击是利用TCP协议实现上的缺陷,攻击时将大量的伪造源地址发向服务器端口,占满服务器半开连接队列,使一些合法用户无法进行正常访问。这种攻击方式是当前网络上最为常见也是最为经典的拒绝服务攻击。采用这种攻击方式可以方便地伪造源地址,使很多操作系统,甚至有些路由器、防火墙都无法有效地防御这种攻击,追查起来也非常困难。

3.2 ACK Flood攻击

ACK Flood攻击是在建立TCP连接之后。TCP报文的数据传输带有ACK标志位,数据传输时,主机接收到数据包(带有ACK标志),首先检查是否存在数据包表示的连接四元素是否存在,如果存在就检查数据包所表示的状态,将合法的数据包传递到应用层。

这种攻击方式,需要攻击者用大流量ACK小包冲击才能对服务器造成影响,由于服务器TCP堆栈中没有ACK包的状态信息,这些随机源IP的ACK小包会被服务器很快丢弃,所以这种攻击方式没有SYN Flood给服务器带来的冲击大。但一些TCP服务会对ACK比较敏感,高数量的ACK Flood会对Apache或者IIS造成服务器网卡中断频率过高,负载过重等影响而停止响应。ACK Flood不仅影响服务器上的应用程序,而且还会危害路由器等网络设备。

3.3 UDP Flood攻击

UDP FLOOD攻击中是攻击者发送大量伪造源IP地址的小UDP包,而UDP协议是一种无连接的协议,攻击者可以针对UDP端口提供的服务进行相应的攻击。UDP Flood可以将网络中的骨干设备如防火墙等损坏,甚至可以造成整个网段的瘫痪。

3.4 ICMP Flood攻击

ICMP Flood的攻击属于流量型的攻击方式,攻击者向服务器发送大流量数据,给服务器带来较大的负载,从而影响服务器的正常服务。攻击时将大量的ICMP Echo Reply数据包迅速占领目标主机,将目标主机的网络带宽瞬间耗尽,使被占领主机网络流量变慢甚至停止。还有一些攻击者发送错误的路由信息强制受害主机访问并不存在的路由器,或者把一些数据包直接路由到被攻击的机器。

3.5 Connection Flood攻击

Connection Flood攻击是将一些真实的IP地址向服务器发起大量的连接,使服务器与这些机器一直处于连接状态,将服务器资源耗尽,降低服务器使用效率,不能有效地与其它用户进行连接,使服务器牌停滞状态。

3.6 HTTP Get攻击

HTTP Get攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并能够调用数据库系统。这种攻击方式是在与服务器建立正常的TCP连接后,就向脚本程序不断地提交大量耗费数据库资源的程序调用。

攻击者可以通过控制的僵尸机或者通过单机构造多个IP,在与服务器建立联系之后不断地向服务器发起HTTP Get请求,很短时间内就将服务器资源耗费掉进而使服务器拒绝服务。这种攻击的特点是能够绕过普通防火墙防护,轻松找一些僵尸机器实施攻击。

3.7 UDP DNS Query Flood攻击

UDP DNS Query Flood攻击是攻击者向服务器发送大量的域名请求,这些域名是有机产生的,有些域名是存在的,有些域名在网络上根本就不存在。当服务器接收到域名请求无法直接解析时,就向上层DNS服务发送查询域名信息,给服务器带来学生的负担,当请求超过一定量时就造成DNS解析超时。

