周蘭香ZHOU Lan-xiang

（廣東省城市建設(shè)高級技工學(xué)校，廣州510650）

1 分布式拒絕服務(wù)（DDoS）

DoS是指攻擊者想辦法讓目標(biāo)機器停止提供服務(wù)或資源訪問。這些資源包括磁盤空間、內(nèi)存、進程甚至網(wǎng)絡(luò)寬帶，從而阻止正常用戶的訪問。對網(wǎng)絡(luò)帶寬進行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠?qū)δ繕?biāo)造成麻煩，使某些服務(wù)被暫停甚至主機死機，都屬于拒絕服務(wù)攻擊。在各種DoS攻擊中，分布式拒絕服務(wù)（DDoS）攻擊策略側(cè)重于通過很多“僵尸主機”向受害主機發(fā)送大量看似合法的網(wǎng)絡(luò)包。DDoS的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被耗盡，正常的網(wǎng)絡(luò)包無法到達主機；另一種為資源耗盡攻擊，主要是針對服務(wù)器主機的攻擊，即通過大量攻擊包導(dǎo)致主機的內(nèi)存、CPU或某個緩沖區(qū)耗盡而無法提供正常的服務(wù)。

2 DDoS攻擊查找

目前主要的DDoS追蹤技術(shù)有Packet Marking、ICMP追蹤、Logging。這些跟蹤技術(shù)一般都需要路由器的支持，實際中也需要ISP的協(xié)助。

Packet Marking基本思想是路由器在IP包中的Identification域加入額外信息以幫助確定包的來源或路徑。如果對每個包都做處理沒有必要，因此大多數(shù)Packet Marking方法都是以一個較低的概率在IP包中加入標(biāo)記信息。Packet Marking方法需要解決的主要問題是：由于IP包的Identification域只有16比特，因此加入的信息量很受限制，如果要追蹤源地址或者路徑就要精心構(gòu)造加入的信息，這涉及到路由器如何更新已有的標(biāo)記信息，如何降低標(biāo)記信息被偽造的可能，如何應(yīng)對網(wǎng)絡(luò)中存在不支持Packet Marking的路由器的情況。

ICMP追蹤主要依靠路由器自身產(chǎn)生的ICMP跟蹤消息。每個路由器都以很低的概率，將數(shù)據(jù)包的內(nèi)容復(fù)制到一個ICMP消息包中，并且包含了到臨近源地址的路由器信息。當(dāng)DDoS攻擊開始的時候，受害主機就可以利用這些ICMP消息來重新構(gòu)造攻擊者的路徑。這種方法的缺點是ICMP可能被從普通流量中過濾掉，并且，ICMP追蹤消息依賴于路由器的相關(guān)功能，但是，可能一些路由器就沒有這樣的功能。同時ICMP Tracking必須考慮攻擊者可能發(fā)送的偽造ICMP Traceback消息。

Logging通過在主路由器上記錄數(shù)據(jù)包，然后通過數(shù)據(jù)采集技術(shù)來決定這些數(shù)據(jù)包的穿越路徑。雖然這種辦法可以用于對攻擊后的數(shù)據(jù)進行追蹤，但也有很明顯的缺點，如要求記錄和處理大量的信息。

圖1 DDoS攻擊過程

3 分布式拒絕服務(wù)攻擊的防范方法

3.1 優(yōu)化網(wǎng)絡(luò)和路由結(jié)構(gòu) 在理想情況下，提供的服務(wù)不僅要有多條鏈路與Internet的連接，而且最好有不同地理區(qū)域的連接。這樣服務(wù)器IP地址越分散，攻擊者定位目標(biāo)的難度就越大，當(dāng)問題發(fā)生時，所有的通信都可以被重新路由，可以大大降低其影響。

3.2 使用防火墻保護內(nèi)部網(wǎng)絡(luò)及主機 從現(xiàn)在和未來看，防火墻都是抵御DoS/DDoS攻擊的重要組成部分，這是由防火墻在網(wǎng)絡(luò)拓撲的位置和扮演的角色決定的。下面以港灣的SmartHammer防火墻為例，說明如何通過配置資源控制保護內(nèi)部網(wǎng)絡(luò)或特定主機免受DoS/DDoS攻擊。

