◆楊京

（陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心 陜西 710065）

1 引言

最早的Web 系統(tǒng)程序只是單純?yōu)榱藨?yīng)用，只需運(yùn)行程序的這臺(tái)計(jì)算機(jī)安全，那么整個(gè)應(yīng)用程序也是安全的?，F(xiàn)在Web 應(yīng)用程序都運(yùn)行在不同的服務(wù)器，如客戶端服務(wù)器、審計(jì)服務(wù)器、Web 應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器和日志服務(wù)器等。并且由于他們能夠讓任何登錄互聯(lián)網(wǎng)的人訪問，所以這些Web 應(yīng)用程序就成為大量黑客攻擊的目標(biāo)。DDoS 攻擊主要是針對(duì)Web 系統(tǒng)本身存在的設(shè)計(jì)缺點(diǎn)、系統(tǒng)安全漏洞以及系統(tǒng)資源的有限性來進(jìn)行。因?yàn)镈DoS 攻擊工具是在開源的條件下進(jìn)行開發(fā)與改良的，所以其利用起來也更加容易，門檻也比較低。目前針對(duì)DDoS 攻擊的防護(hù)方法也有很多，下面將一一進(jìn)行介紹。

2 何為DDoS 攻擊

舉一個(gè)簡單的例子。我開了一家大門面的火鍋店，生意火爆，但街道對(duì)面的火鍋店卻生意蕭條。為了對(duì)付我，他們找了很多人進(jìn)店搗亂卻不就餐，這樣就使得其他人沒法進(jìn)店就餐。這就是非常經(jīng)典的DDoS 攻擊，全稱是分布式拒絕服務(wù)攻擊。一般來說是指攻擊者借助公共網(wǎng)絡(luò)將大批的計(jì)算機(jī)設(shè)備整合起來，對(duì)目標(biāo)系統(tǒng)在較短的時(shí)間內(nèi)發(fā)起大量請(qǐng)求，使目標(biāo)系統(tǒng)疲于應(yīng)對(duì)大量請(qǐng)求，而無法對(duì)證長請(qǐng)求進(jìn)行處理，致使Web 系統(tǒng)無法正常服務(wù)。網(wǎng)絡(luò)游戲行業(yè)、電力行業(yè)、金融行業(yè)等都是受DDoS 攻擊的高發(fā)行業(yè)。

3 DDoS 攻擊分類

DDoS 攻擊可以分為兩種。其一是流量攻擊，主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊，攻擊者發(fā)送大量需要回復(fù)的信息，也就是攻擊數(shù)據(jù)，消耗網(wǎng)絡(luò)帶寬，合法請(qǐng)求數(shù)據(jù)被這些攻擊數(shù)據(jù)淹沒而無法抵達(dá)Web 系統(tǒng)，最終導(dǎo)致服務(wù)癱瘓；其二是資源耗盡攻擊，攻擊者利用Web 系統(tǒng)自身的漏洞或者所使用的協(xié)議上的缺陷，快速不停地發(fā)出需要連接的服務(wù)請(qǐng)求，消耗系統(tǒng)資源，使系統(tǒng)的內(nèi)存被耗盡，導(dǎo)致系統(tǒng)癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。下面介紹幾個(gè)主要的DDoS 攻擊方式。

（1）SYN 變種攻擊

攻擊者會(huì)發(fā)送大量的TCP 包，來造成服務(wù)器TCP 連接數(shù)達(dá)到服務(wù)器的最大限制，從而不能為新的用戶訪問請(qǐng)求建立新的TCP 連接，占用系統(tǒng)資源，從而使系統(tǒng)無法正常提供服務(wù)。

（2）TCP 混亂數(shù)據(jù)包攻擊

攻擊者通過發(fā)送偽造源ⅠP 的TCP 數(shù)據(jù)包，TCP 數(shù)據(jù)包報(bào)頭部分是混亂的，可能是SYN，ACK，SYN+ACK，SYN+RST 等等，會(huì)造成安全設(shè)備處理錯(cuò)誤并癱瘓，耗費(fèi)服務(wù)器內(nèi)存的同時(shí)還會(huì)堵塞帶寬。

