張靜靜　中國(guó)電信股份有限公司江西分公司高級(jí)技術(shù)經(jīng)理

產(chǎn)品與技術(shù)方案

如何在企業(yè)中應(yīng)對(duì)DDoS攻擊

張靜靜中國(guó)電信股份有限公司江西分公司高級(jí)技術(shù)經(jīng)理

隨著Internet互聯(lián)網(wǎng)絡(luò)帶寬的增加和多種DDoS工具的不斷發(fā)布，DDoS拒絕服務(wù)攻擊的實(shí)施越來(lái)越容易，DDoS攻擊隨處可見，業(yè)界為克服DDoS攻擊進(jìn)行了大量研究，提出了多種解決方案。

DDoS拒絕服務(wù) 網(wǎng)絡(luò)攻擊

1　DDoS攻擊的發(fā)展

隨著Internet互聯(lián)網(wǎng)絡(luò)帶寬的增加和多種DDoS工具的不斷發(fā)布，DDoS拒絕服務(wù)攻擊的實(shí)施越來(lái)越容易，DDoS攻擊事件正在呈上升趨勢(shì)。出于商業(yè)競(jìng)爭(zhēng)、打擊報(bào)復(fù)和網(wǎng)絡(luò)敲詐等多種因素，導(dǎo)致很多IDC托管機(jī)房、商業(yè)站點(diǎn)、游戲服務(wù)器、聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長(zhǎng)期以來(lái)一直被DDoS攻擊所困擾，隨之而來(lái)的是客戶投訴、同虛擬主機(jī)用戶受牽連、法律糾紛、商業(yè)損失等一系列問(wèn)題。因此，解決DDoS攻擊問(wèn)題成為網(wǎng)絡(luò)服務(wù)商必須要考慮的頭等大事。

分布式拒絕服務(wù)攻擊DDoS是搞信息安全的人都非常頭疼的問(wèn)題。本文系統(tǒng)分析了DDoS攻擊的原理和攻擊思路，從管理和技術(shù)兩個(gè)方面提出一些關(guān)于減少DDoS攻擊方法。

在探討DDoS之前首先要對(duì)DoS有所了解，DoS即DenialOfService，拒絕服務(wù)的縮寫。DoS是指故意的攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或直接通過(guò)野蠻手段殘忍地耗盡被攻擊對(duì)象的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)或資源訪問(wèn)，使目標(biāo)系統(tǒng)服務(wù)系統(tǒng)停止響應(yīng)甚至崩潰，而在此攻擊中并不包括侵入目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)設(shè)備。通常而言，DoS的網(wǎng)絡(luò)數(shù)據(jù)包是利用TCP/IP協(xié)議在Internet傳輸，這些數(shù)據(jù)包本身一般是無(wú)害的，但是如果數(shù)據(jù)包異常過(guò)多，就會(huì)造成網(wǎng)絡(luò)設(shè)備或者服務(wù)器過(guò)載，迅速消耗了系統(tǒng)資源，造成服務(wù)拒絕，這就是DoS攻擊的基本工作原理。

2　研究背景

DoS攻擊之所以難于防護(hù)，其關(guān)鍵之處就在于非法流量和合法流量相互混雜，防護(hù)過(guò)程中無(wú)法有效地檢測(cè)到DoS攻擊。加之許多DoS攻擊都采用了偽造源地址IP的技術(shù)，從而成功地躲避了基于統(tǒng)計(jì)模式工具的識(shí)別（見圖1）。

（1）從攻擊者和攻擊方式分析

●利用被攻擊目標(biāo)的漏洞，以比較技術(shù)化的方式讓被攻擊目標(biāo)不能提供服務(wù)。比如，將目標(biāo)服務(wù)器中的一個(gè)應(yīng)用系統(tǒng)服務(wù)進(jìn)程搞宕。

●以分布式的僵尸網(wǎng)絡(luò)為攻擊源，對(duì)于目標(biāo)系統(tǒng)發(fā)起沒(méi)有針對(duì)性的攻擊。比如，一個(gè)大范圍的分布式僵尸網(wǎng)發(fā)起一個(gè)Ping或者TCP半連接攻擊，造成目標(biāo)系統(tǒng)的系統(tǒng)資源耗盡。

