【摘要】近年來，互聯(lián)網技術得到空前的發(fā)展，突出表現(xiàn)在網絡已經開始影響我們生活的方方面面。它不僅僅可以讓我們了解發(fā)生在世界各個角落的事，而且還廣泛地應用于企業(yè)，事業(yè)以及政府機關，有利地促進了各項事業(yè)的發(fā)展。然而，越來越多的互聯(lián)網受到攻擊，已經在危害到了企業(yè)的發(fā)展，一些黑客采用各種手段獲得企業(yè)的商業(yè)機密，使互聯(lián)網的安全性受到了質疑。這其中，Ddos指的是一種網站的入侵方式，一些客戶借助于這樣的程序侵入網站，從而達到破壞網站的目的。

【關鍵詞】木馬;網絡安全;攻擊技術;防范策略

1.引言

“Ddos”是分布式拒絕服務攻擊的英文縮寫，它主要是指以分散攻擊源來來入侵網站的方式。DdoS有多種攻擊方式，其主要是依賴于合理的服務請求來獲得更多的服務資源，從而使合法用戶得到相應的服務響應。DdoS進行攻擊主要指的是在以往的DoS攻擊基礎之的一種新的攻擊方式。單一的DoS主要是采用一對一的攻擊方式，由于其攻擊目標的CPU速度低、內存小或者網絡帶寬小等各項指標，所以它有非常明顯的效果。在計算機得到全面發(fā)展的情況下，計算機有較好的處理能力，同時還出現(xiàn)了快速的網絡，這極大地增加了Dos的攻擊難度。從這時開始，分布式的拒絕服務攻擊手段（DDoS）就開始出現(xiàn)了。DDoS利用了更多的傀儡機（肉雞）來發(fā)起進攻，這相對于以往的攻擊手段來說，規(guī)模更大。

2.DDoS攻擊介紹

2.1 DDoS攻擊概念

DDoS是一種以DoS為基礎的特殊形式的拒絕服務攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，它的主要攻擊目標是其中比較大的站點，比如說商業(yè)公司，搜索引擎和政府部門的站點。要利用DoS進行攻擊，我們只要一臺單機和一個modem就可以實現(xiàn)，而與它不同的是DDoS攻擊是借助于好幾臺甚至幾十臺機器來攻擊一臺機器，這樣一來往往使受到攻擊的機器來不及躲避，所以有極大的破壞性。高速廣泛連接的網絡不僅帶給了用戶極大的便利，也為DDoS攻擊提供了良好的工作條件。在網絡發(fā)展的早期，由于網速緩慢，黑客占領攻擊用的傀儡機時，總是要選用那些目標距離相對比較近的機器，主要原因就在于經過其路由器的跳數(shù)不多，可以取得一定的攻擊效果。而如今的電信骨干節(jié)點之間的連接都變成了以G為級別，對于一些城市而言，更是可以達到2.5G的網速，這使得攻擊開始不受距離的約束，攻擊者的傀儡機可以分布在離現(xiàn)在更遠的距離的機器上，所以在選擇對象上更加靈活了，而且還具有一定的危害性，為此我們接下來要了解一下這類攻擊的主要工作原理。

2.2 攻擊運行原理

圖1 分布式拒絕服務攻擊體系結構

圖1是一個分布式的拒絕服務體系結構，其主要是由四部分組成。比較重要的是其中的第2，3二部分：它們可以用來進行控制和發(fā)起實際的進攻。在這里，要注意一下控制機和攻擊機的區(qū)別，對第4部分的受害者而言，DDoS的實際攻擊包基本上都是從第3部分的攻擊傀儡機上發(fā)出的，第2部分只是負責發(fā)出一些攻擊命令，但實際上并不參與攻擊。對第2和第3部分的計算機，黑客有完全或者是部分的控制權力，同時還會把得到的DDoS程序傳送到這些平臺上，這些程序將會同正常程序一同等待來自于黑客的命令，而且往往還會采用各種手段來防止其被發(fā)現(xiàn)。在日常工作中，這些傀儡機器也不會有什么不同尋常之處，只是如果黑客與這些機器連接，并開始發(fā)出攻擊命令時，攻擊傀儡機就開始執(zhí)行相應的程序，開始破壞其他的機器了。也許有人要認為黑客要直接去攻擊傀儡機，而不是從控制傀儡機上轉一下。這也就是為什么DDos攻擊難以被發(fā)現(xiàn)的重大原因之一。做為攻擊者而言，他們當然不希望自己被人發(fā)現(xiàn)，而且攻擊者使用的傀儡機越多，他留下的線索就會越多。所以在進行攻擊時，高水平的攻擊者往往會考慮二個問題，其一是如何留好退路，其二是進行痕跡清理，也就是擦掉腳印，使自己所從事的操作難以讓人發(fā)現(xiàn)。

