DDoS控制

DDoS控制（精选九篇）

DDoS控制篇1

1 DOS/DDOS攻击的基本概述

在通常情况下, DOS攻击是由攻击者对大量的网络封包进行发送, 耗尽被攻击者的网络频宽, 并占用其网络资源, 致使网络瘫痪。在同一时间内, 服务器主机所需服务数量大幅增长, 超出了服务器承受上限, 因而对正常使用这的要求无法响应[1]。而DDOS攻击是DOS攻击的一种方式, 在这种分布式攻击方式当中, 具有远程操控的能力, 通过控制多台主机, 在同一时间内对服务器发动攻击。传统的网络体系对于这种DOS/DDOS攻击难以进行有效的应对。通常来说, DOS攻击只是针对基于主机流量控制粒度的情况。而在DDOS攻击中, 将会造成更加严重的网络拥塞[2]。对于packet marking、teaceback等防御DOS/DDOS攻击的方法, 由于其自动性、及时性不够理想, 对于一些针对集群粒度的攻击, 也难以进行有效的防御。基于此, 可以利用集群对粒度进行鉴别和控制, 并对通告追踪方法进行优化和应用。

2 DOS/DDOS攻击的预防控制

2.1 基于管理域的控制合作

对于已经鉴别出来的攻击集群, 为了能够更加合理、有效的对其进行控制, 可以对管理与控制合作机制进行运用, 从而对攻击群的最优控制时间、最佳控制地点等进行选择和确定[3]。可以将一个域控制器安装在各个管理域当中, 基于管理员的指导和操作, 对攻击群信息进行分析, 同时对区域当中路由节 (转下页) 点的速率限制值进行调整, 以实现有效的防御和控制。在优先级方面, 相比于路由节点自身控制策略, 域控制器决定控制措施应当具有更高的优先级, 才能够顺利的发挥作用。

在单个路由节点当中, 具有临时的自动反映措施, 能够对攻击进行第一时间的阻止。对于已经鉴别处的攻击集群, 路由节点在限制其速率的同时, 会将信息报文包发送给管理域控制器, 对采取的限制措施进行反馈。对于本区域当中所有节点发送的信息包, 管理域控制器都能够进行接收, 这样就能够对攻击集群的信息, 以及节点自动采取的动作进行整体的了解。通过这些信息, 域控制器与其它域拓扑信息进行结合, 以便对最优的速率限制值进行制定, 发送给各个节点。

2.2 基于集群的主动通告追踪

在基于集群的主动通告机制当中, 是在已经鉴别、限制的DOS/DDOS攻击集群的基础上, 向攻击集群包的上游主动节点, 自动将通告胶囊发出, 利用相应措施进行限制。发送的通告胶囊主要包括了警告通告胶囊、限制通告胶囊等。对于上游连接集群流量, 通告服务程序会估计其数量。如果上游连接当中只有小部分的攻击集群流量, 则是非主导连接。如果上游连接当中具有大部分集群流量, 则是主导连接。在实现算法的过程中, 本地节点会将限制通告胶囊发送给主导流量上游主动节点, 将警告通告胶囊发送给非主导流量上游主动节点。可以采用树状的结构对通告机制进行分析, 其中, 树根是通告机制的发起拥塞节点, 而树叶、树枝则是上游节点。在主动网络技术的基础之上, 建立了通告机制, 在中间路由节点之间, 能够通过主动包对报文信息进行传送。

通过服务程序分别向主导流量上游节点、非主导流量上游节点, 发送限制通告胶囊、警告通告胶囊。在限制公告胶囊当中, 需要对速率限制值进行制定。所以, 通告机制会通过估算对上游节点发出攻击流量的比例进行确定, 利用非主导连接流量减少值, 对主导连接速率限制值进行计算。最后, 将带有速率限制值、集群标志的限制通告胶囊, 发送给上游主导路由节点。而在警告通告胶囊当中, 对攻击集群特点进行了囊括。在非主导上游节点缓存当中, 警告通告胶囊会有一段保留时间, 在限制主导节点速率之后, 如果攻击者利用非主导节点进行攻击, 警告通告胶囊当中的信息, 可以马上限制攻击包, 使得攻击集群的消除时间得到降低, 对于攻击者通过非主导路径攻击网络、目标节点的行为得到阻止, 进而实现DOS/DDOS攻击的有效防御和控制。

2.3 基于集群的自动鉴别控制

将速率控制器引入到输出队列之前, 能够对一个包的转发、丢弃等进行决定。如果包被丢弃, 则会进入控制服务程序。控制服务程序对限制速率集群进行鉴别, 并对限制率进行计算。同时, 需要对速率控制器参数进行定期更新, 并对通告服务程序进行激活, 将攻击集群的信息通告给上游节点。如果队列中进入外来包, 需要对其进行检查, 以判断是否需要限制其速率。如果不需要, 可以正常对其进行输出, 如果需要根据该集群的速率限制值、到达率等, 在速率控制器中对其是否丢弃进行判断。如果丢弃, 向控制服务程序反馈信息, 如果不丢弃, 向输出队列中传递。而这些包在输出队列中, 也可能发生丢包的情况, 丢包信息也将向控制服务程序进行反馈。在鉴别当中, 也可以对输出队列随机样板进行应用。

如果系统受到DOS/DDOS攻击, 丢包率增加, 控制服务程序会对鉴别系统进行激活。在对攻击集群进行鉴别和控制的过程中, 对被攻击者的IP, 以及上一跳路由节点IP进行了利用。通过主动网络技术, 将上一跳路由节点IP存储到包当中, 攻击者无法篡改该值, 否则路由节点将会自动对该包进行丢弃。从丢包率当中, 防御和控制机制能够对DOS/DDOS攻击进行判断。利用输入输出连接的带宽, 能够对整个连接, 以及单个连接中的丢包率最大上限制进行设置。每隔一定时间, 控制服务器对集群进行估算, 如果存在超出单连接最大限制值的丢包率, 需要向速率限制器传送需要限制速率的集群特点, 以及相应的限制参数值。如果存在达到整个连接最大限制值的丢包率, 应当对集群合并策略进行运用。匹配路由和丢包目的IP, 对最常匹配前缀进行寻找, 利用IP地址共享, 对丢包进行组合。

3 结论

在当前的社会当中, 随着科技的不断发展, 计算机和网络在人们的日常工作和生活当中, 正在得到越来越广泛的应用。人们对于计算机网络的依赖性也日渐增加, 因此计算机网络时时刻刻都在面临着不断增加的数据处理压力。在计算机网络领域当中DOS/DDOS攻击是一种较为常见的网络攻击模式, 通过短时间内发送大量无用的信息和资源, 造成网络通道堵塞, 难以正常相应用户的服务请求。基于此, 为了更好的应对DOS/DDOS攻击, 可通过基于管理域的控制合作、基于集群的主动通告追踪、基于集群的自动鉴别控制等新方法, 对DOS/DOOS攻击进行防御和控制, 从而更好的维护网络安全。

参考文献

[1]周颖杰, 焦程波, 陈慧楠, 马力, 胡光岷.基于流量行为特征的Do S&DDo S攻击检测与异常流识别[J].计算机应用, 2013, 10:2838-2841, 2845.

