【摘要】近年來(lái)，互聯(lián)網(wǎng)技術(shù)得到空前的發(fā)展，突出表現(xiàn)在網(wǎng)絡(luò)已經(jīng)開(kāi)始影響我們生活的方方面面。它不僅僅可以讓我們了解發(fā)生在世界各個(gè)角落的事，而且還廣泛地應(yīng)用于企業(yè)，事業(yè)以及政府機(jī)關(guān)，有利地促進(jìn)了各項(xiàng)事業(yè)的發(fā)展。然而，越來(lái)越多的互聯(lián)網(wǎng)受到攻擊，已經(jīng)在危害到了企業(yè)的發(fā)展，一些黑客采用各種手段獲得企業(yè)的商業(yè)機(jī)密，使互聯(lián)網(wǎng)的安全性受到了質(zhì)疑。這其中，Ddos指的是一種網(wǎng)站的入侵方式，一些客戶借助于這樣的程序侵入網(wǎng)站，從而達(dá)到破壞網(wǎng)站的目的。

【關(guān)鍵詞】木馬;網(wǎng)絡(luò)安全;攻擊技術(shù);防范策略

1.引言

“Ddos”是分布式拒絕服務(wù)攻擊的英文縮寫(xiě)，它主要是指以分散攻擊源來(lái)來(lái)入侵網(wǎng)站的方式。DdoS有多種攻擊方式，其主要是依賴于合理的服務(wù)請(qǐng)求來(lái)獲得更多的服務(wù)資源，從而使合法用戶得到相應(yīng)的服務(wù)響應(yīng)。DdoS進(jìn)行攻擊主要指的是在以往的DoS攻擊基礎(chǔ)之的一種新的攻擊方式。單一的DoS主要是采用一對(duì)一的攻擊方式，由于其攻擊目標(biāo)的CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等各項(xiàng)指標(biāo)，所以它有非常明顯的效果。在計(jì)算機(jī)得到全面發(fā)展的情況下，計(jì)算機(jī)有較好的處理能力，同時(shí)還出現(xiàn)了快速的網(wǎng)絡(luò)，這極大地增加了Dos的攻擊難度。從這時(shí)開(kāi)始，分布式的拒絕服務(wù)攻擊手段（DDoS）就開(kāi)始出現(xiàn)了。DDoS利用了更多的傀儡機(jī)（肉雞）來(lái)發(fā)起進(jìn)攻，這相對(duì)于以往的攻擊手段來(lái)說(shuō)，規(guī)模更大。

2.DDoS攻擊介紹

2.1 DDoS攻擊概念

DDoS是一種以DoS為基礎(chǔ)的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，它的主要攻擊目標(biāo)是其中比較大的站點(diǎn)，比如說(shuō)商業(yè)公司，搜索引擎和政府部門(mén)的站點(diǎn)。要利用DoS進(jìn)行攻擊，我們只要一臺(tái)單機(jī)和一個(gè)modem就可以實(shí)現(xiàn)，而與它不同的是DDoS攻擊是借助于好幾臺(tái)甚至幾十臺(tái)機(jī)器來(lái)攻擊一臺(tái)機(jī)器，這樣一來(lái)往往使受到攻擊的機(jī)器來(lái)不及躲避，所以有極大的破壞性。高速?gòu)V泛連接的網(wǎng)絡(luò)不僅帶給了用戶極大的便利，也為DDoS攻擊提供了良好的工作條件。在網(wǎng)絡(luò)發(fā)展的早期，由于網(wǎng)速緩慢，黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí)，總是要選用那些目標(biāo)距離相對(duì)比較近的機(jī)器，主要原因就在于經(jīng)過(guò)其路由器的跳數(shù)不多，可以取得一定的攻擊效果。而如今的電信骨干節(jié)點(diǎn)之間的連接都變成了以G為級(jí)別，對(duì)于一些城市而言，更是可以達(dá)到2.5G的網(wǎng)速，這使得攻擊開(kāi)始不受距離的約束，攻擊者的傀儡機(jī)可以分布在離現(xiàn)在更遠(yuǎn)的距離的機(jī)器上，所以在選擇對(duì)象上更加靈活了，而且還具有一定的危害性，為此我們接下來(lái)要了解一下這類(lèi)攻擊的主要工作原理。