3.DDoS的防范

到現(xiàn)在為止，對DDoS攻擊進行防御還有相當大的難題。這主要是因為：其一，這種攻擊的特點就是它完全地利用了TCP/IP協(xié)議的漏洞，除非大多數(shù)用戶不利用TCP/IP，才可能會抵擋DDoS攻擊。為此，有一位業(yè)內的安全專家打了一個比喻：DDoS就好象有1，000個人都在給你家里打進電話，而這時你的朋友能再打進來嗎？在受到了DDoS攻擊后，一些用戶采用的是丟棄數(shù)據(jù)包的過濾手段。也就是更改數(shù)據(jù)流的傳送方向，把其丟棄在數(shù)據(jù)“黑洞”中，從而達到阻止所有的數(shù)據(jù)流的目的。然而，采用這樣的做法最大的缺點就在于所有的數(shù)據(jù)流無論是合法的還是非法的都要被丟棄，而且還要終止業(yè)務。數(shù)據(jù)包過濾和速率限制等措施都可以把所有的應用都關掉，從而拒絕為合法的用戶提供相應的接口。這樣做很明顯達到了黑客的要求。既然“因噎廢食”不可取，那么路由器、防火墻和入侵檢測系統(tǒng)（IDS）的功效又怎樣呢？根據(jù)應用情況來看，通過配置路由器過濾不必要的協(xié)議可以對簡單的ping攻擊以及無效的IP地址形成阻礙，然而如果要阻礙更復雜的嗅探攻擊和使用有效IP地址發(fā)起的應用級攻擊則顯得力不從心。而防火墻可以起到阻擋相關的數(shù)據(jù)流的目的，不過與路由器一樣，防火墻往往也沒有反嗅探功能，所以防范手段仍然不可行。目前常見的IDS可以檢測異常狀況，但它難以自動配置，而是要高技術的專家進行手工調整才有效，所以難以對新出現(xiàn)的攻擊做出快速的反應。

3.1 全局安全：充分遏制DDoS

如果我們深入地研究各種防范措施，并對DDoS攻擊出現(xiàn)失效的原因進行分析，就不難發(fā)現(xiàn)變幻莫測的攻擊來源和層出不窮的攻擊手段是主要的問題所在。為了使這一問題得到徹底地解決，當前世界級的安全技術廠商已經開始達成了共識：那就是在網絡中配備整體聯(lián)動的安全體系，主要是利用軟件與硬件的相互結合，深入網絡的相關安全防范措施，以強化對網絡的安全管理。我們可以以全局安全網絡的解決方案為例，它在解決DDoS問題上是有一定的局限性的。

首先，對所有訪問網絡的行為都要進行注冊，如果未經過注冊的網絡行為，則無法訪問網絡。利用了安全策略平臺，管理員可以全面了解整個網絡的運行情況，從而全面控制網絡中出現(xiàn)的安全行為。在具體地對DDoS的攻擊進行防范的過程中，每一個網絡的訪問行為都要進行合法性的檢測，一旦由于這種原因出現(xiàn)了安全威脅，系統(tǒng)將會主動地利用其中的安全策略，并直接地對其進行阻止訪問、限制該終端訪問網絡區(qū)域和限制該終端享用網絡帶寬速率的方式，將DDoS攻擊發(fā)生的可能性和概率降到最低。在控制終端用戶的安全問題上，能評估所有進入網絡的用戶系統(tǒng)的安全性，從而減少網絡內終端用戶成為DDoS攻擊來源的威脅。從當用戶終端接入網絡時，安全客戶端將會對客戶的終端狀態(tài)進行檢測。一旦檢測發(fā)現(xiàn)用戶系統(tǒng)中存在一定的漏洞時，用戶會就會從正常的網絡中隔離開，并自動置于系統(tǒng)修復區(qū)域內，同時加以修復，直到完成系統(tǒng)規(guī)定的相關策略，才可以進入到正常的網絡環(huán)境中。如此一來，不僅可以使網絡內部各個終端產生安全隱患的威脅的可能性減少，也可以使網絡內的各個終端用戶的訪問行為得以控制。通過在接入網絡時要做好“健康檢查”工作，DDoS再也不可以潛藏于網絡中，并利用網絡內的終端設備進行攻擊。就用戶而言，開展正常的業(yè)務是根本的利益所在。隨著人們越來越依賴于internet網，DDoS攻擊的危害性也越來越大了。

