浅析DDoS攻击及其防护手段
2013-03-19张晓勇
陈 明 张晓勇
(河北省张家口卷烟厂有限责任公司信息中心 河北 075000)
0 前言
互联网以惊人的速度改变着人们的生活方式和工作效率,给社会、企业、个人带来了便利,但由于互联网的开放性和匿名性特性不可避免的存在信息系统安全隐患。近年来黑客行为的不断增多,攻击成本的降低,越来越多的企业网站开始受到黑客的攻击。以我公司为例,2012年10月19日20时,公司运维管理系统发出网络故障告警,提示网络管理员,互联网络防火墙出现故障,互联网络服务无法运行。网络管理员对防火墙设备进行重点排查,从防火墙日志中看到有大量地址对公司公网地址进行DDoS攻击。网络管理员启动应急方案,用备用公网地址在防火墙进行替换,并恢复线路连接,互联网络恢复正常。
1 DDoS攻击的定义和原理
DDoS(Distributed Denial of Service)又称“分布式拒绝服务”,是指导致合法用户不能正常访问网络服务的行为。拒绝服务攻击的最终目的就是阻止合法用户对正常网络资源进行访问,从而实现攻击者的目标。DDoS攻击手段是在传统的DOS攻击基础之上产生的一类攻击方式。DDoS的原理是通过使网络过载来干扰甚至阻断正常的网络通讯。它利用更多的傀儡机来发起进攻,以更大的规模来进攻受害者。
2 DDoS攻击的表现形式和主要攻击类型
2.1 DDoS攻击主要有两种表现形式
(1)流量攻击,即利用大量攻击包导致网络带宽被阻塞,而合法网络包却被虚假的攻击包淹没无法到达主机。这种攻击主要是针对网络带宽的攻击;(2)资源耗尽攻击,即利用大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完,造成无法提供网络服务,这种攻击主要是针对服务器主机的攻击。
2.2 DDoS攻击主要攻击类型
2.2.1 SYN/ACK Flood攻击
是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务。由于源都是伪造的故追踪起来比较困难。少量的这种攻击会导致主机服务器无法访问,但却可以Ping的通,在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态,大量的这种攻击会导致Ping失败、TCP/IP栈失效,并会出现系统凝固现象。这种攻击方法是最有效的DDoS方法,普通防火墙大多无法抵御此种攻击。
2.2.2 TCP全连接攻击
是通过许多僵尸主机不断地与被攻击的服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽,从而导致拒绝服务。一般情况下,常规防火墙大多具备过滤DOS攻击的能力,对于正常的TCP连接是放过的。但是,很多网络服务程序能接受的TCP连接数是有限的。即便是大量正常的TCP连接,也会导致网站访问非常缓慢甚至无法访问。这种攻击是为了绕过常规防火墙的检查而设计的。
2.2.3 刷Script脚本攻击
是针对存在JSP、ASP、CGI等脚本程序,并调用MSSQL Server、Oracle等数据库的网站系统来设计的,它通过和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用。这种攻击是典型的以小博大的攻击方法。
3 DDoS攻击的防护手段
由于DDoS攻击的恶劣性,难以被侦测和控制,来势迅猛又令人难以防备,单一的网络设备对攻击也不具备明显的防御效果,我们采用组合的策略尽量减少攻击带来的危害,常见的防护手段有如下几种:
3.1 手工防护
一般而言手工方式防护DDoS主要通过两种形式:
1)系统优化——主要通过优化被攻击系统的核心参数,提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDoS进行防护。
2)网络追查——遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商,这有可能是ISP、IDC等,目的就是为了弄清楚攻击源头。
3.2 采用高性能的网络设备
首先,尽量选用知名度高、口碑好的路由器、交换机和硬件防火墙等设备,避免网络设备成为瓶颈。其次,尽量和网络提供商建立特殊关系或协议,当大量攻击发生的时候,向提供商申请在网络接点处进行流量限制来对抗某些种类的DDoS攻击。
3.3 充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力。目前,至少要选择100M的共享带宽,并且要挂在1000M的主干上了。我们需要弄清楚的是,主机上的网卡是1000M的并不代表它的网络带宽就是千兆的,如果把它接在100M的交换机上,那么它的实际带宽不会超过100M,即使是接在100M的带宽上也不等于就能拥有百兆的带宽,因为网络服务商可以在交换机上限制实际带宽为10M。
3.4 升级主机服务器硬件
在网络带宽保证的前提下,尽量提升硬件配置。为了能有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,内存一定要选择DDR的高速内存;硬盘要尽量选择SCSI的;网卡一定要选用3COM或Intel等这些名牌的产品。
3.5 增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDoS攻击的能力,在开启的状态下可抵挡约10000个SYN攻击包,默认状态下没有开启仅能抵御数百个。
3.6 安装专业抗DDoS防火墙
一般的防火墙对抗单一类型的syn,udp,icmp dos效果很好,但是当多种混合时效果就略差。
总之,信息安全问题涉及到国家安全和社会公共安全。随着计算机技术和通信技术的发展,计算机网络已经渗透到社会生活的各个领域,成为信息交换的重要手段。近几年由于宽带的普及,很多非法网站利润巨大,同行之间互相攻击,甚至有一部分人利用网络攻击来敲诈钱财。我们要充分认识网络的脆弱性和潜在威胁,积极采取有力的安全策略,对于保障网络的安全非常重要。