吳曉春 張豐驛

(1.防城港市環(huán)境監(jiān)測站，廣西 防城港 538001；

2.廣西廣播電視大學(xué)防城港市分校，廣西 防城港 538001)

簡介基于洪泛法的分布式拒絕服務(wù)攻擊及其防范措施

吳曉春1張豐驛2

(1.防城港市環(huán)境監(jiān)測站，廣西 防城港 538001；

2.廣西廣播電視大學(xué)防城港市分校，廣西 防城港 538001)

分布式拒絕服務(wù)攻擊是利用網(wǎng)絡(luò)資源和被攻擊的目標(biāo)主機(jī)的處理能力不對稱的特點(diǎn)讓被攻擊主機(jī)由于一直處于超負(fù)荷運(yùn)行狀態(tài)而無法響應(yīng)新請求的一種攻擊手段。由于因特網(wǎng)的分布特性，哪怕在技術(shù)發(fā)展迅猛的今天，拒絕服務(wù)攻擊仍然是互聯(lián)網(wǎng)上需要解決的難題之一。文章回顧了基于洪泛法的分布式拒絕服務(wù)攻擊的類型并對每種類型的攻擊手段和特點(diǎn)進(jìn)行了詳細(xì)討論，最后總結(jié)了當(dāng)前針對拒絕服務(wù)攻擊的主流解決方法。

拒絕服務(wù)攻擊；Dos/Ddos；網(wǎng)絡(luò)攻擊

（一）引言

拒絕服務(wù)攻擊(DoS Attack)的出現(xiàn)源于讓目標(biāo)感染用戶無法正常使用網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)資源。盡管人們?yōu)榱朔婪端度肓司薮蟮娜肆ξ锪拓?cái)力，但仍然無法有效的解決這個棘手的問題，原因很簡單，因?yàn)橐蛱鼐W(wǎng)上的資源十分有限，不管是帶寬，服務(wù)器的處理能力，還是存儲空間大小等等，這些有限得資源都能被攻擊者利用。當(dāng)然，人們可以利用資源的有效合理分配算法來填補(bǔ)這些漏洞，“亡羊補(bǔ)牢”固然不晚，但是在技術(shù)飛躍發(fā)展的今天，這個漏洞卻越來越大，而這個漏洞的根本成因是因?yàn)橐蛱鼐W(wǎng)安全性是在網(wǎng)上的主機(jī)來說是高度相關(guān)聯(lián)的，也就是說，你的個人防火墻可以做得很完美，但這并不意味著你收到的攻擊的概率或者次數(shù)就會變少，因?yàn)槟闼艿降墓纛愋图肮魯?shù)目是取決于整個互聯(lián)網(wǎng)的安全性。

（二）分布式拒絕服務(wù)攻擊的類型

拒絕服務(wù)攻擊分為幾種情況，一種比較典型的就是利用系統(tǒng)漏洞對目標(biāo)主機(jī)進(jìn)行攻擊，這一類的攻擊利用操作系統(tǒng)或者軟件設(shè)計(jì)的缺陷，能夠引起目標(biāo)主機(jī)掉入到無意義的空運(yùn)算中甚至喪失對計(jì)算機(jī)的控制能力從而無法對用戶提供相應(yīng)服務(wù)。在早期的攻擊行為中，這一種行為比較常見，這個攻擊的解決方法就是打系統(tǒng)補(bǔ)丁，隨著人們逐漸認(rèn)識到計(jì)算機(jī)安全重要性，這一類攻擊變得越來越困難。

而分布式拒絕服務(wù)攻擊卻是利用網(wǎng)絡(luò)資源和目標(biāo)主機(jī)的處理能力不對稱的特點(diǎn)讓目標(biāo)主機(jī)由于一直處于超負(fù)荷運(yùn)行狀態(tài)而無法響應(yīng)新請求的一種攻擊手段，這種攻擊方法不依賴于具體的網(wǎng)絡(luò)協(xié)議或者特定的系統(tǒng)漏洞。

