基于DDoS攻击的防护体系研究
2009-06-29盖凌云
盖凌云
摘要分布式拒绝服务攻击(DDoS)是当今网络面临的最严峻的威胁之一,研究防御DDoS攻击的技术非常重
要。介绍了DDoS攻击原理和方法,并深入总结了当前DDoS攻击的防范技术。
关键词DDoS;防御体系;检测方法
中图分类号TP393.08文献标识码A文章编号 1007-5739(2009)08-0259-01
随着网络的广泛应用和多种DDoS黑客工具的不断发布,分布式拒绝服务攻击(Distributed Denial ofService,简称DDoS)实施越来越容易,给网站造成了巨大的经济损失。对于用户来说,要想正常开展业务,使网络不受DDoS攻击的影响,就必须采取有效措施,确保网络的连续性和可用性。
1DDoS攻击原理及特点
DDoS的前身是DoS(Denial of Service,拒绝服务)。所谓DoS攻击,是指在一段时间内向被攻击的目标主机或其他网络设备发送大量的服务请求,耗尽其系统资源而造成服务器响应阻塞,从而使其无法提供其他正常服务。而DDoS攻击,则是一种基于DoS分布式的协作的大规模攻击方式。攻击者首先渗透到无保护的主机(包括主控机和傀儡机)中,进而植入攻击程序。发动攻击时,攻击者向主控机发出攻击指令,由主控机向傀儡机发布攻击命令,傀儡机上的攻击程序从休眠状态启动,开始向受害者发送特殊的数据分组,这些分组不能被受害者正常处理,从而浪费了受害者大量的系统资源,严重威胁到网络安全。
2DDoS攻击检测方法
从基于目标系统的防护策略来看,可以在网络上设置网络状态监测器,用于监测网络的异常流量。从基于攻击源防护策略的角度来看,就是在网络出口设置数据包监测器,用于发现非法的数据包。
(1)流量攻击。主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机。可通过Ping命令来检测网站是否遭受了流量攻击。若发现Ping超时或丢包严重,则可能遭受了流量攻击,此时若和主机接在同一交换机上的服务器也无法访问,基本可以确定是遭受了流量攻击。测试的前提是计算机到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽,否则可采取Telnet主机服务器的网络服务端口来测试,效果一样。如果平时Ping主机服务器和接在同一交换机上的主机服务器都是正常的,突然Ping不通或者是严重丢包,假如可以排除网络故障因素,则肯定是遭受了流量攻击。流量攻击另一个典型特点是,一旦遭受流量攻击,远程终端连接网站服务器会失败。
(2)资源耗尽攻击。主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。如果发现网站访问突然非常缓慢或无法访问,而还可以Ping通,则很可能遭受了资源耗尽攻击,此时若在服务器上用Netstat-na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在,而ESTABLISHED很少,则可判定是遭受资源耗尽攻击。还有一种属于资源耗尽攻击的现象是,Ping网站主机Ping不通或者是丢包严重,而Ping与主机在同一交换机上的服务器则正常,造成这种现象的原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令,其实还有带宽,否则Ping不通接在同一交换机上的主机。
3DDoS攻击防护体系
由于DDoS被攻击者很难区分恶意请求和正常连接请求,无法有效分离出攻击数据包,所以目前还没有很好的办法来解决拒绝服务攻击问题。但通过一些技术手段,采取防范措施,可最大限度地减少DDoS攻击带来的危害。
(1)定期扫描。定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。
(2)配置防火墙。防火墙本身能抵御DDoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。
(3)过滤不必要的服务和端口。可以使用Inexpress、Ex-press、Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP。
(4)检查访问者的来源。通过反向路由器查询的方法检查访问者的IP地址是否是真的,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
(5)限制SYN/ICMP流量。用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。
4结语
随着系统的更新换代,新的系统漏洞不断出现,DDoS的攻击技巧也在不断提高,完全解决DDoS攻击问题越来越困难。相信通过进一步的探讨和研究,人们可以更好地抑制DDoS的危害,而这也正是研究和探讨DDoS的意义所在。
5参考文献
[1] 庄肖斌,芦康俊,王理,等.一种基于流量统计的DDoS攻击检测方法[J].计算机工程,2004,24(22):127-128,183.
[2] 王学飞.DDoS 攻击技术的新发展和对策[J].计算机应用与软件,2004, 21(5):99-101.
