摘 要：DDOS攻击是用很多计算机发起协作性的DOS攻击，它攻击一个或者多个目标，最终导致系统资源或网络带宽资源耗竭，破坏性极强。文章介绍了DDOS攻击的概念、产生的根源，分析了DDOS攻击的原理与工作过程，最后给出了DDOS攻击的防范方法。

关键词：DDOS；分布式拒绝服务；资源

1 DDoS攻击的概念

分布式拒绝服务（DDOS：Distributed Denial of Service）攻击，是指将多台计算机联合在一起，运用客户/服务器技术，同时向受害主机发起攻击。多台计算机作为攻击平台，受害主机处理数据过大而导致系统资源或网络带宽资源耗竭，从而大大提高了拒绝服务攻击的危害，是防范更加困难。它们利用很多有漏洞的计算机作为攻击平台和帮凶来进行攻击。

2 DDOS攻击产生的根源

DDOS攻击产生的根源不是简单的Internet的设计缺陷，通过设置普通的防御系统或修改协议是无法弥补的，它产生的根源在于Internet的核心架构。Internet的设计在带给我们信息财富和信息共享的同时，也隐含了拒绝服务的潜在威胁。

以下是对Internet设计进行分析后，得到的DDOS攻击产生的根源：

（1）Internet设计缺陷。Internet设计在早起设计时，有若干个目标。这些目标按照一定意义进行排序。Internet设计的首要目标是：即使网络内部损坏或是遭受外来破坏，仍可以确保数据传输的可达性和可靠性。而安全性（Security）和其他设计目标都被排在传输可达性和可靠性（Dependability）之后。

为了达到这个首要目标Internet在网络的边缘或端系统（End System）上集中了网络最智能的部分，而中间网络部分相对简单。中间网络只有一些必要的如路由的设备，所以Internet的承载协议都被设计成无连接的。这就给DDOS攻击留下了很大的空间，防御困难。

（2）Internet安全的相互依赖性。接入Internet的用户安全意识薄弱，没有及时的为计算机安装补丁，存在安全漏洞，使得这些计算机被黑客控制，成为傀儡主机。在DDOS攻击中，攻击者利用这些傀儡主机来协助其发动攻击。只要用户计算机与Internet相连，仅仅保证自身的系统安全并不能阻止发生DDOS攻击。

（3）资源的不协调性。Internet设计的重点在终端主机的服务保证上，忽视了中间网络的处理量，DDOS攻击会有大流量的需求，终端网络只按需要申请带宽，这与中间网络处理量狭小相悖。

（4）Internet资源的有限性。目前DDOS攻击的常见模式都是消耗系统资源或是网络带宽，有一些还表现为消耗系统CPU处理能力、缓存区、内存容量、操作系统数据结构、硬盘存储空间等。只要攻击耗尽以上某种资源，就可以达到DDOS攻击的效果。

但是，即使系统资源相当丰富，面临DDOS攻击，也有资源耗尽的时刻，这只是降低了DDOS攻击成功的可能性，或许对单纯的DoS攻击会起到一定效果，但对DDOS攻击可能起不到积极抵御的作用。

（5）责任的易逃避性。从源端到目的端的路由器上不检测验证IP包头的源地址字段（改字段用来填充产生包的主机源IP地址）。如果伪造数据包的源IP地址，通常没有被发现。这也使攻击事件频繁发生。

3 DDOS攻击原理

DDOS攻击是最先进的DOS攻击形式，它区别于其它攻击形式是它可以在Internet进行分布式的配置，从而加强了攻击的能力给网络以致命的打击。DDOS攻击从来不试图去破坏受害者的系统，因此使得常规的安全防御机制对它来说是无效。DDOS攻击的主要目的是对受害者的机器产生破坏，从而影响合法用户的请求。

DDOS攻击体系中有四种角色：

（1）攻击者：由黑客操控的主机，又被称为攻击的主控台。由它发动攻击，操控攻击的全过程，向位于控制层的主控端发送攻击指令。

（2）主控端：就是人们常说的傀儡机，它是攻击者通过非法手段控制的一些机器，这些机器负责控制大量的代理攻击主机。它们在这些主控端上安装特定的程序，由此接收攻击者发来的攻击命令，然后将这些命令发送到攻击层的代理攻击端主机上。

（3）代理攻击端：它们也是攻击者非法侵入并控制的计算机，攻击端负责接受主控端发来的指令，运行特定的攻击程序。代理攻击端主机是攻击的执行者，由它们向受害主机发起攻击。

（4）受害者：当交换机、路由器、主机等遭受DDOS攻击都是受害者。当出现DDOS进攻时，受害者的资源或网络带宽被无止境占用直至耗尽。防火墙和路由器遭到攻击阻塞后很可能导致恶性循环，加重网络阻塞情况，严重时还可能造成网络全面瘫痪。

4 DDOS攻击的步骤

一个典型的DDOS攻击主要有以下几个工作步骤：

（1）搜集资料，了解攻击目标。了解所要攻击的目标，以便对将来的攻击做到心中有数。主要搜集被攻击目标主机数目、地址情况、目标主机的配置、性能目标的宽带等方面。

（2）占领傀儡机。即攻占傀儡机，控制尽可能多的机器，然后安装相应的攻击程序，在主控机上安装控制攻击的程序。那些网络状态好、 性能好、安全管理水平差的主机往往成为黑客的目标。

（3）实施攻击。攻击者通过前两个步骤后，就开始通过主控机向攻击机发出攻击指令，或者按照原先设定好的攻击时间和目标，攻击机不停的向目标或者反射服务器发送大量的攻击包，来吞没被攻击者，达到拒绝服务的最终目的。

5 DDOS攻击的防范

针对DDOS攻击可以采取以下措施进行防范：

（1）设置主机

平时养成良好的习惯，关闭不必要的服务；电脑做到及时升级、更新系统补丁；限制同时打开的Syn半连接数目；缩短Syn半连接的time out时间。

（2）设置网络

a.防火墙的设置：限制同时打开的SYN最大连接数；限制特定IP地址的访问；启用防火墙的防DDOS的属性；严格限制对外开放的服务器的向外访问。

b.路由器：设置SYN数据包流量速率；将低版本的ISO及时升级；为路由器建立log server等方法。

TCP洪流攻击、UDP洪流攻击、ICMP洪流攻击、畸形报文攻击、应用层攻击是最典型的DDOS攻击，同时DDOS攻击也在不断变化升级，学者们研究针对DDOS攻击的防御措施变得越来越有应用价值和现实意义。

参考文献

[1]Zhang G，Parashar M.Coorporative defense against DDOSattacks. Journal of Research and Practice in Informa-tion Technology，2006.

[2]Yu， Shui，Zhou， Wanlei，Doss， Robin，et al.Traceback of DDOS attacks using entropy variations. IEEE Transactions on Parallel and Distributed Systems，2011.

[3]范斌，胡志刚，张健.一种基于数据融合的DDOS入侵检测系统的设计[J].科技信息（学术研究），2007（32）.

作者简介：杨铭（1982，1-），女，籍贯：吉林长春，工作单位：吉林电子信息职业技术学院，职称：讲师，学历：研究生，研究方向：计算机应用技术。