陳 明 張曉勇

（河北省張家口卷煙廠有限責(zé)任公司信息中心 河北 075000）

0 前言

互聯(lián)網(wǎng)以驚人的速度改變著人們的生活方式和工作效率，給社會、企業(yè)、個人帶來了便利，但由于互聯(lián)網(wǎng)的開放性和匿名性特性不可避免的存在信息系統(tǒng)安全隱患。近年來黑客行為的不斷增多，攻擊成本的降低，越來越多的企業(yè)網(wǎng)站開始受到黑客的攻擊。以我公司為例，2012年10月19日20時，公司運維管理系統(tǒng)發(fā)出網(wǎng)絡(luò)故障告警，提示網(wǎng)絡(luò)管理員，互聯(lián)網(wǎng)絡(luò)防火墻出現(xiàn)故障，互聯(lián)網(wǎng)絡(luò)服務(wù)無法運行。網(wǎng)絡(luò)管理員對防火墻設(shè)備進行重點排查，從防火墻日志中看到有大量地址對公司公網(wǎng)地址進行DDoS攻擊。網(wǎng)絡(luò)管理員啟動應(yīng)急方案，用備用公網(wǎng)地址在防火墻進行替換，并恢復(fù)線路連接，互聯(lián)網(wǎng)絡(luò)恢復(fù)正常。

1 DDoS攻擊的定義和原理

DDoS（Distributed Denial of Service）又稱“分布式拒絕服務(wù)”，是指導(dǎo)致合法用戶不能正常訪問網(wǎng)絡(luò)服務(wù)的行為。拒絕服務(wù)攻擊的最終目的就是阻止合法用戶對正常網(wǎng)絡(luò)資源進行訪問，從而實現(xiàn)攻擊者的目標。DDoS攻擊手段是在傳統(tǒng)的DOS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。DDoS的原理是通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。它利用更多的傀儡機來發(fā)起進攻，以更大的規(guī)模來進攻受害者。

2 DDoS攻擊的表現(xiàn)形式和主要攻擊類型

2.1 DDoS攻擊主要有兩種表現(xiàn)形式

（1）流量攻擊，即利用大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，而合法網(wǎng)絡(luò)包卻被虛假的攻擊包淹沒無法到達主機。這種攻擊主要是針對網(wǎng)絡(luò)帶寬的攻擊；（2）資源耗盡攻擊，即利用大量攻擊包導(dǎo)致主機的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完，造成無法提供網(wǎng)絡(luò)服務(wù)，這種攻擊主要是針對服務(wù)器主機的攻擊。

2.2 DDoS攻擊主要攻擊類型

2.2.1 SYN/ACK Flood攻擊

是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK包，導(dǎo)致主機的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)。由于源都是偽造的故追蹤起來比較困難。少量的這種攻擊會導(dǎo)致主機服務(wù)器無法訪問，但卻可以Ping的通，在服務(wù)器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會導(dǎo)致Ping失敗、TCP/IP棧失效，并會出現(xiàn)系統(tǒng)凝固現(xiàn)象。這種攻擊方法是最有效的DDoS方法，普通防火墻大多無法抵御此種攻擊。

2.2.2 TCP全連接攻擊

是通過許多僵尸主機不斷地與被攻擊的服務(wù)器建立大量的TCP連接，直到服務(wù)器的內(nèi)存等資源被耗盡，從而導(dǎo)致拒絕服務(wù)。一般情況下，常規(guī)防火墻大多具備過濾DOS攻擊的能力，對于正常的TCP連接是放過的。但是，很多網(wǎng)絡(luò)服務(wù)程序能接受的TCP連接數(shù)是有限的。即便是大量正常的TCP連接，也會導(dǎo)致網(wǎng)站訪問非常緩慢甚至無法訪問。這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計的。

2.2.3 刷Script腳本攻擊

是針對存在JSP、ASP、CGI等腳本程序，并調(diào)用MSSQL Server、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)來設(shè)計的，它通過和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用。這種攻擊是典型的以小博大的攻擊方法。