4 DDo S的防御方法

4.1 预防DDo S攻击的措施

(1)确保系统的正确配置。

确保路由器、交换机等网络设备和服务器系统的正确配置,能有效减少DDo S攻击发生的可能性。

(2)过滤不必要的服务和端口

在路由器上过滤假IP,定期检测测系统配置信息,每天注意查看安全日志,关掉不必要的服务和端口。

(3)利用网络设备保护网络资源

路由器、防火墙等网络设备,能有效地保护网络。当网络受到攻击时,最先受到攻击的是路由器等网络设备。配置必要负载均衡设备,可在最大程度上削减DDo S攻击的危害。

(4)检查访问者的来源

使用假IP迷惑用户是黑客攻击常用的方法。使用反向路由器查询访问者IP的真假,屏蔽假的IP,提高网络安全性,从而减轻Ddo S的攻击。

(5)限制SYN/ICMP流量

配置路由器SYN/ICMP的最大流量限制SYN/ICMP所占最高频宽,当网络上出现大量超过SYN/ICMP流量时,网络上可能就出现了不正常的访问。

(6)把网站做成静态页面

把网站做成静态页面,可有效防止DDo S的脚本攻击。如果需要调用动态脚本,将其安装到单独计算机中,这样即使受到攻击也不会连累服务器。

4.2 DDo S攻击时的应对方法

当受到DDo S攻击时首先要检查攻击来源地址,分清IP地址的真伪。如果IP来自于本公司,说明黑客控制本公司的机器作为傀儡机,找出这些机器的IP,关闭掉这些机器。如果不是本单位的IP,将这些IP从服务器上漏掉。第二个有效的方法是在路由器设置中禁掉ICMP,可防止攻击规模虽,降低危害。另外,查看路由器日志,查看路由器收到的攻击数据包,确定数据来源的IP地址,确定资料量最大的网段,修改子网掩码将网段隔离开,让合法的流量通过,有效减轻攻击,恢复路由器正常工作。

对于DDo S的攻击,由于其攻击的突然性至今还没有找到绝对安全的方式来杜绝此类攻击。系统管理员充分认识到网络中存在的潜在威胁,注意防火墙等网络设备的异常,经常修补安全漏洞,不断提升安全策略,查询最新安全信息,管理好自己的网络用户,确保不受DDo S攻击。

参考文献

[1]朱少彰,崔宝江,李剑.信息安全概论[M].北京:北京邮电大学出版社,2007.

[2]孙钦东,张德运,高鹏.基于时间序列分析的分布式拒绝服务攻击检测[J].计算机学报,2005.

[3]徐恪,徐明伟,吴建平.分布式拒绝服务攻击研究综述[J].小型微型计算机系统,2004.

[4]王江涛,杨庚.VTP检测算法的改进和基于模糊逻辑的DDo S攻击自适应判断[J].南京邮电大学计算机技术研究所,2008.

[5]么利中.DDo S攻击手段及其防护研究[J].科技创新与应用,2013.

DDOS的防御 第9篇

关键词：网络监控,有效防御,DDoS攻击

DDo S是一种攻击方式, 其基础是Do S攻击, 而Do S攻击是一种较为常见且攻击效果较好的攻击技术, 利用伪装的策略通过计算机系统所存在的缺陷或是协议漏洞进行网络攻击, 导致计算机因资源消耗殆尽而出现瘫痪现象, 无法正常运行和提供服务。具有多种攻击方式, 最基本的就是通过提出过多的合理请求来占用资源, 导致其他的合法用户无法得到响应。

一、DDo S攻击的原理及其过程

Do S攻击的方式通常情况下是一对一的, 被攻击的服务器若配置和各项性能并不是良好的话, 攻击的效果更为明显, 然而伴随着科学技术的发展, 计算机技术和网络技术也在进步, 计算机的内存不断变大、运行速度也大大提升, Do S攻击也不再具有的明显的效果, 被攻击的主机在受到攻击时其性能也不会出现明显的下降, 因此顺势出现了DDo S攻击。DDo S攻击的平台是联合起来的多个计算机, 利用服务器技术对主机进行攻击, 攻击方式是多端发起的协作攻击, 这将攻击力大大进行提升。

在进行攻击前首先要对目标的信息进行搜索, 对攻击对象的主机数量、主机配置和地址信息等进行必要的了解, 在对互联网的站点进行攻击时, 一定要对支持站点的主机数目进行明确。大型的网站通常情况下会运用负载均衡技术, 将访问的IP地址通过特定的算法对下属的主机进行分配, 使一个IP地址对应着多台主机。此外, 还需要准备傀儡机, 并且傀儡机的数量要足够, 攻击者通过网络扫描对存在漏洞的机器进行排查, 随后进行入侵, 在入侵后将后门植入到傀儡机当中并将痕迹清除, 有时也会将攻击所使用的程序安装到傀儡机上, 通过傀儡机进行遥控攻击。前期的准备工作完成后, 攻击者就可以对主机进行攻击, 向傀儡机发出攻击命令, 预先安装在傀儡机中的攻击程序就会根据命令对目标主机进行攻击, 致使目标出现死机的现象, 而无法响应服务器的请求。