2.2 攻擊運(yùn)行原理

圖1 分布式拒絕服務(wù)攻擊體系結(jié)構(gòu)

圖1是一個(gè)分布式的拒絕服務(wù)體系結(jié)構(gòu)，其主要是由四部分組成。比較重要的是其中的第2，3二部分：它們可以用來(lái)進(jìn)行控制和發(fā)起實(shí)際的進(jìn)攻。在這里，要注意一下控制機(jī)和攻擊機(jī)的區(qū)別，對(duì)第4部分的受害者而言，DDoS的實(shí)際攻擊包基本上都是從第3部分的攻擊傀儡機(jī)上發(fā)出的，第2部分只是負(fù)責(zé)發(fā)出一些攻擊命令，但實(shí)際上并不參與攻擊。對(duì)第2和第3部分的計(jì)算機(jī)，黑客有完全或者是部分的控制權(quán)力，同時(shí)還會(huì)把得到的DDoS程序傳送到這些平臺(tái)上，這些程序?qū)?huì)同正常程序一同等待來(lái)自于黑客的命令，而且往往還會(huì)采用各種手段來(lái)防止其被發(fā)現(xiàn)。在日常工作中，這些傀儡機(jī)器也不會(huì)有什么不同尋常之處，只是如果黑客與這些機(jī)器連接，并開(kāi)始發(fā)出攻擊命令時(shí)，攻擊傀儡機(jī)就開(kāi)始執(zhí)行相應(yīng)的程序，開(kāi)始破壞其他的機(jī)器了。也許有人要認(rèn)為黑客要直接去攻擊傀儡機(jī)，而不是從控制傀儡機(jī)上轉(zhuǎn)一下。這也就是為什么DDos攻擊難以被發(fā)現(xiàn)的重大原因之一。做為攻擊者而言，他們當(dāng)然不希望自己被人發(fā)現(xiàn)，而且攻擊者使用的傀儡機(jī)越多，他留下的線索就會(huì)越多。所以在進(jìn)行攻擊時(shí)，高水平的攻擊者往往會(huì)考慮二個(gè)問(wèn)題，其一是如何留好退路，其二是進(jìn)行痕跡清理，也就是擦掉腳印，使自己所從事的操作難以讓人發(fā)現(xiàn)。

3.DDoS的防范

到現(xiàn)在為止，對(duì)DDoS攻擊進(jìn)行防御還有相當(dāng)大的難題。這主要是因?yàn)椋浩湟?，這種攻擊的特點(diǎn)就是它完全地利用了TCP/IP協(xié)議的漏洞，除非大多數(shù)用戶不利用TCP/IP，才可能會(huì)抵擋DDoS攻擊。為此，有一位業(yè)內(nèi)的安全專家打了一個(gè)比喻：DDoS就好象有1，000個(gè)人都在給你家里打進(jìn)電話，而這時(shí)你的朋友能再打進(jìn)來(lái)嗎？在受到了DDoS攻擊后，一些用戶采用的是丟棄數(shù)據(jù)包的過(guò)濾手段。也就是更改數(shù)據(jù)流的傳送方向，把其丟棄在數(shù)據(jù)“黑洞”中，從而達(dá)到阻止所有的數(shù)據(jù)流的目的。然而，采用這樣的做法最大的缺點(diǎn)就在于所有的數(shù)據(jù)流無(wú)論是合法的還是非法的都要被丟棄，而且還要終止業(yè)務(wù)。數(shù)據(jù)包過(guò)濾和速率限制等措施都可以把所有的應(yīng)用都關(guān)掉，從而拒絕為合法的用戶提供相應(yīng)的接口。這樣做很明顯達(dá)到了黑客的要求。既然“因噎廢食”不可取，那么路由器、防火墻和入侵檢測(cè)系統(tǒng)（IDS）的功效又怎樣呢？根據(jù)應(yīng)用情況來(lái)看，通過(guò)配置路由器過(guò)濾不必要的協(xié)議可以對(duì)簡(jiǎn)單的ping攻擊以及無(wú)效的IP地址形成阻礙，然而如果要阻礙更復(fù)雜的嗅探攻擊和使用有效IP地址發(fā)起的應(yīng)用級(jí)攻擊則顯得力不從心。而防火墻可以起到阻擋相關(guān)的數(shù)據(jù)流的目的，不過(guò)與路由器一樣，防火墻往往也沒(méi)有反嗅探功能，所以防范手段仍然不可行。目前常見(jiàn)的IDS可以檢測(cè)異常狀況，但它難以自動(dòng)配置，而是要高技術(shù)的專家進(jìn)行手工調(diào)整才有效，所以難以對(duì)新出現(xiàn)的攻擊做出快速的反應(yīng)。

