【摘 要】隨著互聯(lián)網(wǎng)的普及應(yīng)用，各種各樣的黑客攻擊也應(yīng)運(yùn)而生，其中DDoS攻擊是近年來具有巨大影響的惡意攻擊方式，給各行各業(yè)帶來了不小的損失。本文通過簡要分析DDoS攻擊，結(jié)合自身的實(shí)踐操作，針對(duì)性地提出了一些有效的DDoS攻擊防范措施以減少攻擊造成的影響。

【關(guān)鍵詞】DDoS攻擊 體系結(jié)構(gòu) 攻擊方式 防范措施

一、前言

近些年來黑客活動(dòng)猖獗，大部分網(wǎng)絡(luò)都很容易受到各種類型的黑客攻擊。最近網(wǎng)絡(luò)爆出很多知名網(wǎng)站遭受攻擊，造成信息被竊取。起初我們網(wǎng)站的首頁被人更改，服務(wù)器運(yùn)行狀態(tài)不正常，無故重啟，帳號(hào)密碼被盜。經(jīng)過一系列安全策略設(shè)置后網(wǎng)絡(luò)運(yùn)行狀態(tài)恢復(fù)正常。但好景不長，網(wǎng)絡(luò)又陷入癱瘓，此時(shí)我們意識(shí)到有黑客開始對(duì)我們進(jìn)行有針對(duì)性的攻擊。打開防火墻的后臺(tái)監(jiān)控訪問量，發(fā)現(xiàn)訪問量異常的大，并堵塞了網(wǎng)站的正常流量帶寬。根據(jù)對(duì)網(wǎng)站受到攻擊的情況進(jìn)行分析，我們發(fā)現(xiàn)這種攻擊是采取分布式拒絕服務(wù)攻擊（即：DDoS攻擊）導(dǎo)致我們網(wǎng)站不能正常訪問。我們可以通過一套安全規(guī)范來最大限度的防止黑客攻擊的發(fā)生。

二、什么是DDoS

DDoS全名是Distributed Denial of Service，即分布式拒絕服務(wù)攻擊。它是將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊（DoS攻擊即為導(dǎo)致服務(wù)器拒絕服務(wù)的攻擊方式），用來堵塞被攻擊者上網(wǎng)帶寬或者消耗服務(wù)器資源的方法，令服務(wù)器拒絕響應(yīng)正常的服務(wù)請(qǐng)求，從而使網(wǎng)站無法正常訪問。

三、DDoS攻擊體系結(jié)構(gòu)

DDoS攻擊是難以防范的攻擊手段之一。我們?cè)趺礃觼矸婪禗DoS攻擊呢？我們首先要了解DDoS攻擊的三個(gè)階段，然后再了解如何將這種攻擊的危害降到最低。一個(gè)DDoS攻擊一般分為三個(gè)階段。第一階段是目標(biāo)確認(rèn)：黑客會(huì)在互聯(lián)網(wǎng)上鎖定一個(gè)網(wǎng)站的IP地址。黑客通過各種手段了解以下信息：被攻擊目標(biāo)主機(jī)數(shù)目、地址情況；目標(biāo)主機(jī)的配置、性能；目標(biāo)的帶寬。通過上述這三種信息來確定使用多少臺(tái)傀儡機(jī)才能達(dá)到攻擊效果。

第二個(gè)階段是準(zhǔn)備階段：在這個(gè)階段，黑客會(huì)入侵互聯(lián)網(wǎng)上大量的鏈路狀態(tài)好、性能優(yōu)秀但沒有良好防護(hù)系統(tǒng)的計(jì)算機(jī)。黑客可以通過掃描工具進(jìn)行漏洞掃描，并植入相應(yīng)的木馬程序，或?qū)δ承╉撁娌迦霅阂獯a。隨后將DDoS攻擊用的控制程序上載至一臺(tái)或幾臺(tái)控制傀儡主機(jī)上。將DDoS攻擊使用的發(fā)包程序植入大量的攻擊傀儡主機(jī)上。

第三個(gè)階段是實(shí)際攻擊階段：黑客會(huì)登錄到控制傀儡主機(jī)，利用控制傀儡主機(jī)上的DDoS攻擊控制程序向所有的攻擊傀儡主機(jī)發(fā)出命令。所有攻擊傀儡主機(jī)利用DDoS的發(fā)包程序，向目標(biāo)主機(jī)發(fā)送大量的數(shù)據(jù)包，直到目標(biāo)無法處理大量的數(shù)據(jù)或者頻寬被占滿為止。