[2]张世轩, 刘静, 赖英旭, 何运, 杨盼.基于SDN构架的Do S/DDo S攻击检测与防御体系[J].电子技术应用, 2015, 12:113-115, 119.

DDoS控制篇2

流量控制

cisco交换机安全的流量控制技术把流经端口的异常流量限制在一定的范围内，避免交换机的带宽被无限制滥用。cisco交换机安全的流量控制功能能够实现对异常流量的控制，避免网络堵塞。

防DDoS

企业网一旦遭到大规模分布式拒绝服务攻击，会影响大量用户的正常网络使用，严重的甚至造成网络瘫痪，成为服务提供商最为头疼的攻击。cisco交换机安全采用专门的技术来防范DDoS攻击，它可以在不影响正常业务的情况下，智能地检测和阻止恶意流量，从而防止网络受到DDoS攻击的威胁。

虚拟局域网VLAN

虚拟局域网是cisco交换机安全必不可少的功能。VLAN可以在二层或者三层交换机上实现有限的广播域，它可以把网络分成一个一个独立的区域，可以控制这些区域是否可以通讯。VLAN可能跨越一个或多个交换机。

与它们的物理位置无关，设备之间好像在同一个网络间通信一样，

VLAN可在各种形式上形成，如端口、MAC地址、IP地址等。VLAN限制了各个不同VLAN之间的非授权访问，而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问。

基于访问控制列表的防火墙功能

cisco交换机安全采用了访问控制列表ACL来实现包过滤防火墙的cisco交换机安全功能，增强cisco交换机安全防范能力。访问控制列表以前只在核心路由器才获使用。在cisco交换机安全中，访问控制过滤措施可以基于源/目标交换槽、端口、源/目标VLAN、源/目标IP、TCP/UDP端口、ICMP类型或MAC地址来实现。

ACL不但可以让网络管理者用来制定网络策略，针对个别用户或特定的数据流进行允许或者拒绝的控制，也可以用来加强网络的cisco交换机安全屏蔽，让找不到网络中的特定主机进行探测，从而无法发动攻击。

入侵检测IDS

DDOS及防御DDOS攻击篇3

DDOS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,凡是能导致合法用户不能够正常访问网络服务的行为都可以被理解为拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问。虽然同样是拒绝服务攻击,但是DDOS和DOS还是有所不同,DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务,常见的DOS攻击手段有Tear Drop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言,危害较大的主要是DDOS攻击,原因是很难防范,至于DOS攻击,通过给主机服务器打补丁或安装防火墙软件就可以很好地防范,后文会详细介绍怎么对付DDOS攻击。

二、对DDOS攻击的检测

DDOS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

如何判断网站是否遭受了流量攻击呢?可通过Ping命令来测试,若发现Ping超时或丢包严重(假定平时是正常的),则可能遭受了流量攻击,此时若发现和你的主机接在同一交换机上的服务器也访问不了了,基本可以确定是遭受了流量攻击。当然,这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽,否则可采取Telnet主机服务器的网络服务端口来测试,效果是一样的。不过有一点可以肯定,假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的,突然都Ping不通了或者是严重丢包,那么在排除网络故障因素的情况下则肯定是遭受了流量攻击。再一个流量攻击的典型现象是,一旦遭受流量攻击,会发现用远程终端连接网站服务器会失败。

相对于流量攻击而言,资源耗尽攻击要容易判断一些,假如平时Ping网站主机和访问网站都是正常的,发现突然网站访问非常缓慢或无法访问了,而Ping还可以Ping通,则很可能遭受了资源耗尽攻击,此时若在服务器上用Netstat-na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在,而ES-TABLISHED很少,则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是,Ping自己的网站主机Ping不通或者是丢包严重,而Ping与自己的主机在同一交换机上的服务器则正常,造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令,其实带宽还是有的,否则就Ping不通接在同一交换机上的主机了。

三、流行的DDOS攻击方式

1. SYN/ACK Flood攻击

这种攻击方法是经典最有效的DDOS方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问,但却可以Ping的通,在服务器上用Netstat-na命令会观察到存在大量的SYN_RECEIVED状态,大量的这种攻击会导致Ping失败、TCP/IP栈失效,并会出现系统凝固现象,即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

2. TCP全连接攻击

这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤Tear Drop、Land等DOS攻击的能力,但对于正常的TCP连接是放过的,殊不知很多网络服务程序(如:IIS、Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此容易被追踪。

3. 刷Script脚本攻击

这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、My SQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些Proxy代理就可实施攻击,缺点是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址。

四、如何抵御DDOS

对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%的DDOS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDOS攻击。以下笔者提供几种较为有效的抵御DDOS的方法。

1. 采用高性能的网络设备

首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。

2. 尽量避免NAT的使用

无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为采用此技术会较大降低网络通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好办法了。

3. 充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干上了。但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。

4. 升级主机服务器硬件

在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,若有志强双CPU的话就用它吧,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,别只贪IDE价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。

5. 增强操作系统的TCP/IP栈

Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个。

6. 安装专业抗DDOS防火墙

国内有一款口碑很好的“金盾防火墙”,金盾防火墙是专门针对DDOS攻击和黑客入侵而设计的专业级防火墙,该设备采用自主研发的新一代抗拒绝攻击算法,可达到10万-100万个并发攻击的防御能力,同时对正常用户的连接和使用没有影响。专用得体系结构可改变TCP/IP的内核,在系统核心实现防御拒绝攻击的算法,并创造性的将算法实现在网络驱动层,效率没有受到限制。同时可防御多种拒绝服务攻击及其变种,如:SYN Flood。TCP Flood、UDP Flood、ICMP Flood及其变种Land、Teardrop、Smurf、Ping of Death等等。