3.1 全局安全：充分遏制DDoS

如果我們深入地研究各種防范措施，并對(duì)DDoS攻擊出現(xiàn)失效的原因進(jìn)行分析，就不難發(fā)現(xiàn)變幻莫測(cè)的攻擊來(lái)源和層出不窮的攻擊手段是主要的問(wèn)題所在。為了使這一問(wèn)題得到徹底地解決，當(dāng)前世界級(jí)的安全技術(shù)廠商已經(jīng)開(kāi)始達(dá)成了共識(shí)：那就是在網(wǎng)絡(luò)中配備整體聯(lián)動(dòng)的安全體系，主要是利用軟件與硬件的相互結(jié)合，深入網(wǎng)絡(luò)的相關(guān)安全防范措施，以強(qiáng)化對(duì)網(wǎng)絡(luò)的安全管理。我們可以以全局安全網(wǎng)絡(luò)的解決方案為例，它在解決DDoS問(wèn)題上是有一定的局限性的。

首先，對(duì)所有訪問(wèn)網(wǎng)絡(luò)的行為都要進(jìn)行注冊(cè)，如果未經(jīng)過(guò)注冊(cè)的網(wǎng)絡(luò)行為，則無(wú)法訪問(wèn)網(wǎng)絡(luò)。利用了安全策略平臺(tái)，管理員可以全面了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況，從而全面控制網(wǎng)絡(luò)中出現(xiàn)的安全行為。在具體地對(duì)DDoS的攻擊進(jìn)行防范的過(guò)程中，每一個(gè)網(wǎng)絡(luò)的訪問(wèn)行為都要進(jìn)行合法性的檢測(cè)，一旦由于這種原因出現(xiàn)了安全威脅，系統(tǒng)將會(huì)主動(dòng)地利用其中的安全策略，并直接地對(duì)其進(jìn)行阻止訪問(wèn)、限制該終端訪問(wèn)網(wǎng)絡(luò)區(qū)域和限制該終端享用網(wǎng)絡(luò)帶寬速率的方式，將DDoS攻擊發(fā)生的可能性和概率降到最低。在控制終端用戶的安全問(wèn)題上，能評(píng)估所有進(jìn)入網(wǎng)絡(luò)的用戶系統(tǒng)的安全性，從而減少網(wǎng)絡(luò)內(nèi)終端用戶成為DDoS攻擊來(lái)源的威脅。從當(dāng)用戶終端接入網(wǎng)絡(luò)時(shí)，安全客戶端將會(huì)對(duì)客戶的終端狀態(tài)進(jìn)行檢測(cè)。一旦檢測(cè)發(fā)現(xiàn)用戶系統(tǒng)中存在一定的漏洞時(shí)，用戶會(huì)就會(huì)從正常的網(wǎng)絡(luò)中隔離開(kāi)，并自動(dòng)置于系統(tǒng)修復(fù)區(qū)域內(nèi)，同時(shí)加以修復(fù)，直到完成系統(tǒng)規(guī)定的相關(guān)策略，才可以進(jìn)入到正常的網(wǎng)絡(luò)環(huán)境中。如此一來(lái)，不僅可以使網(wǎng)絡(luò)內(nèi)部各個(gè)終端產(chǎn)生安全隱患的威脅的可能性減少，也可以使網(wǎng)絡(luò)內(nèi)的各個(gè)終端用戶的訪問(wèn)行為得以控制。通過(guò)在接入網(wǎng)絡(luò)時(shí)要做好“健康檢查”工作，DDoS再也不可以潛藏于網(wǎng)絡(luò)中，并利用網(wǎng)絡(luò)內(nèi)的終端設(shè)備進(jìn)行攻擊。就用戶而言，開(kāi)展正常的業(yè)務(wù)是根本的利益所在。隨著人們?cè)絹?lái)越依賴于internet網(wǎng)，DDoS攻擊的危害性也越來(lái)越大了。

