王 浩 李盘荣

无锡广播电视大学 江苏无锡 214011

DDoS攻击的分类及其防御机制

王 浩 李盘荣

无锡广播电视大学 江苏无锡 214011

DDoS攻击已经成为一种全球性的网络灾害，其攻击形式一直在发展，致使DDoS防御的难度日益加大。DDoS攻击者通过获取一定数量的“傀儡主机”，使用工具扫描远程主机安全漏洞来取得远程主机的管理员权限，并在受控的远程主机上植入攻击代码或者木马、病毒，进而控制主机进行DDoS攻击。通过对DDoS的分类整理，找出一套系统的DDoS应对方案，使安全技术人员和研究人员能够根据情况的不同，采取相应的防范措施。

分布式拒绝服务攻击；傀儡主机

DDoS攻击（Distributed Denial of Service Attack）分布式拒绝服务攻击是网络上用来攻击服务器最有效的手段。为了应对日益频繁的DDoS攻击，各式各样的DDoS机制及工具设备应运而生。与此同时，攻击者们则不断更新攻击方法和工具，而安全研究人员则根据变化不断研究新的应对方法。这就使得DDoS防御变得更加复杂。

1 DDoS概述

分布式拒绝服务攻击者通过控制大量的傀儡主机向被攻击主机，发送大流量攻击数据，使得被攻击的主机不能响应正常用户的访问请求。要研究DDoS的形成和发展首先要探讨3个问题：DDoS的攻击可行性、DDoS攻击的实现方法、实施DDoS攻击的目的。

1.1 DDoS攻击可行性分析

当今Internet的设计目的就是数据的快速传送。作为中间传输媒介的网络是本着高吞吐量、低负载的原则设计的，因此中间网络基本上只负责转发数据，而相应的安全措施和流控则由终端进行。作为终端的服务器、主机或者设备的带宽和处理能力有限，这就意味着在网络上的任何一台主机、服务器或者设备都很容易遭受到来自Internet的DDoS攻击。

1.2 DDoS攻击的实现方法

D D o S的攻击者需要获取一定数量的“傀儡主机”。攻击者通过工具扫描远程主机安全漏洞来取得远程主机的管理员权限，并在受控主机上植入攻击代码甚至是木马病毒，来控制主机进行DDoS攻击。并且在攻击时将攻击主机的源地址进行伪装，从而使得被攻击者很难追踪到攻击源头。

1.3 实施DDoS攻击的目的分析

根据数据统计在国外相当数量的攻击者都是出于个人目的。还有一部分攻击者本身具有很高的能力，他们为了显示自己的能力或者在黑客社区里面炫耀自己。另外较少数的一部分人是本着商业目的或者利益关系进行攻击。他们的主要攻击对象就是商业竞争对象、有利益关系的对手的网站或者网络系统。

2 DDoS攻击分类

为了对DDoS攻击进行分类，我们对攻击者实现方法和目的进行了分析。

2.1 按照DDoS工作过程的自动程度分类

DDoS获取“傀儡主机”，植入攻击代码或木马、病毒，实施攻击的这一过程都能由程序来自动完成。DDoS按照工作过程的自动程度分成：手动、半自动、自动。

(1)手动DDoS的攻击者通过远程扫描“傀儡主机”的漏洞，然后植入攻击代码，最后控制“傀儡主机”来实施攻击。由于过程复杂需要的专业知识比较多且效率较低，因此只有早期的攻击者才会采用这种攻击方式。

(2)半自动DDoS的攻击者使用程序自动完成远程扫描“傀儡主机”的漏洞，然后植入代码。在最后攻击的时候采用手工控制，这样攻击者就可以指定“傀儡主机”的攻击方式攻击顺序以及攻击强度。但是，为了控制这些“傀儡主机”，攻击者必须要和“傀儡主机”之间进行通讯，才能操纵这些“傀儡主机”。

(3)全自动DDoS的攻击者使用程序自动完成远程扫描“傀儡主机”的漏洞，然后植入代码。其中，植入的代码已经包含了攻击对象及攻击模式的设定。所有步骤都是自动完成的，因此全自动DDoS就不需要和傀儡主机之间进行通讯。

2.2 按DDoS对攻击者的作用方式分类

DDoS攻击可以利用不同服务器的弱点，来对服务器进行攻击。当被攻击主机受到这类攻击的时候，通常会造成服务器死机或者重启。这一类型的DDoS攻击主要分为2种类型：技巧性攻击和暴力攻击。