摘要：随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布,DDOS拒绝服务攻击的实施越来越容易,DDOS攻击事件正在呈上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素,导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰,随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题,因此,解决DDOS攻击问题成为网络服务商必须要考虑的头等大事。

关键词：DDOS,拒绝服务,网络攻击

参考文献

[1]李军:DDoS攻击全面解析.网络安全技术与应用,2007.9

[2]张明猛赵天福:DDoS攻击检测技术研究.计算机与信息技术,2007.4

[3]陈明奇:分布式拒绝服务攻击处理实例分析.信息网络安全,2007.6

[4]赵恒王宁宁荣瑞峰:DDOS的攻击与防御.信息技术与信息化,2007.3

DDoS攻击以及防范措施篇4

商业利益的驱使，促成DDOS攻击不断

随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布，DDOS拒绝服务攻击的实施越来越容易，DDOS攻击事件正在成上升趋势。

在我国，DDOS攻击多数来自美国，占39％，而中国是拒绝服务攻击的主要目标，占63%。这是亚太及日本地区互联网安全威胁报告中的一部分数据。中国成为DDoS攻击的主要目标。据介绍，凡是能导致合法用户不能够访问正常网络服务的行为都属“拒绝服务攻击”。出于商业竞争、打击报复和网络敲诈等多种因素，导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题，因此，解决DDOS攻击问题成为网络服务商必须考虑的头等大事。

到底什么是DDOS？你被DDOS了吗？

DDOS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”，那么什么又是拒绝服务（Denial of Service）呢？可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。

虽然同样是拒绝服务攻击，但是DDOS和DOS还是有所不同，DDOS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言，危害较大的主要是DDOS攻击，原因是很难防范，至于DOS攻击，通过给主机服务器打补丁或安装防火墙软件就可以很好地防范，后文会详细介绍怎么对付DDOS攻击。

DDOS的表现形式

DDOS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

如何判断网站是否遭受了流量攻击呢？可通过Ping命令来测试，若发现Ping超时或丢包严重(假定平时是正常的)，则可能遭受了流量攻击，此时若发现和你的主机接在同一交换机上的服务器也访问不了了，基本可以确定是遭受了流量攻击。当然，这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可采取Telnet主机服务器的网络服务端口来测试，效果是一样的。不过有一

点可以肯定，假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的，突然都Ping不通了或者是严重丢包，那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击，再一个流量攻击的典型现象是，一旦遭受流量攻击，会发现用远程终端连接网站服务器会失败。

相对于流量攻击而言，资源耗尽攻击要容易判断一些，假如平时Ping网站主机和访问网站都是正常的，发现突然网站访问非常缓慢或无法访问了，而Ping还可以Ping通，则很可能遭受了资源耗尽攻击，此时若在服务器上用Netstat-na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是，Ping自己的网站主机Ping不通或者是丢包严重，而Ping与自己的主机在同一交换机上的服务器则正常，造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令，其实带宽还是有的，否则就Ping不通接在同一交换机上的主机了。

当前主要有三种流行的DDOS攻击：

1、SYN/ACK Flood攻击：这种攻击方法是经典最有效的DDOS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat-na

命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

2、TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序（如：IIS、Apache等Web服务器）能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪。

3、刷Script脚本攻击：这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址。

完全抵御住DDOS攻击是不可能的

对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。

以下几点是防御DDOS攻击几点:

1、采用高性能的网络设备

首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。

2、充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。

但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。

3、安装专业抗DDOS防火墙

专业抗DDOS防火墙采用内核提前过滤技术、反向探测技术、指纹识别技术等多项专利技术来发现和提前过滤DDoS非法数据包，做到了智能抵御用户的DoS攻击。但也不能100％阻止对DDoS非法数据包准确检查。

DDoS攻击与防范篇5

DDoS是Distributed Denial of Service的英文缩写, 即“分布式拒绝服务”。DDoS攻击, 通过很多“僵尸主机” (被攻击者入侵过或可间接利用的主机) , 采用了分布式对单个或者多个目标同时发起DoS攻击。其特点是:目标是“瘫痪敌人”, 而不是传统的破坏和窃密;利用国际互联网遍布全球的计算机发起攻击, 难于追踪。常见的DDo S攻击手段有SYN Flood、ACK Fl ood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。目前DDoS攻击主要分为两类:流量攻击和资源耗尽攻击。

2 防范方法

DDoS攻击防范技术主要分为三大类, 第一类是通过合理配置系统, 达到资源最优化和利用最大化;第二类是通过加固TCP/IP协议栈来防范DDoS;第三类是通过防火墙、路由器等过滤网关, 有效地探测攻击类型并阻击攻击。

这里必须明确的是, DDoS攻击在TCP连接原理上是合法的, 除非TCP协议重新设计, 明确定义DDoS和其他正常请求有何不同, 否则不可能完全阻止DDo S攻击, 我们所做的只是尽可能地减轻DDoS攻击的危害。

2.1 服务器设置

除了防范他人攻击外, 也要提防不要成为被人利用的对象。可以通过以下方法来实现:

安全配置系统, 杜绝攻击漏洞, 及时安装系统补丁程序;

关闭不必要的服务, 并优化服务;

有规律地查看日志;

利用工具检查文件完整性。

2.2 加固TCP/IP协议栈

这里通过修改TCP/IP参数来控制连接资源的利用。下面以Win2003为例, 通过修改注册表, 增强系统的抗DDoS能力。

2.3 防火墙防御

网关超时设置将防火墙SYN转发超时参数设置为小于服务器的Timeout。如果客户端在防火墙的Timeout时间内无响应, 防火墙将发送终止RST消息给服务器, 使服务器从队列中删除该半连接, 节省开销。需要注意的是, 网关超时参数设置不宜过小也不宜过大, 超时参数设置过小会影响正常的通信, 设置过大则会影响防范SYN drome攻击的效果, 必须根据所处的网络环境来设置参数。

SYN网关:SYN网关的原理是代替客户端发送ACK消息, 然后转发数据。SYN网关收到服务器的SYN/ACK包后, 将该包转发给客户端, 同时以客户端的名义给服务器发ACK确认包。此时, 服务器由半连接状态进入连接状态。当客户端确认包到达时, 如果有数据则转发, 否则丢弃。一般服务器所能承受的连接数量比半连接数量要大得多, 所以这种方法能有效地减轻对服务器的攻击。

SYN代理:当客户端SYN包到达过滤网关时, SYN代理并不转发SYN包, 而是以服务器的名义主动回复SYN+ACK包给客户。收到客户的ACK包表明是正常访问, 此时防火墙向服务器发送ACK包, 并完成三次握手。这里的防火墙作为独立的服务器, 需要有较强的抵抗DDoS攻击的能力。

摘要：伴随着网络的发展, 拒绝服务攻击经历了DOS到DDoS的发展。介绍了DDoS攻击的概念、DDoS攻击原理和防范方法。指出:DDoS攻击在TCP连接原理上是合法的, 除非TCP协议重新设计, 明确定义DDoS和其他正常请求有何不同, 否则不能完全阻DDoS攻击。

关键词：DDoS攻击,拒绝服务,防范方法,注册表,防火墙

参考文献

[1]李劲.Windows 2000 Server组网与安装配置手册[M].北京:中国青年出版社, 2000.

