胡巧玲

摘要本論文首先對DoS和DDoS攻擊加以說明,然后詳細分析DDoS攻擊的方法,最后進一步提出了防范解決DDoS攻擊的一些措施。

關鍵詞DDoS攻擊防范措施

中圖分類號:TP393.08文獻標識碼:A

1 引言

隨著網絡應用的日益廣泛,使用互聯(lián)網的用戶越來越多,對網絡進行攻擊的人也逐漸增多。不管出于哪種目的,對網絡的攻擊都會使網絡的正常工作受到嚴重的破壞,甚至使網絡或服務癱瘓,在經濟等各個方面造成不同程度的損失。

DoS(Denial Of Service),中文意思是拒絕服務,注意,這里千萬不要認為是微軟的dos操作系統(tǒng)。DoS攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問,這些資源包括磁盤空間、內存、進程甚至網絡帶寬,從而阻止正常用戶的訪問。另外,DoS有兩個鮮明的特點:技術原理簡單,工具化;難以防范,有限DoS可以通過管理的手段防止。

分布式拒絕服務 (Distributed Denial of Service—DDoS)是一種基于DoS的特殊形式的拒絕服務攻擊,是一種分布、協(xié)作的大規(guī)模攻擊方式,主要針對比較大的站點,如商業(yè)公司、搜索引擎和政府部門的站點。DoS攻擊只要一臺連接網絡的單機就可實現(xiàn),而DDoS攻擊是利用一批受控制的機器向同一臺機器發(fā)起攻擊,因此這樣的攻擊難以防備,具有較大的破壞性。

一個DDoS攻擊通常分三個過程。一是目標確認:黑客會在互聯(lián)網上鎖定一個企業(yè)網絡的IP地址。這個被鎖定的IP地址可能代表了企業(yè)的Web服務器,DNS服務器,互聯(lián)網網關等。二是準備過程:黑客會入侵互聯(lián)網上大量的沒有良好防護系統(tǒng)的計算機。黑客會在這些計算機中植入日后攻擊目標所需的工具。三是實際攻擊過程:黑客會將攻擊命令發(fā)送到所有被入侵的計算機上,并命令這些計算機利用預先植入的攻擊工具不斷向攻擊目標發(fā)送數(shù)據(jù)包,使得目標無法處理大量的數(shù)據(jù)或者頻寬被占滿。

被攻擊的服務器有以下癥狀:被攻擊主機上有許許多多等待的TCP連接;網絡中充滿了好多垃圾數(shù)據(jù)包,源地址是假的;制造大量廢棄的數(shù)據(jù),以致導致網絡擁塞,使受害的主機沒有辦法正常和外界進行通訊;DDoS攻擊利用受害主機提供的服務或傳輸協(xié)議上的缺陷,不斷地發(fā)出特定的服務請求,使受害主機沒有辦法及時處理一切正常請求;嚴重時會造成系統(tǒng)死機 。

2 DDoS攻擊典型示例

(1)SYN Flood。每個機器都需要為半開連接分配一定的資源;這種半開連接的數(shù)量是有限制;共計方利用TCP連接三次握手過程,打開大量的半開TCP連接;目標機器不能進一步接受TCP連接。機器就不再接受進來的連接請求。

(2)TearDrop。它利用IP包的分片裝配過程中,由于分片重疊,計算過程中出現(xiàn)長度為負值,在執(zhí)行memcpy的時候導致系統(tǒng)崩潰。

(3)IP欺騙攻擊。這種攻擊利用RST位來實現(xiàn)。

(4)PingOfDeath。直接利用ping包,即ICMP Echo包,有些系統(tǒng)在收到大量比最大包還要長的數(shù)據(jù)包,會掛起或者死機。

(5)Land。用于Land攻擊的數(shù)據(jù)包中的源地址和目標地址是相同的,因為當操作系統(tǒng)接收到這類數(shù)據(jù)包時,不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況,從而有可能造成系統(tǒng)崩潰或死機等現(xiàn)象。

(6)Smurf。攻擊者向一個廣播地址發(fā)送ICMP Echo請求,并且用受害者的IP地址作為源地址;廣播地址網絡上的每臺機器響應這些Echo請求,同時向受害者主機發(fā)送ICMP Echo-Reply應答;受害者主機會被這些大量的應答包淹沒。

3 DDoS防范措施

3.1 對于網絡方面

(1)路由器和防火墻配置得當,可以減少受其攻擊的危險。(2)入侵檢測系統(tǒng),檢測異常行為。

3.2 對于系統(tǒng)方面

(1)升級系統(tǒng)內核,打上必要的補丁。(2)關掉不必要的服務和網絡組件。(3)如果有配額功能的話,正確地設置這些配額。(4)監(jiān)視系統(tǒng)的運行,避免降低到基線以下。(5)檢測系統(tǒng)配置信息的變化情況。

3.3 建立備份和恢復機制方面

當然,我們要徹徹底底的杜絕拒絕服務攻擊,只有追根溯源去找到正在進行攻擊的機器和攻擊者。因為攻擊者一旦停止了攻擊行為,很難將其發(fā)現(xiàn),只能在其進行攻擊的時候,根據(jù)路由器的信息和攻擊數(shù)據(jù)包的特征,采用一級一級回溯的方法來查找其攻擊源頭。這就需要各級部門的協(xié)同配合,甚至是不同組織、不同國家的合作才能很好地完成,這幾乎是不可能實現(xiàn)的。

4 結束語

對于DDoS攻擊目前還沒有十分有效的防范辦法,我們只有加強網絡安全防范意識,提高網絡系統(tǒng)的安全性,才能有效防范黑客的DDoS攻擊。