●以分布式的僵尸網(wǎng)絡(luò)為攻擊源，實(shí)現(xiàn)用錄制、腳本等方式模擬出一個(gè)非常真實(shí)的訪問(wèn)過(guò)程，然后讓這個(gè)大規(guī)模僵尸網(wǎng)絡(luò)同時(shí)向目標(biāo)系統(tǒng)發(fā)起請(qǐng)求。

（2）站在被攻擊目標(biāo)之前進(jìn)行保護(hù)

如果針對(duì)這些拒絕服務(wù)攻擊，第一種方式已經(jīng)和一般性攻擊的防護(hù)方式相同的。一般來(lái)說(shuō)，用IDS、IPS 和UTM等安全設(shè)備是可以基本解決這第一種問(wèn)題的。是否有效，就是看你能不能識(shí)別出這種攻擊的特征，并且有針對(duì)性地阻斷和處理?，F(xiàn)在來(lái)說(shuō)，這類的拒絕服務(wù)攻擊已經(jīng)不是大家最最頭疼的問(wèn)題了。

對(duì)于第二種攻擊方式。已經(jīng)比第一種攻擊方式要難一些。但是，畢竟攻擊流還是有特征可以總結(jié)出來(lái)的。判斷至少有兩個(gè)：其一是有攻擊特征；其二是大量的數(shù)據(jù)流沒(méi)有業(yè)務(wù)意義。那么，經(jīng)過(guò)流量過(guò)濾和清洗就可以將這些惡意流分離出來(lái)。IPS系統(tǒng)或者IPS系統(tǒng)陣列，配合導(dǎo)流等機(jī)制可以在一定程度上解決這個(gè)問(wèn)題。

圖1　在被攻擊目標(biāo)之前進(jìn)行保護(hù)

但是，如果攻擊流沒(méi)有特征，而且還和目標(biāo)系統(tǒng)的業(yè)務(wù)有關(guān)聯(lián)，這個(gè)時(shí)候就難于將攻擊流和正常訪問(wèn)流量區(qū)別開。這個(gè)時(shí)候，系統(tǒng)拒絕服務(wù)完全是由于資源耗盡導(dǎo)致的，可能是主機(jī)資源耗盡，可能是帶寬資源耗盡。那么站在目標(biāo)系統(tǒng)主機(jī)之前進(jìn)行防護(hù)幾乎是不能產(chǎn)生效果的。那么怎么辦呢？

（3）擋在被攻擊目標(biāo)前面的區(qū)域性防護(hù)

面對(duì)大規(guī)模分布式拒絕服務(wù)攻擊，在目標(biāo)系統(tǒng)緊跟前難于有效地抵御攻擊，防御體系常常被性能壓力打垮。所以，要降低單點(diǎn)的性能壓力，就有必要將防御機(jī)制前移。那么我們可能就有必要將防護(hù)區(qū)域拓展到目標(biāo)系統(tǒng)更前面的縱深網(wǎng)絡(luò)中。

對(duì)于第二種形態(tài)的分布式拒絕服務(wù)攻擊，可以在前端的縱深網(wǎng)絡(luò)地區(qū)，增加檢測(cè)和過(guò)濾機(jī)制。只要能夠在之前了解攻擊流的部分特征，那么在前端的縱深區(qū)域較早地進(jìn)行清洗。當(dāng)然，這時(shí)解決攻擊問(wèn)題的難點(diǎn)就是如何能夠檢測(cè)清楚哪些是攻擊流。

（4）針對(duì)攻擊源的反制

對(duì)于第一種和第二種形態(tài)的拒絕服務(wù)攻擊，可以在采用有效的檢測(cè)機(jī)制支持下，在防御體系中加以一定程度的防范。但是，對(duì)于第三種攻擊，就基本上無(wú)法在防御方有所作為了。