[2]李德全.拒绝服务攻击[M].北京:电子工业出版社, 2007.

[3]余伟建, 卢科霞, 严忠军.防守反击:黑客攻击手段分析与预防[M].北京:人民邮电出版社, 2001.

[4]李珂洓, 宁超.恶意脚本程序研究以及基于API HOOK的注册表监控技术[J].计算机应用, 2009 (12) .

DDoS攻击与检测篇6

第一次DDo S网络攻击发生在1996年,纽约市最大的互联网公司Panix的邮件、新闻、WEB服务器等同时遭到攻击。而随着计算机网络的发展,DDo S攻击技术朝着攻击范围广、隐蔽性强、简单有效的方向发展。网络规模的扩大同时使得僵尸网络扩大,分布式的攻击手段和IP地址伪造技术使得很难准确定位攻击者,大量DDo S攻击工具的出现降低了攻击的技术门槛。因此,近年来DDo S网络攻击事件屡见不鲜。

2 DDo S网络攻击简介

DDo S网络攻击是在Do S网络攻击的基础上演变而来的,通过控制大量傀儡机发送超大数据量的合理资源请求来侵占网络带宽资源、系统资源和应用资源,从而使合法用户无法获取服务响应。

DDOS网络攻击采用分布式的攻击手段,改变了传统的点对点的攻击方式,这就使得攻击方式变的没有规律,很难从一种协议或服务的类型方面区分攻击。攻击者通常会对攻击数据包和源IP地址经过伪装,这就导致很难对攻击者实施地址跟踪。

DDo S网络攻击原理是:攻击者通过特殊方式获取到多个网络主机的控制权,在主机上安装攻击软件将其作为傀儡机。攻击者制作攻击命令包,将攻击命令发送给傀儡机,然后控制傀儡机同时向目标主机发送资源请求,通过形成巨大的攻击流量阻塞网络或侵占资源来完成阻止目标主机的目的,其攻击原理如图1所示。

3 DDo S网络攻击常见的类型

3.1 基于ICMP的攻击

攻击者使用傀儡机向目标主机发送大量ICMP报文,进行洪水攻击消耗目标主机的带宽。这种类型的攻击使用hping等工具就能发起攻击,攻击方式简单,被攻击目标在网络边界直接过滤并丢弃ICMP数据包就可使攻击无效。Ping洪水攻击和Smurf攻击就是典型的基于ICMP的攻击。

3.2 UDP洪水攻击

UDP洪水攻击与ICMP攻击原理类似,而UDP是一种面向无连接的传输层协议,不需要验证其发送的数据报是否被正确接收就可以发送新的数据报,因此可以伪造大量的UDP数据包用于攻击目标主机,。但UDP洪水攻击完全依靠傀儡机本身的网络性能,通常对目标主机的带宽消耗并不算太大。Hping、LOIC就是典型的基于UDP攻击。

3.3 TCP SYN攻击

TCP SYN攻击是多台傀儡机向目的主机发送TCP SYN包,在收到被攻击主机的SYN ACK后不发送确认,这样被攻((转转下下页页))击主机打开大量半开连接,侵占系统资源而影响正常用户与目标主机建立连接。通常攻击者会对TCP SYN报文的源IP地址进行伪造,目标主机会将应答发送到伪造的IP地址上,即占用系统资源又隐藏了攻击来源。TCP SYN攻击发动简单,效果明显,是比较难防御的攻击之一。

3.4 HTTP洪水攻击

HTTP洪水攻击时攻击者利用大量傀儡机向Web主机发送超大数据量的HTTP请求,侵占主机资源,造成正常用户请求失败的攻击。HTTP协议是基于TCP协议的,需要三次成功握手才能建立连接,所以进行HTTP洪水攻击无法使用伪造源IP地址的方法来发动攻击。攻击者会使用HTTP代理隐藏攻击来源。HTTP洪水攻击的威胁也主要体现在宽带资源的消耗上,对系统资源消耗有限。

3.5 混合攻击

在实际的攻击案例中,一般攻击者并不关心使用哪种攻击方法,只要能达到瘫痪主机的目的,攻击者常会发动所有能发动的攻击手段展开攻击。目标主机则要同时面对不同协议,不同方法的网络攻击。相对于单种攻击方法,混合攻击具有更高的隐蔽性,能将攻击效果最大话。

4 DDo S攻击常见的检测防御方法

4.1 地址伪造机制的治理

伪造源IP地址使得定位攻击源变得非常困难,攻击者攻击风险变小,目标主机也难以使用源地址过滤的方法阻止攻击。目前已有的简单有效的缓解办法是互联网服务提供商在路由器上过滤数据包,将从外部接口进入内部网络的数据包,但源地址属于内部网络和有内部网络向外发送的数据包,但源地址不属于内部网络的数据包过滤掉。也可以使用单播反向路径转发缓解地址伪造技术,由路由器检查进入的源地址和源端口是否在路由表中,不在则过滤掉数据包。

4.2 稀释攻击流量

DDo S网络攻击的攻击来源分布非常广泛,攻击流量巨大。在面对超大流量的攻击时,首先要做的就是将流量进行稀释和分散。目前比较流行的方法是使用CDN和任播技术。CDN技术就是在互联网范围内广泛设置多个节点作为代理缓存,并将用户的访问请求导向最近的缓存节点,加速访问速度。任播技术是一种网络寻址和路由方法,一组提供特定服务的主机使用同一IP地址,访问请求会被路由到这一组主机的拓扑结构最近的一台上。

4.3 清洗攻击流量

流量清洗是指在全部的网络流量中区分正常流量和恶意流量,只将正常流量交付给目标主机主要包括的技术有:IP信誉检查、攻击特征匹配、速度检测和限制、代理和验证、协议完整性检验和客户端真实性检验。