(1)技巧性攻击利用目标服务器某些软件或者协议的漏洞，来消耗被攻击服务器的系统资源，导致被攻击服务器停止响应。

(2)暴力攻击是指不管服务器的状态，利用服务器上某些开放的端口或者协议软件，通过大“傀儡主机”不计代价的发送服务请求，从而导致服务器不堪应付而不能提供服务。暴力攻击不同于技巧性攻击，它在攻击的时候同时消耗了“傀儡主机”的资源。

2.3 源地址欺骗攻击分类

如果没有源地址欺骗DDoS攻击，那么很多其他类型的DDoS攻击都能通过资源管理技术（为每个IP地址分配均等的资源）来解决。IP源地址DDoS攻击可以分为2种类型：伪源地址DDoS攻击和有效源地址DDoS攻击。

(1)伪源地址DDoS攻击的种类很多，目的各有不同。总结起来，共有2类：不可路由的伪源地址：这类攻击通常是攻击者为了避免被追究责任或者追踪到，而伪装了攻击的源地址；可路由的伪源地址是通过伪装一个在Internet上面存在的计算机IP地址，让被攻击主机的SYN数据包在攻击主机与被伪造地址的受害机器之间往返，从而形成DDoS Flood攻击。

(2)有效源地址攻击伪装地址DDoS攻击的时候，会尽量采用伪装的地址进行攻击。但是，伪地址DDoS攻击却受到“傀儡主机”端操作系统的限制。因为Windows的用户层不支持数据包头部的字定义和修改，所以不能进行伪地址DDoS攻击。

2.4 按DDoS的可识别性分类

有些DDoS的攻击，能够通过对数据包的头进行仔细分析识别出来。因此，是否能够识别和分析出DDoS的攻击数据包，对于制定过滤规则有很重要的意义。这里，我们根据DDoS的是否能被分析分成2类来讨论。

(1)可识别的DDoS攻击，通常在IP包头或者协议的传输数据头中包含特定的攻击数据。举个例子来说，如TCP SYN攻击（如果在TCP头部分只有SYN位的话，很有可能就是TCP SYN攻击包），又如ECHO攻击，DNS请求攻击等，都属于能见识别的DDoS攻击之列。

(2)不可识别的DDoS攻击目的就是消耗服务器的可用带宽。因此，这类DDoS发送的数据包没有规律可言，其攻击数据包多种多样。甚至有时候这类攻击的攻击数据是随机生成的。

2.5 按受攻击对象分类

DDoS的主要攻击对象大致可以分为：应用程序、资源、网络基础设施攻击。

应用程序攻击，针对的是受攻击主机上面安装的应用程序。攻击者是以这些受攻击主机上某些应用程序的漏洞，来制定攻击方案的。攻击者通过这些应用程序的漏洞来攻击网络上的主机，迫使这些主机上的应用程序将服务器的资源耗尽，或令服务器重启。

资源攻击针对的是被攻击主机上面的重要资源，如D N S服务器、路由器或者瓶颈链路。在攻击时，DDoS数据包在攻击主机前一个节点或者直接在被攻击服务器上汇聚。为检测和过滤带来一定的难度。

网络基础设施攻击针对的是网络上的各种服务，它并不直接针对具体的主机，而是同时攻击该台主机所依托的相关网络服务和资源。

3 DDoS防御技术的分类

DDoS的防范是一个系统的工作，它根据DDoS的攻击和活跃程度来制定预防措施。基于DDoS活动级别防御机制可分为：预防措施和攻击响应措施。

3.1 预防措施

预防措施的目的是消除DDoS攻击的可能性，并且使得可能被攻击的主机不被DDoS攻击所侵扰。根据预防的目的不同，可以分为：攻击预防、DDoS预防。

由于网络协议的设计关系，服务器端的消耗要大于客户端。如果要降低和消除这类攻击的影响，就要在客户机连接时进行充分的身份认证，部署功能强大的代理服务器使得TCP进行完整的连接后才进行响应，设置TCP Cookie，采用特定的方法消除欺骗攻击，等等。

DDoS防御的目标是在确保有效资源的基础上加强资源分配的管理，以防止资源的过度消耗，在最大程度上保证为正常客户的访问。对于DDOS的防御，我们采取2种方式：账户资源分配策略、资源倍增策略。