（3）針對(duì)用UDP 協(xié)議的攻擊

攻擊者通過發(fā)送偽造源ⅠP 的UDP 數(shù)據(jù)包，只要用戶系統(tǒng)開放了一個(gè)UDP 端口并提供相關(guān)服務(wù)，就可以針對(duì)該服務(wù)進(jìn)行攻擊。這種攻擊通常的解決辦法是在安全設(shè)備配置策略，通過匹配UDP 數(shù)據(jù)包中的特征碼，對(duì)經(jīng)過的數(shù)據(jù)包進(jìn)行過濾、攔截。

（4）針對(duì)Web server 的多連接攻擊

攻擊者控制大量計(jì)算機(jī)設(shè)備，通過技術(shù)手段同時(shí)連接Web 系統(tǒng)，大量的連接會(huì)占據(jù)系統(tǒng)資源，造成系統(tǒng)無法處理并癱瘓。這種攻擊方式的特點(diǎn)就在于這種連接和我們正常用戶的訪問連接是一樣的，不過在同一時(shí)間段內(nèi)，訪問鏈接的數(shù)量是以萬計(jì)的，有些安全設(shè)備能夠通過限制ⅠP 連接數(shù)來進(jìn)行預(yù)防，但是作為正常用戶，多訪問幾次系統(tǒng)也會(huì)被攔截。

（5）針對(duì)Web server 的變種攻擊

攻擊者控制一些計(jì)算機(jī)設(shè)備同時(shí)連接Web 系統(tǒng)，并不斷地向系統(tǒng)程序提交帶有GET 訪問請(qǐng)求的調(diào)用，耗費(fèi)大量的系統(tǒng)資源。這種攻擊方式的特點(diǎn)是不需要與Web 系統(tǒng)建立大量的連接，卻能大量消耗系統(tǒng)資源，達(dá)到攻擊目的。

4 DDoS 攻擊防護(hù)

因?yàn)镈DoS 攻擊的實(shí)施并不困難，往往是黑客常用的攻擊手段，下面列出幾點(diǎn)常見的防護(hù)手段。

（1）高防服務(wù)器

高防服務(wù)器主要是指能獨(dú)立防御50Gbps 以上的服務(wù)器，能夠?qū)YN、UDP、ⅠCMP、HTTP GET 等各類DDoS 攻擊進(jìn)行防護(hù)，并且定期對(duì)服務(wù)器進(jìn)行安全掃描與安全加固。

（2）添加黑名單

在安全設(shè)備上添加ⅠP 黑名單，將發(fā)現(xiàn)有攻擊行為的ⅠP 添加至黑名單中，使系統(tǒng)免受來自該ⅠP 的DDoS 攻擊。

（3）DDoS 清洗

DDoS 清洗就是對(duì)用戶的訪問請(qǐng)求數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)DDoS 攻擊等異常流量，在不影響正常業(yè)務(wù)開展的情況下清洗掉這些異常流量。

5 CDN 加速

CDN 加速就是將網(wǎng)站訪問流量分配到了各個(gè)節(jié)點(diǎn)中，這樣一方面隱藏服務(wù)器的真實(shí)ⅠP，另一方面即使遭遇DDoS 攻擊，也能夠?qū)⒘髁糠稚⒌礁鱾€(gè)節(jié)點(diǎn)中，避免系統(tǒng)崩潰。

6 結(jié)束語

本文主要是基于信息安全從業(yè)者日常工作中的總結(jié)，簡要的介紹了何為DDoS 攻擊、DDoS 攻擊分類及DDoS 攻擊防護(hù)。面對(duì)DDoS攻擊，并不是無計(jì)可施，需要多注意維護(hù)Web 系統(tǒng)的安全，發(fā)現(xiàn)異常及時(shí)采取措施，就算無法徹底解決DDoS 攻擊，也能夠大大減少損失。沒有絕對(duì)的安全，只有不斷加強(qiáng)安全防護(hù)。