胡巧玲

摘要本論文首先對DoS和DDoS攻擊加以說明,然后詳細(xì)分析DDoS攻擊的方法,最后進一步提出了防范解決DDoS攻擊的一些措施。

關(guān)鍵詞DDoS攻擊防范措施

中圖分類號:TP393.08文獻標(biāo)識碼:A

1 引言

隨著網(wǎng)絡(luò)應(yīng)用的日益廣泛,使用互聯(lián)網(wǎng)的用戶越來越多,對網(wǎng)絡(luò)進行攻擊的人也逐漸增多。不管出于哪種目的,對網(wǎng)絡(luò)的攻擊都會使網(wǎng)絡(luò)的正常工作受到嚴(yán)重的破壞,甚至使網(wǎng)絡(luò)或服務(wù)癱瘓,在經(jīng)濟等各個方面造成不同程度的損失。

DoS(Denial Of Service),中文意思是拒絕服務(wù),注意,這里千萬不要認(rèn)為是微軟的dos操作系統(tǒng)。DoS攻擊即攻擊者想辦法讓目標(biāo)機器停止提供服務(wù)或資源訪問,這些資源包括磁盤空間、內(nèi)存、進程甚至網(wǎng)絡(luò)帶寬,從而阻止正常用戶的訪問。另外,DoS有兩個鮮明的特點:技術(shù)原理簡單,工具化;難以防范,有限D(zhuǎn)oS可以通過管理的手段防止。

分布式拒絕服務(wù) (Distributed Denial of Service—DDoS)是一種基于DoS的特殊形式的拒絕服務(wù)攻擊,是一種分布、協(xié)作的大規(guī)模攻擊方式,主要針對比較大的站點,如商業(yè)公司、搜索引擎和政府部門的站點。DoS攻擊只要一臺連接網(wǎng)絡(luò)的單機就可實現(xiàn),而DDoS攻擊是利用一批受控制的機器向同一臺機器發(fā)起攻擊,因此這樣的攻擊難以防備,具有較大的破壞性。

一個DDoS攻擊通常分三個過程。一是目標(biāo)確認(rèn):黑客會在互聯(lián)網(wǎng)上鎖定一個企業(yè)網(wǎng)絡(luò)的IP地址。這個被鎖定的IP地址可能代表了企業(yè)的Web服務(wù)器,DNS服務(wù)器,互聯(lián)網(wǎng)網(wǎng)關(guān)等。二是準(zhǔn)備過程:黑客會入侵互聯(lián)網(wǎng)上大量的沒有良好防護系統(tǒng)的計算機。黑客會在這些計算機中植入日后攻擊目標(biāo)所需的工具。三是實際攻擊過程:黑客會將攻擊命令發(fā)送到所有被入侵的計算機上,并命令這些計算機利用預(yù)先植入的攻擊工具不斷向攻擊目標(biāo)發(fā)送數(shù)據(jù)包,使得目標(biāo)無法處理大量的數(shù)據(jù)或者頻寬被占滿。

被攻擊的服務(wù)器有以下癥狀:被攻擊主機上有許許多多等待的TCP連接;網(wǎng)絡(luò)中充滿了好多垃圾數(shù)據(jù)包,源地址是假的;制造大量廢棄的數(shù)據(jù),以致導(dǎo)致網(wǎng)絡(luò)擁塞,使受害的主機沒有辦法正常和外界進行通訊;DDoS攻擊利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷,不斷地發(fā)出特定的服務(wù)請求,使受害主機沒有辦法及時處理一切正常請求;嚴(yán)重時會造成系統(tǒng)死機 。

2 DDoS攻擊典型示例

(1)SYN Flood。每個機器都需要為半開連接分配一定的資源;這種半開連接的數(shù)量是有限制;共計方利用TCP連接三次握手過程,打開大量的半開TCP連接;目標(biāo)機器不能進一步接受TCP連接。機器就不再接受進來的連接請求。

(2)TearDrop。它利用IP包的分片裝配過程中,由于分片重疊,計算過程中出現(xiàn)長度為負(fù)值,在執(zhí)行memcpy的時候?qū)е孪到y(tǒng)崩潰。

(3)IP欺騙攻擊。這種攻擊利用RST位來實現(xiàn)。

(4)PingOfDeath。直接利用ping包,即ICMP Echo包,有些系統(tǒng)在收到大量比最大包還要長的數(shù)據(jù)包,會掛起或者死機。

(5)Land。用于Land攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的,因為當(dāng)操作系統(tǒng)接收到這類數(shù)據(jù)包時,不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況,從而有可能造成系統(tǒng)崩潰或死機等現(xiàn)象。

(6)Smurf。攻擊者向一個廣播地址發(fā)送ICMP Echo請求,并且用受害者的IP地址作為源地址;廣播地址網(wǎng)絡(luò)上的每臺機器響應(yīng)這些Echo請求,同時向受害者主機發(fā)送ICMP Echo-Reply應(yīng)答;受害者主機會被這些大量的應(yīng)答包淹沒。

3 DDoS防范措施

3.1 對于網(wǎng)絡(luò)方面

(1)路由器和防火墻配置得當(dāng),可以減少受其攻擊的危險。(2)入侵檢測系統(tǒng),檢測異常行為。

3.2 對于系統(tǒng)方面

(1)升級系統(tǒng)內(nèi)核,打上必要的補丁。(2)關(guān)掉不必要的服務(wù)和網(wǎng)絡(luò)組件。(3)如果有配額功能的話,正確地設(shè)置這些配額。(4)監(jiān)視系統(tǒng)的運行,避免降低到基線以下。(5)檢測系統(tǒng)配置信息的變化情況。

3.3 建立備份和恢復(fù)機制方面

當(dāng)然,我們要徹徹底底的杜絕拒絕服務(wù)攻擊,只有追根溯源去找到正在進行攻擊的機器和攻擊者。因為攻擊者一旦停止了攻擊行為,很難將其發(fā)現(xiàn),只能在其進行攻擊的時候,根據(jù)路由器的信息和攻擊數(shù)據(jù)包的特征,采用一級一級回溯的方法來查找其攻擊源頭。這就需要各級部門的協(xié)同配合,甚至是不同組織、不同國家的合作才能很好地完成,這幾乎是不可能實現(xiàn)的。

4 結(jié)束語

對于DDoS攻擊目前還沒有十分有效的防范辦法,我們只有加強網(wǎng)絡(luò)安全防范意識,提高網(wǎng)絡(luò)系統(tǒng)的安全性,才能有效防范黑客的DDoS攻擊。