二、有效的防御DDo S攻击的技术

2.1蜜罐技术

从字面上进行理解, 蜜罐是极具诱惑性的, 在计算机领域中的含义, 它就是一台接入互联网但是却没有采取防范措施的机器, 相比于一般的主机, 它能够对运行的数据等进行记录, 并且存在着较为明显的缺陷和漏洞, 诱惑攻击者对其进行攻击, 随后对攻击者的信息进行收集, 保护主机。目前的防火墙基本都能够对DDo S攻击进行检测, 若遇到攻击, 防御系统会自动开启定向的模块, 将攻击引向蜜罐主机, 蜜罐主机相比于正常的主机在功能上并没有过大的差别, 由于大部分的攻击都被蜜罐主机所阻拦, 所以服务器主机并不会遭受到过多的攻击请求, 进而对服务器起到了保护作用, 并且蜜罐主机能够利用自身的日志对攻击数据进行分析, 为保护网络的系统安全提供帮助。

2.2 SYN Cookie技术

对网络安全威胁性最大的攻击之一就是拒绝服务攻击, SYN Flood是常见的一种攻击, 也具有良好的效果, 后来美国的专家提出可以通过SYN Cookie技术对DDo S攻击进行防御。其原理是在SYN请求发送到服务器主机时, 服务器会相应地进行应答, 并将数据包SYN+ACK进行返回, 在正常状态下, 序列号是一组随机数或者是根据某种计算方法所得到的数字, 但是SYN Cookie技术中的序列号是利用hash运算对一些安全数值进行计算和加密, 最后得到的数值就是cookie, 不过并不具备专门的数据区域。当服务器又一次收到了TCP ACK包时, 可以根据cookie值对数据包的合法性进行检查, 若合法再继续进行分配数据。在进行计算时, 并不需要将数据进行保存, 降低对内存的消耗量, 对主机有限的内存进行保护。

2.3过滤技术

若是在DDo S攻击已经发动攻击后才对服务器主机进行防御措施的运行, 会将较大的压力都压在服务器主机之上, 因此主机并无法做出快速的反应对攻击的情况进行缓解, 所以大部分的网络防御设备都会在服务器主机的前端进行设置和安装, 比如防火墙。过滤技术就是指对网络边界进行过滤, 在网络边界进行分散式布置过滤机制的技术, 如路由器上, 在网络边界流经的数据包都要被过滤机制查询, 若发现数据包并没有直接联系本网络, 就会将此数据包视为伪造并进行过滤, 对服务器主机的压力进行有效缓解, 将大部分的攻击数据包都进行过滤和排除, 并且能够较为便捷地对攻击数据包进行IP地址的追查。

三、结语

在当前网络不断发展的今天, 网络安全的问题已经成为了各国研究的重点, 并且基本无法做到绝对的网络安全, 网络协议自身的漏洞等都是不可避免的事情, 因此采取积极的措施进行预防和应对, 减小损失。

参考文献

[1]何亨, 黄伟, 李涛, 曾朋, 董新华.基于SDS架构的多级DDo S防护机制[J].计算机工程与应用, 2016 (01) .

[2]庄建儿.浅析网络DDo S攻击与治理[J].通讯世界, 2015 (01) .

DDOS的防御 第10篇

DDoS全名是Distribution Denial of Service(分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDoS攻击,这种攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。经过不断的技术积累到今天已经变化多种多样攻击形势,攻击内容和以前有了很大的改变。

目前网络安全界对于DDoS的防范还是没有什么好办法的,主要靠平时维护和扫描来对抗。目前效果最好的办法是配备硬件防护设施,但即便是使用了昂贵的硬件安防设施也仅仅能起到降低攻击级别的效果,DDoS攻击只能被减弱,无法被彻底消除。

对于众多小服务器用户来说,他们很多情况下网站流量不大,受DDoS攻击的程度不深,同时很多网站即使受到攻击,就算暂时关闭服务避开攻击,多数情况下也不会造成巨大损失,相比购置硬件防御设施的庞大支出,实在是不划算。但通常,DOS攻击会被作为一次入侵的一部分,比如,绕过入侵检测系统的时候,通常从用大量的攻击出发,导致入侵检测系统日志过多或者反应迟钝,这样,入侵者就可以在攻击中混骗入侵检测系统。所以这部分用户实际也非常需要对攻击进行有效防御。在有限的资金投入情况下,他们更多的要靠软件方面的功能和配置来防御DDoS。

2 拒绝服务攻击原理

常见的拒绝服务攻击手段有很多种,主要是以下攻击最为常见:

