徐　亮

[摘要]DDos（Distributed Denial of Service）即分布式拒絕服務(wù)攻擊，攻擊者在Client（客戶端）操縱攻擊過程。每個Handler（主控端）是一臺已被入侵并運行了特定程序的系統(tǒng)主機。每個主控端主機能夠控制多個Agent（代理端）。每個代理端也是臺已被入侵并運行另一種特定程序的系統(tǒng)主機。每個響應(yīng)攻擊命令的代理端會向被攻擊目標(biāo)主機發(fā)送拒絕服務(wù)攻擊數(shù)據(jù)包。對這種攻擊的防范措施進(jìn)行研究。

[關(guān)鍵詞]分布式拒絕服務(wù)攻擊 防范 措施

中圖分類號：TP3 文獻(xiàn)標(biāo)識碼：A 文章編號：1671－7597（2009）0720055－01

前些年，Yhaoo等一些大型商業(yè)站點所遭受的分布式拒絕服務(wù)攻擊，是繼Internet蠕蟲之后最引人注目的網(wǎng)絡(luò)攻擊事件。其攻擊強度和范圍之廣令人震驚，更讓人擔(dān)憂。與以前所有的攻擊不同，受攻擊者無法通過改善其防范措施來有效抵御這類攻擊。這次事件充分證明了新式攻擊工具的威力，也給我們帶來新的啟示，網(wǎng)絡(luò)時代的安全需要廣泛的相互支持和合作。無論你的系統(tǒng)如何健壯、資源如何充足，攻擊者總是能通過分布式拒絕服務(wù)攻擊網(wǎng)絡(luò)把許多零散、微不足道的資源組織起來，會聚成十倍甚至百倍于你的資源。如果你的系統(tǒng)每秒鐘可以處理10000個請求，攻擊者可以通過分布式拒絕服務(wù)攻擊網(wǎng)絡(luò)調(diào)用100臺每秒發(fā)送200個請求的攻擊代理來淹沒你的系統(tǒng)。

一、分布式拒絕服務(wù)攻擊

攻擊代理程序在接收到攻擊主管程序發(fā)送來的攻擊命令后，將對其提供的攻擊目標(biāo)、攻擊時間長度以及攻擊方法發(fā)起攻擊。Trinoo的攻擊幽靈程序使用UDt洪潮的方法攻擊日標(biāo)；而TNF和Stacheldraht都可以選用UDt洪潮、TCP同步洪潮、CIMP_ECHO請求洪潮、Smurfmg這4種方法中的一種或多種，并且這4種攻擊方法將與源IP地址相結(jié)合，這一方面使攻擊難以跟蹤，另一方面使目標(biāo)收到的數(shù)據(jù)包更類似于正常情況。

分布式拒絕服務(wù)攻擊的安裝過程包括一系列非常隱蔽的入侵攻擊。通常的做法是攻擊者首先在某個具有高速的Internet連接，且用戶多而管理松散的主機上盜用N個帳戶，用以存放預(yù)先編譯好的掃描工具入侵工具，Root Kit（用以隱藏入侵蹤跡的工具）、Sniffer監(jiān)聽工具、分布式拒絕服務(wù)攻擊的主管和代理程序，以及已經(jīng)在控制之中的Internet主機（俘虜主機）的IP列表和具有可利用安全漏洞的主機（以下稱脆弱主機）的1P列表，預(yù)先編譯好的腳本程序能根據(jù)IP列表在俘虜主機或脆弱主機上安裝分布式拒絕服務(wù)攻擊的主管程序，安裝完畢，則通過預(yù)先定義的端口自動建立與被盜用帳戶所在主機的連接，或者向某個指定的免費Web MaR帳戶發(fā)送電子郵件以確認(rèn)安裝成功。接著，攻擊者根據(jù)攻擊主管節(jié)點和俘虜主機、脆弱主機的分布情況，設(shè)計分布式拒絕服務(wù)攻擊網(wǎng)絡(luò)的分布圖。編制腳本程序上載到被盜帳戶中，該腳本程序?qū)⒆詣釉谌肭终咧付ǖ姆斨鳈C上安裝攻擊代理程序，攻擊者在每個攻擊主管節(jié)點上維護一份由該主管程序控制的攻擊代理節(jié)點的1P列表。

在目前發(fā)現(xiàn)的分布式拒絕服務(wù)攻擊網(wǎng)絡(luò)中，攻擊代理程序的自動安裝程序會在系統(tǒng)的定時一程序表中增加一條記錄，設(shè)定攻擊代理程序每分鐘啟動一次，在Stacheldraht中攻擊代理程序甚至可以按照攻擊主管程序的指令，到某個指定的地方獲取新的版本，進(jìn)行自我升級。