4.4 攻击追踪

如果能够准确定位攻击源就能有效的解决攻击问题。通常可以使用蜜罐技术收集分析攻击者信息,假如能分析攻击者的准确位置则可以解决DDo S网络攻击的危害。

5 总结与建议

目前已有很多检测和防御方法能在一定程度上起到防御的效果,彻底杜绝DDo S网络攻击是非常困难的。除了上文所介绍的检测和防御方法外,还应在事前预防、事后追踪方面进行防御。a.及早发现漏洞,安装系统补丁,保护好管理员密码。b.利用防火墙等安全设备巩固网络安全,过滤伪造的数据包。c.保证充足的网络带宽,升级主机服务器CPU和内存,通过增加资源减小攻击到来的危害。d.安装专业DDo S网络攻击预防软件。e.反向追踪、定位攻击者,并且对攻击者进行处罚。

摘要：DDo S网络攻击已经成为互联网最大的威胁之一,因其攻击类型和攻击工具多样性,攻击成本低、难度小,彻底防御起来非常困难。文章对DDo S网络攻击的原理进行简单的介绍,并根据TCP/IP协议对攻击进行分类,总结目前已有的常用检测和防御措施。最后,文章给出了检测和预防DDo S网络攻击的建议。

关键词：DDoS网络攻击,检测,防御

参考文献

[1]李蓬.DDo S攻击原理及其防御机制的研究[J].通信技术,2010,04:96-97.

[2]王前,王磊,谢寿生.DDo S攻击和防御机制分类研究[J].计算机应用研究,2006,10:111-112.

[3]池水明,周苏杭.DDo S攻击和防御技术研究[J].信息网络安全,2012,5:28-29.

[4]鲍旭华,洪海,曹志华.破坏之王DDo S攻击与防范深度剖析[M].北京:机械工业出版社,2014,4:88-89,95-96.

[5]张乃斌.Hadoop DDo S攻击检测研究分析[D].北京:北京邮电大学,2014.3-4.

[6]郑显举,张敏,徐琳,龚茗茗.DDo S攻击原理及防御[J].成都电子机械高等专科学校学报,2007,2:27-28.

DDoS攻击剖析及防御对策篇7

DoS(拒绝服务)，DoS的英文全称是Denial of Service，也就是“拒绝服务”的意思。攻击者试图妨碍正常使用者使用网络上的服务。而以网络来说，由于频宽、网络设备和服务器主机等处理的能力都有其限制，因此当攻击者产生过量的网络封包使得设备处理不及，即可让正常的使用者无法正常使用该服务。比如：

●试图FLOOD服务器，阻止合法的网络通讯

●破坏两个机器间的连接，阻止访问服务

●阻止特殊用户访问服务

●破坏服务器的服务或者导致服务器死机

DoS攻击的原理如图1所示。

从图1以看出DoS攻击的基本过程：首先攻击者向服务器发送许多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终被占有不能释放。当服务器等待一定的时间后，连接会因超时而被中断，攻击者会再度传送新的一批请求，在这种反复发送虚伪地址请求的情况下，服务器资源最终会被耗尽。

DDoS(分布式拒绝服务)，它的英文全称为Distributed Denial of Service，它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，象政府部门、商业公司和搜索引擎的站点。被DDoS攻击时的会出现下列现象：

●被攻击主机上有大量等待的TCP连接

●网络中充斥着大量的无用的数据包，源地址为假

●制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯

●利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求

●严重时会造成系统死机

从图1我们可以看出DoS攻击只要一台单机和一个modem就可实现，与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。DDoS的攻击原理如图2所示。

从图2可以看出，DDoS攻击分为3层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。

攻击者发起DDoS攻击的第一步，就是寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，它的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。

所以说，当对一个Web站点执行DDoS攻击时，这个站点的一个或多个Web服务会接到非常多的请求，最终使它无法再正常使用。在一个DDoS攻击期间，如果有一个不知情的用户发出了正常的页面请求，这个请求会完全失败，或者是页面下载速度变得极其缓慢，看起来就是站点无法使用。典型的DDoS攻击利用许多计算机同时对目标站点发出成千上万个请求。为了避免被追踪，攻击者会闯进网上的一些无保护的计算机内，在这些计算机上藏匿DDoS程序，将它们作为同谋和跳板，最后联合起来发动匿名攻击。

（二）DDoS攻击使用的常用工具

1. Trinoo:

Trinoo的攻击方法是基于UDP flood的攻击软件，它向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假，采用的通讯端口是：

攻击者主机到主控端主机：27665/TCP

主控端主机到代理端主机：27444/UDP

代理端主机到主服务器主机：31335/UDP

但此攻击方法用得不多。

2. TFN:

TFN由主控端程序和代理端程序两部分组成，它主要采取的攻击方法为：SYN风暴、Ping风暴、UDP炸弹和SMURF，具有伪造数据包的能力。

3. TFN2K:

TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2K可配置的代理端进程端口。

4. Stacheldraht:

Stacheldraht也是从TFN派生出来的，因此它具有TFN的特性。此外它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。Stacheldrah中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。

（三）检测DDo S攻击程序的方法

要检测DDoS攻击程序的存在，可以有2种方法：

1. 通常，可以使用文件系统扫描工具来确定在服务器文件系统上是否存在已知的DDoS攻击程序。

同病毒软件一样，每当有新的DDoS发明出来，当前的DDoS工具就将过时，或者它对现存的DDoS进行修改而避开检查。所以，要选择最近更新的扫描工具才能检测到最新的DDoS攻击程序。

2. 还可使用手工方法对起源于本地网络中的DDoS活动进行双重检查。

在Web服务器与Internet或者上游ISP连接之间的防火墙上建立一个滤波器，以寻找spoofed (哄骗) 信息包，也就是那些不是从你自己的网络上生成的信息包。这就是所谓的出口过滤。如果在你的网络上正在生成spoofed信息包，那么这很可能是一个DDoS程序生成的。然后跟踪这些spoofed信息的源头，将计算机离线开始清理工作。屏蔽经常受到远程控制而受到威胁的端口，比如37337。为了对所有的变化都进行研究并采取相应的措施，建议使用nmap或saint这样的工具经常对网络的开放端口进行扫描。Nmap，即Network Mapper，是Linux下的网络扫描和嗅探工具包，它不仅可以帮助网管人员深入探测UDP或TCP端口，直至主机所使用的操作系统，还可以将所有探测结果记录到各种格式的日志中，为系统安全服务。