3.2 網絡設備上的設置

對于企業(yè)網的網絡設備，我們可以從防火墻與路由器上加以考慮。這兩個設備是到外界的接口設備，在進行防DDoS的過程中，要注意這要付出多大的代價，以及是否值得這么做。

ISP/ICP為不少的中小企業(yè)提供了各種規(guī)模的主機托管業(yè)務，所以在防DDoS時，除了和企業(yè)管理員采用同樣的手段以外，還要關注自己范圍內的客戶托管主機不要成為傀儡機。從客觀上來看，這些托管主機的安全性都是比較差的，有的連基本的補丁都沒有裝上就進行工作，成為黑客最喜歡攻擊的對象，主要就在于這臺機器不管如何控制，都無法被其他人發(fā)現(xiàn)，它的安全管理明顯偏弱;還不必說托管的主機都是高性能、高帶寬的-簡直就是為DDoS定制的。而如果是ISP的管理員，對其中的托管主機不存在直接的管理權力，所以往往必須要由客戶來處理。在日常工作中，有很多客戶與自己的托管主機服務商沒有進行很好的配合，造成ISP管理員明知自己負責的一臺托管主機成為了傀儡機，卻無法改變這一格局的情況。而托管業(yè)務又是買方市場，ISP往往不敢去得罪客戶。骨干網絡運營商防范他們提供了互聯(lián)網存在的物理基礎。如果骨干網絡運營商可以進行真誠合作，DDoS攻擊就可以有效地阻止。在2000年yahoo等知名網站受到了攻擊以后，美國的網絡安全研究機構就開始考慮采用骨干運營商聯(lián)手來應對DDoS攻擊的方案。其實這一方法的思路比較簡單，就是每家運營商在自己的出口路由器上進行源IP地址的驗證，若在自己的路由表中沒有到這個數(shù)據(jù)包源IP的路由，就可以不管這個包。根據(jù)這樣的方法，可以阻止黑客利用偽造的源IP來進行DDoS攻擊。然而這樣做的最大缺點就在于會降低路由器的效率，這也是骨干運營商非常關注的重大問題，所以要在現(xiàn)實中使用這一思路還是有問題。

4.結束語

總的來說，要應對DDoS盡管有不少的措施可以使用，但是要找到一個既有效又切實可行的具體措施不可能在短時間內完成。然而，我們當前至少要維護好自己的網絡與主機，而且保證自己的主機不成為他人攻擊的對象或者是用來攻擊另一主機的工具;其次，在自己的主機受到了攻擊時，一定要保持頭腦清醒，還要保留必要的證據(jù)，以促進后面的工作的開展。一個良好的網絡和日志系統(tǒng)是十分有必要建立的，無論DDoS的防御的未來發(fā)展道路如何，這都會是一項比較復雜的系統(tǒng)工程，需要IT界的許多友人關注。

參考文獻

[1]范斌.一種基于數(shù)據(jù)融合的DDoS入侵檢測系統(tǒng)的設計與分析[J].科技信息（學術研究），2007（28）.

[2]范斌，胡志剛，張健.一種基于數(shù)據(jù)融合的DDoS入侵檢測系統(tǒng)的設計[J].科技信息（學術研究），2007（32）.

[3]張乾，桑軍.Linux環(huán)境下基于正則表達式的DDoS防御研究[J].軟件導刊，2010（02）.

[4]石景山.利用路由器防御DoS攻擊[J].福建電腦，2010 （10）.

作者簡介：胡勃，男，現(xiàn)供職于中石油烏魯木齊分公司，研究方向：網絡安全。