現(xiàn)在的方式僅僅防御地區(qū)前移已經(jīng)無(wú)效了。那么，唯一的方式就是既前移防御區(qū)域，也要前移應(yīng)對(duì)時(shí)間。也就是在攻擊尚未發(fā)生的時(shí)候，就對(duì)于攻擊主體的僵尸網(wǎng)絡(luò)和僵尸網(wǎng)絡(luò)后面的幕后操縱者進(jìn)行檢測(cè)并處理。從原理上說(shuō)，如果有足夠的檢測(cè)覆蓋度，發(fā)現(xiàn)在覆蓋范圍內(nèi)的僵尸網(wǎng)絡(luò)并不是技術(shù)上的難點(diǎn)。也就是說(shuō)，如果一個(gè)負(fù)責(zé)任的網(wǎng)絡(luò)，是比較容易做到自己不成為僵尸網(wǎng)絡(luò)的。所以，這個(gè)問(wèn)題主要就變成了一個(gè)公共安全機(jī)制和法律依據(jù)問(wèn)題了。

（5）通過(guò)調(diào)整被攻擊目標(biāo)的服務(wù)模式來(lái)規(guī)避

分布式拒絕服務(wù)攻擊的原理，就是因?yàn)楣粽哒莆罩粋€(gè)非常大的僵尸網(wǎng)絡(luò)資源。這個(gè)僵尸網(wǎng)絡(luò)的資源規(guī)模與被攻擊目標(biāo)的服務(wù)能力不能匹配。也就是由于出現(xiàn)N對(duì)“1”的關(guān)系，使得在“1”的位置會(huì)非常被動(dòng)。那么，也許我們可以將這個(gè)1拆分開，這樣可以分解整個(gè)目標(biāo)服務(wù)體系的壓力。例如，CDN內(nèi)容分布式網(wǎng)絡(luò)（ContentDistributedNetwork），用分布式的服務(wù)來(lái)對(duì)抗分布式拒絕服務(wù)。

3　應(yīng)對(duì)DDoS攻擊的技術(shù)實(shí)踐

到目前為止，進(jìn)行DDoS攻擊的防御還是比較困難的，主要是由于這種攻擊的特點(diǎn)是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻擊。不過(guò)這不等于就沒(méi)有辦法阻擋DDoS攻擊，可以從管理和技術(shù)兩個(gè)方面減少DDoS的攻擊。

對(duì)于普通用戶，要加強(qiáng)每個(gè)網(wǎng)絡(luò)用戶的安全意識(shí)，安裝殺毒軟件，并保持病毒庫(kù)及時(shí)更新，安裝軟件或者硬件防火墻，不從不名網(wǎng)站下載軟件，不訪問(wèn)一些不名網(wǎng)站，不打開不名郵件，盡量避免黑客入侵種值木馬最終成為“肉雞”。

對(duì)于國(guó)家層面，需要國(guó)家立法單位，對(duì)網(wǎng)絡(luò)犯罪進(jìn)行立法，對(duì)傳播病毒，木馬，和進(jìn)行黑客攻擊的行為進(jìn)行定性，并有法可依，保障國(guó)家信息高速網(wǎng)絡(luò)平臺(tái)的安全，為國(guó)內(nèi)信息化建設(shè)保駕護(hù)航。對(duì)我們的一些網(wǎng)絡(luò)運(yùn)營(yíng)平臺(tái)用戶，如經(jīng)營(yíng)性網(wǎng)站、門戶網(wǎng)站、網(wǎng)上交易平臺(tái)、網(wǎng)絡(luò)游戲提供商、網(wǎng)吧、VoIP提供商等，也要加強(qiáng)網(wǎng)絡(luò)出口的防護(hù)，發(fā)現(xiàn)和舉證攻擊行為，做好日志記錄，并利用硬件防護(hù)設(shè)備，最大程度地減少黑客攻擊的危害，保障經(jīng)營(yíng)性平臺(tái)的正常運(yùn)行。