拒絕服務(wù)攻擊可以是有一個源主機(jī)(source)往一個目標(biāo)主機(jī)(destination)發(fā)送大量的攻擊包或者由多個源向同一個目標(biāo)主機(jī)同時發(fā)動攻擊這一種攻擊形式也成為直接攻擊（direct attack）。單個源攻擊單個主機(jī)的方式相對簡單，利用單個機(jī)器的處理能力帶寬等多方面優(yōu)勢向目標(biāo)主機(jī)發(fā)起攻擊，從而導(dǎo)致目標(biāo)主機(jī)忙于服務(wù)攻擊者而不能像其他人提供服務(wù)。正是由于其簡單性，這一類型的攻擊也比較容易防范，對于攻擊者來說投入的硬件成本也相對較高，目標(biāo)主機(jī)可以針對同一地址源來設(shè)置防火墻即可抵御。在多個源攻擊同一個目標(biāo)主機(jī)的方法中攻擊能力開始升級，同時也更加難以防范。在發(fā)動攻擊之前，由攻擊者策劃一系列僵尸機(jī)器直接往目標(biāo)主機(jī)發(fā)送大量的攻擊包，從而導(dǎo)致目標(biāo)主機(jī)忙于處理這些垃圾信息而癱瘓。在發(fā)動直接攻擊之前，攻擊者需要組織一個僵尸軍團(tuán)，也就是往多個第三方機(jī)器植入 agent后臺病毒，這樣在需要發(fā)動攻擊的時候能統(tǒng)一調(diào)度。這一類攻擊方法利用了互聯(lián)網(wǎng)的分布式特點(diǎn)，其內(nèi)在思想和現(xiàn)在流行的“云計(jì)算”思想不謀而合。它不依賴于單個機(jī)器的硬件能力，而是利用分布式原理，利用網(wǎng)絡(luò)上的其他機(jī)器的運(yùn)算能力讓目標(biāo)機(jī)器來服務(wù)。由于其分布式特征，目標(biāo)機(jī)器無法利用簡單的IP規(guī)則來判別該請求是否是攻擊，使得該類攻擊的成功性較之第一種攻擊更高。雖然如此，多對一的攻擊方式需要攻擊者往多個第三方機(jī)器植入后臺病毒，這種攻擊方式的門檻相對更高。

另一種攻擊手段可以稱之為映射攻擊（reflector attack），它和直接攻擊相似，只不過它不是直接往目標(biāo)主機(jī)發(fā)送攻擊包，而通過路由來實(shí)現(xiàn)大量攻擊包的傳送。我們知道，因特網(wǎng)之所以取得成功，是因?yàn)樗捎昧薎P體系結(jié)構(gòu)。IP地址隱藏了主機(jī)的實(shí)際地理位置。主機(jī)向服務(wù)器或者另一個對等體發(fā)送消息其實(shí)都要經(jīng)過路由器的轉(zhuǎn)換。路由器會根據(jù)消息中的IP頭來確定目標(biāo)主機(jī)所在的位置。如果該目標(biāo)不存在，路由器會向源主機(jī)發(fā)送目標(biāo)不可達(dá)等通知消息(ICMP)。