四、分析DDoS的攻擊方式

我們通過分析防火墻的特定日志，發(fā)現(xiàn)很多發(fā)送訪問請(qǐng)求的來源地址全都是假地址，無法跟蹤攻擊來源。黑客通過這些傀儡計(jì)算機(jī)偽造發(fā)送攻擊數(shù)據(jù)包的IP地址，并且將攻擊目標(biāo)的IP地址插在數(shù)據(jù)包的原始地址處，這就是所謂的反射攻擊。我們通過安裝tcpview軟件發(fā)現(xiàn)很多訪問者是通過tcp訪問的半連接，服務(wù)器無法對(duì)這些半連接進(jìn)行處理，這種DDoS攻擊利用TCP和HTTP等協(xié)議定義的行為來不斷占用服務(wù)器資源，包括CPU、緩存、內(nèi)存、會(huì)話連接數(shù)等資源，以阻止服務(wù)器處理正常事務(wù)和請(qǐng)求。因此我們無法通過軟件防火墻阻止這種DDoS攻擊，但是知道了這種攻擊的原理，我們就可以通過其他的方式盡量減小這種攻擊所帶來的影響。

五、如何防止DDoS的攻擊

入侵過濾（Ingress filtering）是一種簡單而且所有網(wǎng)絡(luò)都應(yīng)該實(shí)施的安全策略。在網(wǎng)絡(luò)邊緣（比如每個(gè)與外網(wǎng)直接相連的路由器），應(yīng)該建立一個(gè)路由聲明，將所有數(shù)據(jù)來源IP標(biāo)記為本網(wǎng)地址的數(shù)據(jù)包丟棄。雖然這種方式并不能防止DDoS攻擊，但是卻可以預(yù)防DDoS反射攻擊。接下來通過運(yùn)營商讓合法服務(wù)請(qǐng)求及流量通過，可以將其中一些受攻擊情況較輕的路由器恢復(fù)正常，只保留承受攻擊最重的那個(gè)路由器來拒絕攻擊來源最大的網(wǎng)段。如果你的ISP和對(duì)方ISP很負(fù)責(zé)的協(xié)助阻擋攻擊數(shù)據(jù)包，你的網(wǎng)絡(luò)將很快恢復(fù)正常。

六、主要采取的措施

DDoS攻擊很狡猾，也很難預(yù)防，但是你可以通過以上方式及時(shí)減輕這種攻擊對(duì)網(wǎng)絡(luò)的影響。面對(duì)攻擊，你只需要快速地響應(yīng)和采取正確的方法，就可以及時(shí)發(fā)現(xiàn)攻擊數(shù)據(jù)流并將其阻擋?；谀壳暗募夹g(shù)，采用的主要措施有：關(guān)閉服務(wù)器不必要的服務(wù)和端口；通過DDoS軟件防火墻限制同時(shí)打開的SYN半連接數(shù)目；縮短SYN半連接的time out時(shí)間；正確設(shè)置防火墻，禁止對(duì)主機(jī)的非開放服務(wù)的訪問，限制特定IP地址的訪問，啟用防火墻的安全策略，嚴(yán)格限制對(duì)外開放的服務(wù)器的向外訪問，運(yùn)行端口映射，程序端口掃描程序，要認(rèn)真檢查特權(quán)端口和非特權(quán)端口，記錄流量變法的參數(shù)值；認(rèn)真檢查網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或是時(shí)間變更，說明這臺(tái)機(jī)器就有可能遭到了攻擊；限制在防火墻外的網(wǎng)絡(luò)文件共享，通過防火墻對(duì)特定的URL進(jìn)行防護(hù)；聯(lián)系運(yùn)營商將一些攻擊頻繁的客戶端進(jìn)行自動(dòng)屏蔽，增大帶寬的流量。

七、總結(jié)

遭受這次DDoS攻擊，讓我明白了網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程。它涉及技術(shù)、設(shè)備和管理等多方面的因素，安全解決方案的制定需要從整體上進(jìn)行把握。網(wǎng)絡(luò)安全解決方案是綜合各種計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)，將安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全掃描技術(shù)等綜合起來，形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護(hù)體系。因此，需要在工作中不斷的總結(jié)，提前做好防范的措施，確保整個(gè)網(wǎng)絡(luò)安全的運(yùn)行。

參考文獻(xiàn)：

[1] 喬書建. DDoS攻擊的原理與防范 [J]. 科教文匯（下旬刊）， 2007.5.