二、抵御攻擊的措施

方法：1．緊密跟蹤安全動態(tài)：這是一條普遍適用的原則。在技術(shù)飛速發(fā)展的今天，隨時了解有關(guān)的安全動態(tài)更顯必要。隨時一掌握最新安全信息有三個主要目的：（1）是了解、掌握最新的安全保護技術(shù)、工具；（2）是了解新出現(xiàn)的安全漏洞或攻擊方法，以及新的攻擊工具的特點；（3）是根據(jù)對當(dāng)前安全動態(tài)和自身網(wǎng)絡(luò)、系統(tǒng)特點的綜合分析，采取必要的措施增進(jìn)網(wǎng)絡(luò)、系統(tǒng)的安，包括及時安裝必要的補丁程序，修訂原有的安全策略，引進(jìn)必要的安全工具等等。

2．簡單的服務(wù)，嚴(yán)格的訪問控制：這條原則的指導(dǎo)思想來源于越單一越安全。在網(wǎng)絡(luò)邊緣，即連接（不僅是物理還包括邏輯連接）內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的節(jié)點處，這個原則尤其重要。簡單的服務(wù)指僅提供必需的服務(wù)/功能，功能齊全是爭取用戶的一項重要措施，許多工具、「產(chǎn)品的缺省安裝都提供了名目繁多的功能。這些功能在方便用戶的同時，也可能給攻擊者帶來了更多入侵的機會。

嚴(yán)格的訪問控制策略：指除非被明確允許，否則一律拒絕。這要依靠路由器等網(wǎng)絡(luò)設(shè)備和防火墻、甚至是自主開發(fā)的一些安全工具來輔助實現(xiàn)。網(wǎng)絡(luò)通訊是通過交換數(shù)據(jù)包實現(xiàn)的，所以應(yīng)嚴(yán)格限制數(shù)據(jù)包的類型除非在被明確允許的數(shù)據(jù)包類型之列，否則不允許進(jìn)/出本網(wǎng)。這兩項措施相配合，可以降低主機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的復(fù)雜程度，減小遭受未知模式攻擊的可能性，可以減輕日常管理的工作量（比如需要審計的日志減少，系統(tǒng)配置時只需考慮為數(shù)不多的幾類服務(wù)的特殊要求等等），而且一旦出現(xiàn)意外事件，實時搜查的范圍小，便于迅速找到事情起因。

如果系統(tǒng)管理員可以在本地對網(wǎng)絡(luò)設(shè)備進(jìn)行配置管理，就應(yīng)關(guān)閉其遠(yuǎn)程管理功能，以免入侵者利用其中某個還未公開的漏洞使你的系統(tǒng)成為他的俘虜：如果沒有特殊的需要，可設(shè)置路山器使之阻隔來自外界的直接廣播使之不響應(yīng)發(fā)往廣播地址的PING包，這可以使你的網(wǎng)絡(luò)避免成為Smurf攻擊的中轉(zhuǎn)網(wǎng)絡(luò)；使路由器僅允許源于內(nèi)部的IP包向外發(fā)出，可以防止本網(wǎng)段的IP地址欺騙；嚴(yán)格配置的防火墻可限制外部網(wǎng)絡(luò)對內(nèi)部主機、端口的訪問，記錄各種對系統(tǒng)的越權(quán)訪問請求。這樣的系統(tǒng)，能把入侵者的端口掃描拒之門外，即使網(wǎng)絡(luò)中己經(jīng)存在Satcheldrhat的攻擊主管節(jié)點，攻擊控制臺也無法通過16660端口與其取得聯(lián)系。

3．定期對系統(tǒng)進(jìn)行安全檢查：一般的系統(tǒng)日志僅提供有限的信息，所以，除了常規(guī)的日志審查之外，有必要定期對系統(tǒng)進(jìn)行安全檢查。安全檢查的目的至少有兩個：其一及時發(fā)現(xiàn)系統(tǒng)的安全缺陷，這些缺陷可能是新發(fā)現(xiàn)的，或者是由于系統(tǒng)配置改變引起的，或者是對系統(tǒng)的使用不當(dāng)引起的；其二及時發(fā)現(xiàn)入侵的蹤跡。

有兩類工具值得推薦：一類是入侵檢測工具，它能夠?qū)崟r檢測入侵蹤跡。通常也具有漏洞檢測工具的功能，即通過模擬入侵行為，幫助管理員了解系統(tǒng)的安全漏洞所在；另一類是文件系統(tǒng)完整性檢查工具，典型的有Tripe Wire，它通過記錄、比較文件或目錄的MDS等多種難以仿冒的簽名等信息，幫助管理員迅速發(fā)現(xiàn)被非法篡改的重要文件。需要提醒的是，對于記錄文件/目錄完好狀態(tài)信息的簽名文件，應(yīng)該妥善保存，比如把它存放在一次性可寫的CDROM上，以防被篡改。

參考文獻(xiàn)：

[1]鄭顯舉、張敏、徐琳、龔茗茗，DDoS攻擊原理及防御[J]成都電子機械高等專科學(xué)校學(xué)報，2007，（02）.

[2]張胡，校園網(wǎng)DDoS攻擊防御平臺建設(shè)方案研究[J]電腦知識與技術(shù)，2008，（33）.