简介基于洪泛法的分布式拒绝服务攻击及其防范措施

2011-08-15吴晓春张丰驿

大众科技 2011年5期

关键词：主干网防城港市因特网

吴晓春张丰驿

(1.防城港市环境监测站，广西防城港 538001；

2.广西广播电视大学防城港市分校，广西防城港 538001)

简介基于洪泛法的分布式拒绝服务攻击及其防范措施

吴晓春1张丰驿2

(1.防城港市环境监测站，广西防城港 538001；

2.广西广播电视大学防城港市分校，广西防城港 538001)

分布式拒绝服务攻击是利用网络资源和被攻击的目标主机的处理能力不对称的特点让被攻击主机由于一直处于超负荷运行状态而无法响应新请求的一种攻击手段。由于因特网的分布特性，哪怕在技术发展迅猛的今天，拒绝服务攻击仍然是互联网上需要解决的难题之一。文章回顾了基于洪泛法的分布式拒绝服务攻击的类型并对每种类型的攻击手段和特点进行了详细讨论，最后总结了当前针对拒绝服务攻击的主流解决方法。

拒绝服务攻击；Dos/Ddos；网络攻击

（一）引言

拒绝服务攻击(DoS Attack)的出现源于让目标感染用户无法正常使用网络服务和网络资源。尽管人们为了防范它而投入了巨大的人力物力和财力，但仍然无法有效的解决这个棘手的问题，原因很简单，因为因特网上的资源十分有限，不管是带宽，服务器的处理能力，还是存储空间大小等等，这些有限得资源都能被攻击者利用。当然，人们可以利用资源的有效合理分配算法来填补这些漏洞，“亡羊补牢”固然不晚，但是在技术飞跃发展的今天，这个漏洞却越来越大，而这个漏洞的根本成因是因为因特网安全性是在网上的主机来说是高度相关联的，也就是说，你的个人防火墙可以做得很完美，但这并不意味着你收到的攻击的概率或者次数就会变少，因为你所受到的攻击类型及攻击数目是取决于整个互联网的安全性。

（二）分布式拒绝服务攻击的类型

拒绝服务攻击分为几种情况，一种比较典型的就是利用系统漏洞对目标主机进行攻击，这一类的攻击利用操作系统或者软件设计的缺陷，能够引起目标主机掉入到无意义的空运算中甚至丧失对计算机的控制能力从而无法对用户提供相应服务。在早期的攻击行为中，这一种行为比较常见，这个攻击的解决方法就是打系统补丁，随着人们逐渐认识到计算机安全重要性，这一类攻击变得越来越困难。

而分布式拒绝服务攻击却是利用网络资源和目标主机的处理能力不对称的特点让目标主机由于一直处于超负荷运行状态而无法响应新请求的一种攻击手段，这种攻击方法不依赖于具体的网络协议或者特定的系统漏洞。

拒绝服务攻击可以是有一个源主机(source)往一个目标主机(destination)发送大量的攻击包或者由多个源向同一个目标主机同时发动攻击这一种攻击形式也成为直接攻击（direct attack）。单个源攻击单个主机的方式相对简单，利用单个机器的处理能力带宽等多方面优势向目标主机发起攻击，从而导致目标主机忙于服务攻击者而不能像其他人提供服务。正是由于其简单性，这一类型的攻击也比较容易防范，对于攻击者来说投入的硬件成本也相对较高，目标主机可以针对同一地址源来设置防火墙即可抵御。在多个源攻击同一个目标主机的方法中攻击能力开始升级，同时也更加难以防范。在发动攻击之前，由攻击者策划一系列僵尸机器直接往目标主机发送大量的攻击包，从而导致目标主机忙于处理这些垃圾信息而瘫痪。在发动直接攻击之前，攻击者需要组织一个僵尸军团，也就是往多个第三方机器植入 agent后台病毒，这样在需要发动攻击的时候能统一调度。这一类攻击方法利用了互联网的分布式特点，其内在思想和现在流行的“云计算”思想不谋而合。它不依赖于单个机器的硬件能力，而是利用分布式原理，利用网络上的其他机器的运算能力让目标机器来服务。由于其分布式特征，目标机器无法利用简单的IP规则来判别该请求是否是攻击，使得该类攻击的成功性较之第一种攻击更高。虽然如此，多对一的攻击方式需要攻击者往多个第三方机器植入后台病毒，这种攻击方式的门槛相对更高。

另一种攻击手段可以称之为映射攻击（reflector attack），它和直接攻击相似，只不过它不是直接往目标主机发送攻击包，而通过路由来实现大量攻击包的传送。我们知道，因特网之所以取得成功，是因为它采用了IP体系结构。IP地址隐藏了主机的实际地理位置。主机向服务器或者另一个对等体发送消息其实都要经过路由器的转换。路由器会根据消息中的IP头来确定目标主机所在的位置。如果该目标不存在，路由器会向源主机发送目标不可达等通知消息(ICMP)。

映射攻击方法正是利用了网络体系结构特点来发起攻击，它通过往路由器发送大量数据包，但是这些数据包所发往的目的地址都是一些垃圾地址，当路由器发现无法投递这些数据时就会往源主机发送通告消息，然而问题出现在这里，所有这些数据包的源地址都修改为目标主机的地址，由于路由器无法识别该地址是被修改过的，所以会直接发送给攻击者要攻击的目标主机，从而间接地发生了攻击行为。当整个攻击网络足够大的时候，由于目标主机需要接受成百上千的路由器返回的通告消息，尽管目标主机没有发送过这些消息，它收到路由器传送过来的通告消息后会默认选择丢弃，然而这些通告消息会消耗目标主机的带宽资源，大量无用消息的传送同样会使目标主机瘫痪。映射攻击由于它利用了因特网的路由器，所以它较直接攻击更为隐蔽也更加难以追踪，同时防范它的措施更加困难。但是并不是说映射攻击就是万能的。由于这种方法需要用到路由器的转发功能，为了产生足够大的垃圾信息，攻击者需要准确计算路由器的转发时间和效率才能耗费完目标主机的带宽资源而使之瘫痪。然而因为通过路由器的信息非常庞大，攻击者的攻击信息并不一定能够按照预定的时间到达目标主机从而使攻击失效。

（三）防御措施

为了防范分布式拒绝服务攻击，人们提出了多种方法，一类方法是基于防火墙的方法，其中之一是在因特网主干网上面增设数据包过滤，由于主干网拥有 BGP信息，所以可以很容易分析通过主干网上面的数据的来源从而判断出该信息是不是有效的。然而这种方法却是以损耗主干网路由器的处理性能为前提的，如果数据量过大将损害主干网性能。另外一种方法相类似，不过它不是在主干网上设置，而是采用了几个点做检测，然而由于缺少 BGP信息，这种方法很有可能发生误检的事情。

另一类方法是从目标主机角度出发，构建更加强大的防火墙机制，包括利用数据挖掘技术和预测机制来判断检测拒绝服务攻击。然而由于防范拒绝服务攻击的实时性以及这些方法都需要耗费一定的计算能力，虽然从某种角度来说解决了问题，但同样也降低了主机的性能。这是系统设计者在设计时需要考虑的。