（四）DDoS攻击的防御对策

1. 采用高性能的网络设备

2. 使用网络和主机扫描工具检测脆弱性

像DDoS这类分布式网络攻击能够成功的关键是黑客在Internet上寻找到大量安全防御措施薄弱的计算机。因此，经常使用安全检测工具检测网络和主机，找出目前存在的安全隐患并给出相应的应对措施，可以减少甚至避免主机被黑客利用成为其DNA攻击帮凶的可能性。

另一方面，安全扫描工具也与反病毒工具一样，能够检测并删除主机上被黑客安装的进行DNA攻击的软件。反病毒工具随病毒的变种和演化在不断地改进升级，安全扫描工具也应如此，否则在新品种的DNA攻击工具面前只能是形同虚设，并且给管理员和广大用户造成本机安全的假象。

3. 过滤进网和出网的流量

在系统中加装防火墙系统，利用防火墙系统对所有出入的数据包进行过滤，目的是阻止任何伪造IP地址的数据包进入网络，从而从源头阻止诸如DDoS这样的分布式网络攻击的发生或削弱其攻击效果。要实现这一目标，要求所有的ISP相互合作，共同采取积极有效的防御措施，因为如果只是少数ISP实施协议过滤，几乎不会产生明显的效果。但经验表明，多数ISP对实施协议过滤持犹豫或观望态度，原因是因为如果采取这样的过滤措施，ISP提供的服务性能会受到影响，严重时甚至会降低20%。不过，ISP也应该意识到这一点：要么下决心在改进安全方面投入人力物力，相互合作长期受益;要么就不得不付出被黑客攻击的代价。

为防止icmp炸弹的攻击，在系统内核中对icmp数据包的流量进行限定允许。并在系统参数中对此限定值调整。以防止系统由此而造成的失去响应。

4. 采用网络入侵检测系统NIDS和探测器

当系统收到来自奇怪或未知地址的可疑流量时，网络入侵检测系统NIDS (Network Intrusion Detection Systems) 能够给系统管理人员发出报警信号，提醒他们及时采取应对措施，如切断连接或反向跟踪等。一般情况下，NIDS的安全策略或规则应该是最新的，并包含当前最新攻击技术的特征描述。只有如此，NIDS才能检测出目前最新的攻击行为，如Trin00、TFN或Stacheldraht等。

探测器 (sniffer) 可用来在网络级识别网络攻击行为并成为NIDS原始检测信息的来源。例如，如果黑客修改了IP包的数据部分，使其包含某些隐蔽信息，探测器就可以探测到这些信息并将此信息提供给有关人员进行分析，成为采取阻断、分流恶意流量或追查黑客的依据。

5. 仔细调整服务器的各项参数

根据站点访问量大的特点，对Web服务器和Mail服务器进行适度的预加重处理，即通过预先使服务器达到一定的负载，以使得整个系统的负载在访问量变化时不会出现很大的变化，如果出现了很大的变化，很有可能使得服务器崩溃。这和在建筑中广泛采用的预应力技术的原理是一致的。在完成了对服务器的强化后，还必须使用一些有效的方法和规则来检测和发现拒绝服务攻击，并能在检测到拒绝服务攻击后采取相应的对策。

（五）结束语

DDoS攻击利用TCP/IP协议的缺陷，将提供服务的网络的资源耗尽，导致不能提供正常服务，是一种对网络危害巨大的恶意攻击。只有加强网络安全防范意识，提高网络系统的安全性，才能有效防范黑客的DDoS攻击。

参考文献

[1]张海航.黑客常用攻击方式之DDoS攻击全面剖析.www.rising.com.2003.

[2]周晓东, 黄永泰, 等.DDoS攻击原理及对策研究[J].计算机与现代化, 2004, (3) .

抵抗DDoS攻击的方法分析篇8

在诸多的网络安全问题中, 分布式拒绝服务攻击 (DDo S) 是很容易发动却不容易防御的一种“非常无耻”的黑客性质的攻击。拒绝服务 (Do S) 攻击是指客户端对目标发动攻击, 使目标瘫痪从而无法提供正常的服务的一种攻击。如向目标服务器发送大量恶意请求使服务器CPU处于100%占用状态, 或向目标网络发送大量恶意数据包从而造成网络拥塞, 使网络的正常服务瘫痪。随着设备的升级, 简单的“一对一”的拒绝服务攻击已很难奏效, 因此, “多对一”的分布式拒绝服务攻击 (DDo S) 成为主要的攻击手段。

分布式拒绝服务 (DDo S:Distributed Denial of Service) 攻击指借助于客户机/服务器技术, 将分布在不同物理位置的多台终端联合起来作为攻击平台, 对一个或多个目标发动Do S攻击, 从而成倍地提高拒绝服务攻击的威力。

目前, 尚没有一种完全有效的抵抗DDo S攻击的方法, DDo S难以防御的主要原因在于: (1) DDo S攻击发动时间短, 一般在几分钟内就完成了, 攻击数据包 (包括TCP、UDP) 的数量非常之多; (2) DDo S攻击多采用IP欺骗 (IP Spoofing) 技术, 攻击中的IP数据包的源IP地址是假的, 因此很难进行IP过滤; (3) DDo S攻击通常都是利用了协议漏洞, 如TCP/IP协议的漏洞。

2 解决方案

DDo S攻击防御起来非常困难, 无论在工程界还是在学术界, 都是一个值得研究的问题, 而现今还没有一个完全有效的解决方案, 本文将简单地从工程应用和学术研究两个方面来探讨一下抵抗DDo S攻击的一些手段。

2.1 工程应用方案

在工程应用上, 简单容易实现的方案就是最有效的方案。因此, 许多一线的资深安全工程人员及安全厂商提出了许多抵抗DDo S攻击的方案, 本文略为总结了一下, 大概有如下一些类型:

2.1.1“强身健体”型

这包括升级系统、修复系统漏洞、升级网络设备、增加网络带宽等, 但这些都只能是被动地防御, 而且在攻击手段日益先进的时候, 这种做法的效果不明显。

2.1.2 简单过滤型

当检测到有DDo S攻击流量时, 采取办法对网络流量进行过滤, 把DDo S攻击的数据包过滤掉, 通常可以采用设置访问控制列表ACL来实现。但是这种做法实际上是不太可行的, 原因有二: (1) 一旦出现DDo S攻击, 通常都是在瞬间完成, 而要在短短的几分钟内配置好ACL几乎是不现实的; (2) DDo S攻击数据包通常都是采用伪造的源IP地址, 这给通过ACL过滤带来了很大的困难。