3 DDoS攻擊的防護手段

由于DDoS攻擊的惡劣性，難以被偵測和控制，來勢迅猛又令人難以防備，單一的網(wǎng)絡(luò)設(shè)備對攻擊也不具備明顯的防御效果，我們采用組合的策略盡量減少攻擊帶來的危害，常見的防護手段有如下幾種：

3.1 手工防護

一般而言手工方式防護DDoS主要通過兩種形式：

1）系統(tǒng)優(yōu)化——主要通過優(yōu)化被攻擊系統(tǒng)的核心參數(shù)，提高系統(tǒng)本身對DDoS攻擊的響應(yīng)能力。但是這種做法只能針對小規(guī)模的DDoS進行防護。

2）網(wǎng)絡(luò)追查——遭受DDoS攻擊的系統(tǒng)的管理人員一般第一反應(yīng)是詢問上一級網(wǎng)絡(luò)運營商，這有可能是ISP、IDC等，目的就是為了弄清楚攻擊源頭。

3.2 采用高性能的網(wǎng)絡(luò)設(shè)備

首先，盡量選用知名度高、口碑好的路由器、交換機和硬件防火墻等設(shè)備，避免網(wǎng)絡(luò)設(shè)備成為瓶頸。其次，盡量和網(wǎng)絡(luò)提供商建立特殊關(guān)系或協(xié)議，當(dāng)大量攻擊發(fā)生的時候，向提供商申請在網(wǎng)絡(luò)接點處進行流量限制來對抗某些種類的DDoS攻擊。

3.3 充足的網(wǎng)絡(luò)帶寬保證

網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力。目前，至少要選擇100M的共享帶寬，并且要掛在1000M的主干上了。我們需要弄清楚的是，主機上的網(wǎng)卡是1000M的并不代表它的網(wǎng)絡(luò)帶寬就是千兆的，如果把它接在100M的交換機上，那么它的實際帶寬不會超過100M，即使是接在100M的帶寬上也不等于就能擁有百兆的帶寬，因為網(wǎng)絡(luò)服務(wù)商可以在交換機上限制實際帶寬為10M。

3.4 升級主機服務(wù)器硬件

在網(wǎng)絡(luò)帶寬保證的前提下，盡量提升硬件配置。為了能有效對抗每秒10萬個SYN攻擊包，服務(wù)器的配置至少應(yīng)該為：P4 2.4G/DDR512M/SCSI-HD，起關(guān)鍵作用的主要是CPU和內(nèi)存，內(nèi)存一定要選擇DDR的高速內(nèi)存；硬盤要盡量選擇SCSI的；網(wǎng)卡一定要選用3COM或Intel等這些名牌的產(chǎn)品。

3.5 增強操作系統(tǒng)的TCP/IP棧

Win2000和Win2003作為服務(wù)器操作系統(tǒng)，本身就具備一定的抵抗DDoS攻擊的能力，在開啟的狀態(tài)下可抵擋約10000個SYN攻擊包，默認狀態(tài)下沒有開啟僅能抵御數(shù)百個。

3.6 安裝專業(yè)抗DDoS防火墻

一般的防火墻對抗單一類型的syn，udp，icmp dos效果很好，但是當(dāng)多種混合時效果就略差。

總之，信息安全問題涉及到國家安全和社會公共安全。隨著計算機技術(shù)和通信技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)已經(jīng)滲透到社會生活的各個領(lǐng)域，成為信息交換的重要手段。近幾年由于寬帶的普及，很多非法網(wǎng)站利潤巨大，同行之間互相攻擊，甚至有一部分人利用網(wǎng)絡(luò)攻擊來敲詐錢財。我們要充分認識網(wǎng)絡(luò)的脆弱性和潛在威脅，積極采取有力的安全策略，對于保障網(wǎng)絡(luò)的安全非常重要。