映射攻擊方法正是利用了網(wǎng)絡(luò)體系結(jié)構(gòu)特點(diǎn)來發(fā)起攻擊，它通過往路由器發(fā)送大量數(shù)據(jù)包，但是這些數(shù)據(jù)包所發(fā)往的目的地址都是一些垃圾地址，當(dāng)路由器發(fā)現(xiàn)無法投遞這些數(shù)據(jù)時就會往源主機(jī)發(fā)送通告消息，然而問題出現(xiàn)在這里，所有這些數(shù)據(jù)包的源地址都修改為目標(biāo)主機(jī)的地址，由于路由器無法識別該地址是被修改過的，所以會直接發(fā)送給攻擊者要攻擊的目標(biāo)主機(jī)，從而間接地發(fā)生了攻擊行為。當(dāng)整個攻擊網(wǎng)絡(luò)足夠大的時候，由于目標(biāo)主機(jī)需要接受成百上千的路由器返回的通告消息，盡管目標(biāo)主機(jī)沒有發(fā)送過這些消息，它收到路由器傳送過來的通告消息后會默認(rèn)選擇丟棄，然而這些通告消息會消耗目標(biāo)主機(jī)的帶寬資源，大量無用消息的傳送同樣會使目標(biāo)主機(jī)癱瘓。映射攻擊由于它利用了因特網(wǎng)的路由器，所以它較直接攻擊更為隱蔽也更加難以追蹤，同時防范它的措施更加困難。但是并不是說映射攻擊就是萬能的。由于這種方法需要用到路由器的轉(zhuǎn)發(fā)功能，為了產(chǎn)生足夠大的垃圾信息，攻擊者需要準(zhǔn)確計(jì)算路由器的轉(zhuǎn)發(fā)時間和效率才能耗費(fèi)完目標(biāo)主機(jī)的帶寬資源而使之癱瘓。然而因?yàn)橥ㄟ^路由器的信息非常龐大，攻擊者的攻擊信息并不一定能夠按照預(yù)定的時間到達(dá)目標(biāo)主機(jī)從而使攻擊失效。

（三）防御措施

為了防范分布式拒絕服務(wù)攻擊，人們提出了多種方法，一類方法是基于防火墻的方法，其中之一是在因特網(wǎng)主干網(wǎng)上面增設(shè)數(shù)據(jù)包過濾，由于主干網(wǎng)擁有 BGP信息，所以可以很容易分析通過主干網(wǎng)上面的數(shù)據(jù)的來源從而判斷出該信息是不是有效的。然而這種方法卻是以損耗主干網(wǎng)路由器的處理性能為前提的，如果數(shù)據(jù)量過大將損害主干網(wǎng)性能。另外一種方法相類似，不過它不是在主干網(wǎng)上設(shè)置，而是采用了幾個點(diǎn)做檢測，然而由于缺少 BGP信息，這種方法很有可能發(fā)生誤檢的事情。

另一類方法是從目標(biāo)主機(jī)角度出發(fā)，構(gòu)建更加強(qiáng)大的防火墻機(jī)制，包括利用數(shù)據(jù)挖掘技術(shù)和預(yù)測機(jī)制來判斷檢測拒絕服務(wù)攻擊。然而由于防范拒絕服務(wù)攻擊的實(shí)時性以及這些方法都需要耗費(fèi)一定的計(jì)算能力，雖然從某種角度來說解決了問題，但同樣也降低了主機(jī)的性能。這是系統(tǒng)設(shè)計(jì)者在設(shè)計(jì)時需要考慮的。

（四）結(jié)語

由于拒絕服務(wù)攻擊并不單單是個體行為，發(fā)生攻擊的同時會消耗整個互聯(lián)網(wǎng)的帶寬等資源，所以從長遠(yuǎn)來說，問題的根本解決方法是在全球的因特網(wǎng)上構(gòu)建一個安全架構(gòu)，在主干網(wǎng)的路由防火墻假設(shè)一道防火墻，同時利用IPv6的安全特性解決這些問題。

[1] Rocky K.C. Chang. Defending against Flooding-Based Distributed Denial-of-Service Attacks: A Tutorial. IEEE Communications Magazine, October 2002.

[2] Internet Denial-of-Service Considerations[M].The IETF Trust(2006).

[3] 高能,馮登國,向繼.一種基于數(shù)據(jù)挖掘的拒絕服務(wù)攻擊檢測技術(shù)[J].計(jì)算機(jī)學(xué)報,2006,29(6):944-950.

TP393

A

1008-1151(2011)05-0040-01

2011-02-22

吳曉春，男，防城港市環(huán)境監(jiān)測站助理工程師，研究方向?yàn)橹攸c(diǎn)污染源自動在線監(jiān)測設(shè)施管理與網(wǎng)絡(luò)維護(hù)。