在技術(shù)的手段上，還應(yīng)加強(qiáng)以下幾點(diǎn)：

（1）確保服務(wù)器的系統(tǒng)文件是最新的版本，并及時(shí)更新系統(tǒng)補(bǔ)丁。

（2）關(guān)閉不必要的服務(wù)。

（3）限制同時(shí)打開的SYN半連接數(shù)目。

（4）縮短SYN半連接的TimeOut時(shí)間。

（5）正確設(shè)置防火墻。

禁止對(duì)主機(jī)的非開放服務(wù)的訪問(wèn)，限制特定IP地址的訪問(wèn)，啟用防火墻的防DDoS的屬性，或者使用專用的抗DDoS設(shè)備。嚴(yán)格限制對(duì)外開放的服務(wù)器的向外訪問(wèn)，運(yùn)行端口映射程序禍端口掃描程序，要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。

（6）認(rèn)真檢查網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或是時(shí)間變更，那這臺(tái)機(jī)器就可能遭到了攻擊。

（7）限制在防火墻外與網(wǎng)絡(luò)文件共享。這樣會(huì)給黑客截取系統(tǒng)文件的機(jī)會(huì)，主機(jī)的信息暴露給黑客，無(wú)疑是給了對(duì)方入侵的機(jī)會(huì)。

（8）路由器，以Cisco路由器為例，Cisco Express Forwarding（CEF），使用UnicastReverse-path，訪問(wèn)控制列表（ACL）過(guò)濾，設(shè)置SYN數(shù)據(jù)包流量速率，升級(jí)版本過(guò)低的ISO，為路由器建立logServer。我們的運(yùn)營(yíng)商有義務(wù)在網(wǎng)絡(luò)平臺(tái)升級(jí)和建設(shè)的過(guò)程中，有效在各個(gè)節(jié)點(diǎn)抵御黑客惡意攻擊的行為，以凈化我們的網(wǎng)絡(luò)。不光僅僅是只加強(qiáng)可以看到效益的終端平臺(tái)，如IDC機(jī)房的抗DDoS防護(hù)，而是應(yīng)該在網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)都加強(qiáng)防護(hù)，在接入端進(jìn)行DDoS防護(hù)和源地址檢測(cè)，使得黑客的主機(jī)或者占領(lǐng)的“肉雞”，無(wú)法拉起大量帶寬，有效記錄各種用戶（特別是網(wǎng)吧用戶）的網(wǎng)絡(luò)行為，建立電子檔案，以協(xié)助公安部門對(duì)網(wǎng)絡(luò)犯罪進(jìn)行調(diào)查，為指證犯罪提供證據(jù)。

4　結(jié)束語(yǔ)

對(duì)DDoS的原理與應(yīng)付方法的研究一直在進(jìn)行中，找到一個(gè)既有效又切實(shí)可行的方案不是一朝一夕的事情，因此此時(shí)需要我們公安、運(yùn)營(yíng)商、網(wǎng)絡(luò)安全廠商、網(wǎng)絡(luò)的用戶，在意識(shí)到網(wǎng)絡(luò)攻擊問(wèn)題的嚴(yán)重性前提下，多方配合，共同加強(qiáng)網(wǎng)絡(luò)平臺(tái)安全性的建設(shè)性，凈化我們的網(wǎng)絡(luò)，不給黑客以生存的攻擊，保障我們十幾年來(lái)信息網(wǎng)絡(luò)平臺(tái)建設(shè)的成果，為我國(guó)的經(jīng)濟(jì)建設(shè)提供堅(jiān)固安全的網(wǎng)絡(luò)信息化平臺(tái)。減少企業(yè)因?yàn)樾畔⑿孤抖鴮?dǎo)致的損失。

1 鮑旭華，洪海，曹志華.破壞之王:DDoS攻擊與防范深度剖析.機(jī)械工業(yè)出版社

2 魏興國(guó).云盾防DDoS文獻(xiàn)之?dāng)城槠狣DoS攻擊原理

3 防DDoS文獻(xiàn)之?dāng)城槠?DDoS攻擊原理

4 防DDoS文獻(xiàn)之應(yīng)對(duì)篇.DDoS防御方案

5 淺談DDoS攻擊與防御

Howto Deal withDDoSAttack in the Enterprise

With the Internet bandwidth increase and a variety of DDoS tools are continuously being released， DDoS attack is implemented more and more easily， DDoS attack prevails everywhere， in order to overcome DDoS attack， the industry carrys out a largenumberof research， and put forward a variety of solutions.

DDoS，denialofservice，networkattack