2.1.3 流量牵引型

这通常在一些专业级的解决方案中被采用, 具有代表性的有:

(1) 中联绿盟的黑洞抗拒绝服务系统 (Collapsar Anti-Do S System) 。它通过多层的检测、防护算法, 及时发现入口流量中的攻击数据包, 迅速对其进行过滤, 保证正常流量的通过。黑洞能以透明的串联方式接入, 亦可在大网环境中采用基于流量牵引技术的旁路部署方式, 避免单点故障的发生, 保证网络的可靠性。

(2) 思科 (Cisco) 的智能DDo S防护系统。它由侦测器Detector和防护器Guard两部分构成, 防护器采用并联的方式接驳在主干网中, 对整个网络结构没有影响。当网络中有不正常的流量对网络进行攻击时, IDS会向防护器发出报警, 这样DDo S防护器就立即启动开始工作, 通知路由器, 将非法的流量全部都发送到防护器, 暂时接管网络中的这些数据流量, 并对其进行分析和验证, 所有非法恶意流量将在这里被截获丢弃, 而正常的流量和数据将被继续传送到目的地。

2.2 学术研究方案

学术研究永远是走在工程应用的前面的。在学术界, 对抗DDo S的研究一直都是很热的, 也出现了许多很好的方案。其中, 结合包标记 (Packet Marking) 和Traceback技术, 产生了许多的抵抗DDo S攻击、检测DDo S攻击源的方案, 这些方案实验效果和理论分析都不错, 但是因为涉及到法律、隐私、硬件、厂商及客户支持程度等因素, 多数都尚未在工程中实际使用。本文简单介绍一下几种有代表性的包标记方案。

2.2.1 i Trace方案

Steve Bellovin在2000年提出把ICMP消息用于认证的IP标记 (IP Marking) 方案, 这也成为后来常说的ICMP Trace, 简称i Trace。在i Trace方案里, 一个具有i Trace能力的路由器以一定的概率p产生某个数据包的认证码, 并把自己的IP地址及前一跳、下一跳IP地址加入其中构成ICMP消息, 发送给源或目标地址, 这种方案的一个明显的不足之处在于它需要一定数量的数据包来重构路径, 对于抵抗不明显或时间上不连续的DDo S攻击效果不明显。

2.2.2 概率包标记方案

Kihong Park和Heejo Lee在2001年提出了一种有效的基于概率标记数据包的Traceback方案PPM (Probabilitistic Packe Marking) , 在PPM方案中, 路由器以一定的概率向流经的数据包插入相关的信息, 以此来寻找传输过程中的具有欺骗地址的数据包。

MIT计算机科学实验室的Snoeren和BBN公司的Sanchez等人在2001提出了Hash-based的Traceback技术, 他们提出了SPIE (Source Path Isolation Engine) 方案, 以IP报头中的几个不常用字段如To S, Option及少用字段TTL为载体记录Traceback信息, 该方案的一个亮点在于数据包在记录Traceback信息时并不是简单地记录如IP地址、流量等信息, 而是利用Hash函数, 生成相关信息的散列值, 将散列值记录于可用字段, 这样一来节省了存储空间, 二来提高了效率。

2.2.3 综合的包标记方案

Hyung-Woo Lee在2004年提出了一种使用了Pushback技术的改进了的数据包标记方案, 该方案引入了数据流的标记与控制机制, 采用了ACC (Aggregate-based Congestion Control) 与Pushback结合的技术, 结合了PPM与Hash-based方案思想的优点, 仿真效果非常好。

2006年, Hyung-Woo Lee提出了SVM-PM方案, 该方案以SVM为分类算法, 对出现拥塞时的数据包进行分类, 判断是否为DDo S数据包, 进一步结合使用2004年提出的Pushback标记方案进行数据包的标记, 仿真效果好。

3 结束语

抵抗DDo S攻击是一个复杂且具有挑战性的问题, 不是一两种方案就能完全解决的。这其中涉及到技术问题, 包括如何快速有效地检测出DDo S攻击流?如何快速地对DDo S攻击流做出反应?被DDo S攻击后如何查找及定位攻击源?同时也涉及到法律和隐私的问题, 学术方案中的诸多方案都假设网络拓扑是已知的, 这在实际应用中是不容易实现的, 因为这涉及到隐私及法律权限问题。

摘要：随着互联网的日益开放, 网络安全逐渐成为一个严重的问题。其中, 拒绝服务类型的攻击 (DDOS) 显得尤为严重。介绍了DDoS攻击的原理, 从工程应用和学术研究的角度分析了几类抵抗DDoS攻击的方案, 并指出了其中的优缺点。

关键词：分布式拒绝服务攻击,包标记,流量牵引

参考文献

[1]CNNIC.第23次中国互联网络发展状况统计报告.http://www.cn-nic.com.cn/html/Dir/2009/01/12/5447.htm.

[2]中联绿盟.http://www.nsfocus.com/1_solution/NSF-PROD-ADOS-V4.5-WH.pdf.

[3]STEVE BELLOVIN.The ICMP Traceback Message.http://www.re-search.att.com/～smb.2000.

[4]ALEXC.Snoeren.Craig Partridge.Hash-Based IP Traceback..SIG-COMM'01, ACM.2001.

[5]HYUNG WOO LEE.Advanced Packet Marking Mechanism with Pushback for IP Traceback.ACNS.2004.

DDOS攻击手段及其防护研究篇9

1 DDOS攻击的检测

进行分布式拒绝服务攻击一定要有攻击的工具, 现在主要的攻击工具有Trinoo, TFN及其改进版本TFN2K, Stacheldraht, Trinity以及Shaft。这些攻击工具在进行攻击的时候都是存在着一个共同点的, 就是在进行攻击的时候都要进行远程控制, 通过对远程控制程序进行控制, 对多台计算机进行攻击, 在攻击之前一定要确保要进行攻击的目标已经被代理程序控制, 只有这样才能更好的进行攻击。分布式拒绝服务攻击在攻击方法是主要是利用TCP/IP上出现的漏洞, 这些漏洞的出现会使得大数据的数据包和TCP连接很容易被控制, 出现的漏洞会导致系统在性能方面出现很多的问题, 情况严重的时候非常容易导致系统瘫痪。分布式拒绝服务在进行攻击的时候, 攻击工具都是有其特定的通信方式的, 这样可以通过监视的端口对其使用情况进行了解, 然后进行更加有效的检测。建立对分布式拒绝服务攻击工具的监测是网络入侵监测系统的重要组成部分, 分布式攻击工具通常会产生两种网络通讯信息, 对网络中出现的异常情况进行监测, 可以更好的找出应急措施。