3.2.1 資源控制的配置

ip inspect max 500000

ip inspect max 500000 tcp

ip inspect max 500000 udp

ip inspect maxincomplete high 20000 tcp

ip inspect maxincomplete low 10000 tcp

ip inspect one-minute high 20000 tcp

ip inspect one-minute low 10000 tcp

ip inspect idletime 3600 tcp

當(dāng)TCP半連接達到最高水位線時，防火墻開始清除超過的半連接，一直清到最低水位線為止。

3.2.2 限制主機的最大連接數(shù)

access-list 40 permit 192.168.0.0 255.255.0.0

ip inspect max flow 50 src list 40

3.2.3 適應(yīng)特殊主機的需求 網(wǎng)絡(luò)內(nèi)部可能會存在一些特殊連接需求的主機，如內(nèi)部的DNS服務(wù)器或一些部門的代理服務(wù)器等，對于這些主機它們的連接請求數(shù)會超過一般主機，所以需要對這些特殊的主機執(zhí)行特殊的流限制。

access-list 11 permit host 10.1.0.4

access-list 12 permit host 10.1.1.1

access-list 13 permit 10.0.0.0 255.0.0.0

ip inspect max flow 1000 src list 11

ip inspect max flow 1000 src list 12

ip inspect max flow 50 src list 13

3.2.4 對服務(wù)器資源的保護

access-list 2001 permit tcp any 10.1.0.4 eq 21

access-list 2001 permit tcp any 10.1.0.5 eq http

ip inspect max flow 500 dst list 2001

ip inspect max flow 1000 dst-dport list 2001

3.3 安裝入侵檢測系統(tǒng) 入侵檢測是防火墻的合理補充，它通過收集計算機系統(tǒng)、計算機網(wǎng)絡(luò)介質(zhì)上的各種有用信息幫助系統(tǒng)管理員發(fā)現(xiàn)攻擊并進行響應(yīng)，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。入侵檢測系統(tǒng)分三類：

3.3.1 基于主機的IDS通常安裝在被重點檢測的主機之上，主要是對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志新型智能分析和判斷。

3.3.2 基于網(wǎng)絡(luò)的IDS檢測端一般被布置在網(wǎng)絡(luò)的核心交換機，或部門交換的交換機的鏡像端口。在網(wǎng)絡(luò)管理員的機器上，安裝上入侵檢測系統(tǒng)的控制臺，通過接收、分析檢測端傳來的日志來做報警處理。

3.3.3 基于分布式的IDS該系統(tǒng)綜合了前兩個系統(tǒng)的優(yōu)點，既通過基于網(wǎng)絡(luò)的檢測端收集網(wǎng)絡(luò)上流動的數(shù)據(jù)包，又通過在重要的服務(wù)器端安裝代理程序收集系統(tǒng)日志等系統(tǒng)信息，來尋找具有攻擊特性的數(shù)據(jù)包，對惡意攻擊傾向進行報警，是目前較為先進的綜合IDS技術(shù)。

3.4 與ISP服務(wù)商合作 DDoS攻擊非常重要的一個特點是洪水般的網(wǎng)絡(luò)流量，耗用了大量帶寬，單憑自己管理網(wǎng)絡(luò)，是無法對付這些攻擊的。當(dāng)受到攻擊時，與ISP協(xié)商，確定發(fā)起攻擊的IP地址，請求ISP實施正確的路由訪問控制策略，封鎖來自敵意IP地址的數(shù)據(jù)包，減輕網(wǎng)絡(luò)負擔(dān)，防止網(wǎng)絡(luò)擁塞，保護帶寬和內(nèi)部網(wǎng)絡(luò)。

局域網(wǎng)中的“黑”與“防”永遠是對立的，總是此消彼長，它們的斗爭永遠不會結(jié)束。作為網(wǎng)絡(luò)管理員如何才能掌握斗爭的主動權(quán)呢？網(wǎng)絡(luò)系統(tǒng)管理員要綜合考慮設(shè)計安全的體系結(jié)構(gòu)來支撐網(wǎng)絡(luò)安全，選擇好的網(wǎng)絡(luò)安全產(chǎn)品，以提高網(wǎng)絡(luò)系統(tǒng)管理員的工作效率和對網(wǎng)絡(luò)的控制強度。

[1]施游，張友生.網(wǎng)絡(luò)規(guī)劃設(shè)計師考試全程指導(dǎo)[M].北京：清華大學(xué)出版社，2010：379.

[2]黃傳河.網(wǎng)絡(luò)規(guī)劃設(shè)計師教程[M].北京：清華大學(xué)出版社，2009：603-613.

[3]季福坤.計算機網(wǎng)絡(luò)基礎(chǔ)[M].北京:人民郵電出版社,2013:252.