(1)SYN/ACK Flood攻击:向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务。

1)SYN及其变种攻击:利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列,如果短时间内接收到的SYN太多,半连接队列就会溢出,操作系统会把这个连接信息丢弃造成不能连接,当攻击的SYN包超过半连接队列的最大值时,正常的客户发送SYN数据包请求连接就会被服务器丢弃。

2)TCP混乱数据包攻击:发送伪造源IP的TCP数据包,造成一些防火墙处理错误导致锁死,消耗服务器CPU内存的同时还会堵塞带宽。

3)针对UDP协议攻击:攻击者针对分析要攻击的网络软件协议,发送和正常数据一样的数据包,这种攻击非常难防护,一般防护墙通过拦截攻击数据包的特征码防护,但是这样会造成正常的数据包也会被拦截。

(2)TCP全连接攻击:通过许多傀儡主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务。

1)针对WEB Server的多连接攻击:通过控制大量傀儡主机同时连接访问网站,造成网站无法处理瘫痪,有些防火墙可以通过限制每个连接过来的IP连接数来防护,但是这样会造成正常用户稍微多打开几次网站也会被封。

2)针对WEB Server的变种攻击:通过控制大量傀儡主机同时连接访问网站,一点连接建立就不断开,一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU。

还有一种是通过控制大量肉鸡同时连接网站端口,但是不发送GET请求而是乱七八糟的字符,大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析,这种攻击,不发送GET请求就可以绕过防火墙到达服务器,一般服务器都是共享带宽的,带宽不会超过10M所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪。

(3)刷Script脚本攻击:这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,把服务器资源消耗掉而导致拒绝服务。

3 软件防御DDoS攻击

对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御大部分强度不大的DDOS攻击是可以做到的,如果通过适当的办法增强了抵御DDOS的能力,也就意味着攻击者的攻击成本会加大,那么绝大多数攻击者将无法继续而放弃攻击,达到成功抵御DDOS攻击的目的。

对于小服务器来说,虽然效果更好但价格高昂的硬件防御设备性价比相对来说太低。从DDoS攻击原理我们知道,恰当地安装一些防火墙系统,对系统进行合适地配置,对网站进行修改,同时加大网络的监控,我们是可以抵御很多小规模的DDoS攻击的,并有效地降低被攻击的风险。

常见的防DDoS软件方法有如下一些:

1)定期扫描。

定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。

2)在骨干节点配置防火墙。

防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

3)过滤不必要的服务和端口。

只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

4)过滤所有RFC1918 IP地址。

RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0和172.16.0.0,它们不是某个网段的固定的IP地址,而是Interne内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。

5)尽量避免NAT的使用。

因为采用此技术会较大降低网络通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间。

6)把网站做成静态页面。大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现。此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于恶意行为。

7)强化TCP/IP堆栈安全。Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个(默认没有开启)。

4 结束语

DDoS攻击到目前为止,都还是只能被减弱,无法被彻底消除。DDoS必须透过网络上各个团体和使用者的共同合作,制定更严格的网络标准来解决。每台网络设备或主机都需要随时更新其系统漏洞、关闭不需要的服务、安装必要的防毒和防火墙软件、随时注意系统安全,避免被黑客和自动化的DDoS程序植入攻击程序,以免成为黑客攻击的帮凶。

虽然不能完全避免,但只要我们重视网络安全,注意对网络的监控和扫描,做到以上提出的八条,收到的效果还是非常显著的,可以将攻击带来的损失降低到最小。

摘要：从出现分布式拒绝服务(DDoS)攻击以来,这一攻击手段得到了网络安全界的高度重视,其程度比其他任何安全威胁都高,但目前而言对于DDoS的防范还是没有什么好办法,较为有效的办法是在硬件上进行升级,但对于众多小型服务器用户来说,价格昂贵的防DDos设备投资成本实在太高,文章试从软件方面提出DDoS攻击防御方法,以期最大限度地用最小成本提高服务器的抗DDos能力。

关键词：DDoS,软件防御,小型服务器

参考文献

[1]李军.DDoS攻击全面解析[EB/OL].http://www.3800hk.com/news/w63/133114.html,2007-8-24.

[2]熊太松.状态检测和防DoS攻击防火墙的设计及实现[D].电子科技大学,2006.

[3]李德全.拒绝服务攻击对策及网络追踪的研究[D].中国科学院研究生院(软件研究所),2004.

[4]文伟平,卿斯汉,王业君.分布式拒绝服务攻击研究进展[A].全国第16届计算机科学与技术应用(CACIS)学术会议论文集[C],2004.