攻击者在进行分布式拒绝服务攻击以前要对主攻击目标的IP地址进行必要的分析, 因此就会使得服务器收到大量的反向解析的查询请求。正是因为要解析目标的主机名, 因此每台受到攻击的服务器在攻击之前一定要进行必要的查寻, 这样就可以利用域名服务器对记录进行分析。在遭受到分布式拒绝服务攻击以后会出现网络工作时间过长的情况, 或者是出现通讯流量过大的情况。计算机在使用的时候如果出现极限流量的情况, 就说明这台计算机已经受到了攻击, 因此在攻击检测的时候可以对通讯的极限进行检测。分布式拒绝服务在进行攻击的时候非常容易出现大的数据包, 这些大的数据包的出现会导致计算机的处理无法正常进行, 使得计算机出现瘫痪的情况。分布式拒绝服务在攻击的时候, 会伪造虚假的地址, 在进行检测的时候如果可以捕获到没有经过伪造的信息, 就可以对分布式拒绝服务攻击的服务器位置进行掌握, 这样就可以避免更大危害的发生。隐蔽的分布式拒绝服务攻击工具在进行攻击的时候会使用多种通讯协议, 而且这些协议在进行数据发送的时候通常都是使用的TCP协议, 这样即使使用了防火墙来对数据包进行隔离也是无法起到任何效果的。数据段内容只包含文字和数字字符的数据包。这往往是数据经过BASE64编码后而只会含有BASE64字符集字符的特征。TFN2K发送的控制信息数据包就是这种类型的数据包。TFN、TFN2K等的特征模式是在数据段中有一串A字符 (AAA…) , 这是经过调整数据段大小和加密算法后的结果。数据段内容只包含二进制和high-bit字符的数据包。虽然此时可能在传输二进制文件, 但如果这些数据包不属于正常有效的通讯时, 可以怀疑正在传输的是没有被BASE64编码但经过加密的控制信息通讯数据包。

2 分布式拒绝服务攻击的解决方案

分布式拒绝服务攻击是一种多层次的, 而且是通过正常请求渠道来实施攻击的方法, 这样就使得这种攻击在发生的时候很难进行跟踪和防范, 但是在技术上也还是存在着解决的可能性的。在攻击解决方案上采取对攻击地址的连接请求进行截断的方法并不是十分的可靠, 很多的攻击者在进行攻击的时候会假冒合法的用户, 将所有的连接进行截断正好会使拒绝服务的目的达到。分布式拒绝服务在攻击的时候非常的简单, 而且很容易进行实施, 同时在追踪上是非常困难的, 在解决方式上不能依赖已有的产品, 要进行新产品和技术的开发。可以从网络服务和数据交换技术方面出发, 对网络的运行情况进行实时监测, 对比特流的方向、大小、速度和变化率进行监测, 然后对监测到的数据进行分析, 同时对相应的协议进行分析, 对正常的网络流量情况进行掌握, 这样就能更好的提高设备的性能, 使得分布式攻击得到及时的发现, 同时不会影响系统的正常连接, 这是对攻击进行预警非常有效的方式。

系统串接在网络边界最前端, 将TCP的三次握手过程移植到设备中, 通过端口数据接收器流入网络数据包, 核心算法引擎和流量控制器将正常流量与攻击流量或可疑流量区分开来, 让正常流量通过而阻止攻击流量, 监视可疑流量。为了保证对流量的准确区分以及高效的抗DDOS攻击性能, 系统采取了如下的技术和措施:用专用的ASIC架构, 以ASIC的高性能芯片技术应对DDOS攻击, 提高系统对流量的识别与响应效率。核心算法基于专用的ASIC架构汇编实现, 对标准TCP状态进行了精简和优化, 提高对“三次握手”的响应, 效率远高于目前流行的SYN Cookie和Random Drop等算法。系统提供完全解包方式与网络三层解包方式。在完全解包方式下实现对网络流量的完全监控;在网络流量压力过大时, 网络三层解包方式可以提高系统响应的性能。系统采用多引擎的策略以防止连接耗尽, 增强对资源比拼型攻击的防护能力。数据进入系统控制单元后, 与协议分析器中建立的典型网络访问阈值、规则进行比对, 同时与特征模式库中的攻击特征进行匹配, 通过核心算法引擎对网络数据报文进行概率统计, 准确地区分出恶意报文和正常访问数据报文, 结果传递到流量控制器实现数据流量的准确区分。另外, 流量控制器可以与节点路由器的路由控制策略以及防火墙的安全控制策略互动, 增强对部分异常数据流的控制, 跟踪入侵主机以及发出警报以采取应急措施, 同时系统建立审计日志。系统控制单元采用神经元网络对采集信息进行统计分析和特征匹配, 同时具备自学习功能的更新规则库以及特征模型, 能及时更新DDOS攻击模式的最新特征动态。同时系统采取无IP地址策略实现网络隐身, 极大增强系统自身安全。系统除对流入节点的数据进行检测外, 同时对节点内主机流出的数据实施检测, 以防止节点内主机成为DDOS攻击系统结构中的主控端和代理端, 从而更大可能地防止DDOS攻击的发生。DDOS攻击预警及入侵防御系统的实现关键在于准确区分正确流量和有效提高DDOS效率, 因此, 高效的算法以及高性能芯片技术将是成功的关键。

3 结束语

分布式拒绝服务攻击是一种破坏力很大的攻击方法, 这种攻击在进行攻击的时候可以对多台计算机进行攻击, 为了更好的保证网络的安全使用, 对这种攻击方式进行检测和预防都是非常必要的, 对攻击的方式和原理进行分析, 一定可以找到防范的措施。

摘要：互联网在现在得到了广泛的使用, 在使用互联网的时候, 安全是非常重要的。互联网在使用的时候经常会出现很多的安全问题, 其中分布式拒绝服务攻击就是非常严重的攻击。为了更好的保证互联网的使用安全, 对分布式拒绝服务进行攻击原理的分析, 对攻击的手段进行分析, 进而找到可行的检测方法和防御的方法。检测方法和防御方式的找出可以更好的避免攻击带来的危害, 保护互联网的安全。

关键词：分布式拒绝服务攻击,攻击手段,防护措施

参考文献

本文来自古文书网(www.gwbook.cn)，转载请保留网址和出处

初等数学研究教学案例02-20

《电子商务概论》案例教学应用研究02-20

移动监控系统02-20