账户资源分配策略指的是用户对于资源的使用权取决于用户在服务器端的账户权限，以及用户的行为。账户资源分配策略为每个用户进行资源配额，以防止账户被盗而用于攻击用途，当发生攻击行为的时候，账户会被停用或者删除。

资源倍增策略的原理是设置一组服务器，并对其进行负载均衡配置。并在这些服务器之间以及与上层设备之间设置很高的连接带宽，防止出现带宽瓶颈。

3.2 攻击响应措施

攻击响应措施的目的是努力减低DDoS攻击的影响。要实现这一目的，就要尽可能早的检测DDoS的攻击意图。并在检测到DDoS攻击后进行分类识别，并根据其不同的类型采取相应的措施。攻击检测可以分为3种检测方式：模式检测、异常检测、第三方检测。

模式检测是通过在比对数据库中的DDoS攻击的特征代码，来检测和判断DDoS的种类和方式，但这一方式的弱点是不能检测未知的DDoS攻击方式。

模式检测首先将服务请求的模式、方式和正常的服务方式进行比对，将异常的情况筛选出来作为检测和判断的依据。这种方式同模式检测相比，能够预测未知的DDoS攻击，但同时也存在其弱点——容易误报。

第三方检测是指不是通过自身，而是通过外界来检测DDoS攻击的发生和其特性。

受攻击应对策略的目标是将DDoS攻击的影响降低，并在最大程度上保证正常用户的访问。我们将对受攻击应对策略分成几个部分讨论，他们分别是：傀儡主机检测、速率限制、攻击过滤和重新配置。

在DDoS发生时，检测和分析有助于降低DDoS攻击的影响。DDoS“傀儡主机”的侦测涉及到多项追踪技术。因此，加强对于客户端有效性和安全性的验证，对于防范DDoS攻击具有很重要的意义。

攻击过滤大多是通过IDS来实现的，当IDS检测到符合特征库中的特征的代码后，会拒绝接受来自该地址的任何请求。部署攻击检测有一定的风险，如果设置的识别级别太低的话则没有效果，设置的级别太高则容易将正常的访问误判为DDoS攻击。因此部署攻击过滤的时候，需要相当谨慎。

重新配置是指当DDoS发生时，临时改变网络的拓扑结构，增加被攻击服务器的资源，或者将被攻击主机隔离，并以此来维持网络服务的正常运行。

4 结束语

通过对DDoS攻击及其防御进行分类整理，有助于对DDoS有一个全面的系统的了解。同时我们了解到DDoS攻击的防御，与其说是一项工作，不如说是一项系统工程。DDoS攻击从组织到实施的过程就是一个完整的系统。因此要想在Internet上面杜绝，或者说很大程度上的抑制DDoS除了技术方法之外，还需要各个单位的合作。特别是运营商，如果能提供核心路由级别的过滤和识别，将使得DDoS攻击难以组织和实现。

[1]J. Leiwo, P. Nikander, and T. Aura. Towards network denial of service resistant protocols[C].The 15th International Information Security Conference, 2000，8

[2]C. Meadows. A formal framework and evaluation method for network denial of service[C].The 12th IEEE Computer Security Foundations Workshop, 1999，6

[3]C. Schuba, I. Krsul, M. Kuhn, G. Spafford, A.Sundaram, and D. Zamboni. Analysis of a denial of service attack on TCP[C].the 1997 IEEE Symposium on Security and Privacy, 1997，5

[4]D. J. Bernstein. Syn cookies[EB/OL].http://cr.yp.to/syncookies.html

[5]J. Li, J. Mirkovic, M. Wang, P. Reiher, and L. Zhang SAVE: Source Address Validity Enforcement Protocol[J].Infocom 2002，6

Abstract: DDoS attack has been a serious threat against global internet security. As the DDoS Attack method’s development, it has been much difficult to deal with it. When the attackers are performing the DDoS attack, they get administrator authority of the machines, being performed by scanning the remote machines’ exploits, and install some trojan and viruses on it which are in order to control the machines as DDoS agents. In this paper we will classify the DDoS attack, and try to find out a series of mechanism which can make the internet security people be able to hold the DDoS attack.

Key words: distributed denial of service attack; agent

The taxonomy of DDoS attack and DDoS defense policies

Wang Hao, Li Panrong
Wuxi broadcast and television university, Wuxi, 214011, China

2010-11-24

王浩，硕士。李盘荣，硕士，副教授，主任。