3.2 網(wǎng)絡(luò)設(shè)備上的設(shè)置

對(duì)于企業(yè)網(wǎng)的網(wǎng)絡(luò)設(shè)備，我們可以從防火墻與路由器上加以考慮。這兩個(gè)設(shè)備是到外界的接口設(shè)備，在進(jìn)行防DDoS的過(guò)程中，要注意這要付出多大的代價(jià)，以及是否值得這么做。

ISP/ICP為不少的中小企業(yè)提供了各種規(guī)模的主機(jī)托管業(yè)務(wù)，所以在防DDoS時(shí)，除了和企業(yè)管理員采用同樣的手段以外，還要關(guān)注自己范圍內(nèi)的客戶托管主機(jī)不要成為傀儡機(jī)。從客觀上來(lái)看，這些托管主機(jī)的安全性都是比較差的，有的連基本的補(bǔ)丁都沒(méi)有裝上就進(jìn)行工作，成為黑客最喜歡攻擊的對(duì)象，主要就在于這臺(tái)機(jī)器不管如何控制，都無(wú)法被其他人發(fā)現(xiàn)，它的安全管理明顯偏弱;還不必說(shuō)托管的主機(jī)都是高性能、高帶寬的-簡(jiǎn)直就是為DDoS定制的。而如果是ISP的管理員，對(duì)其中的托管主機(jī)不存在直接的管理權(quán)力，所以往往必須要由客戶來(lái)處理。在日常工作中，有很多客戶與自己的托管主機(jī)服務(wù)商沒(méi)有進(jìn)行很好的配合，造成ISP管理員明知自己負(fù)責(zé)的一臺(tái)托管主機(jī)成為了傀儡機(jī)，卻無(wú)法改變這一格局的情況。而托管業(yè)務(wù)又是買(mǎi)方市場(chǎng)，ISP往往不敢去得罪客戶。骨干網(wǎng)絡(luò)運(yùn)營(yíng)商防范他們提供了互聯(lián)網(wǎng)存在的物理基礎(chǔ)。如果骨干網(wǎng)絡(luò)運(yùn)營(yíng)商可以進(jìn)行真誠(chéng)合作，DDoS攻擊就可以有效地阻止。在2000年yahoo等知名網(wǎng)站受到了攻擊以后，美國(guó)的網(wǎng)絡(luò)安全研究機(jī)構(gòu)就開(kāi)始考慮采用骨干運(yùn)營(yíng)商聯(lián)手來(lái)應(yīng)對(duì)DDoS攻擊的方案。其實(shí)這一方法的思路比較簡(jiǎn)單，就是每家運(yùn)營(yíng)商在自己的出口路由器上進(jìn)行源IP地址的驗(yàn)證，若在自己的路由表中沒(méi)有到這個(gè)數(shù)據(jù)包源IP的路由，就可以不管這個(gè)包。根據(jù)這樣的方法，可以阻止黑客利用偽造的源IP來(lái)進(jìn)行DDoS攻擊。然而這樣做的最大缺點(diǎn)就在于會(huì)降低路由器的效率，這也是骨干運(yùn)營(yíng)商非常關(guān)注的重大問(wèn)題，所以要在現(xiàn)實(shí)中使用這一思路還是有問(wèn)題。

4.結(jié)束語(yǔ)

總的來(lái)說(shuō)，要應(yīng)對(duì)DDoS盡管有不少的措施可以使用，但是要找到一個(gè)既有效又切實(shí)可行的具體措施不可能在短時(shí)間內(nèi)完成。然而，我們當(dāng)前至少要維護(hù)好自己的網(wǎng)絡(luò)與主機(jī)，而且保證自己的主機(jī)不成為他人攻擊的對(duì)象或者是用來(lái)攻擊另一主機(jī)的工具;其次，在自己的主機(jī)受到了攻擊時(shí)，一定要保持頭腦清醒，還要保留必要的證據(jù)，以促進(jìn)后面的工作的開(kāi)展。一個(gè)良好的網(wǎng)絡(luò)和日志系統(tǒng)是十分有必要建立的，無(wú)論DDoS的防御的未來(lái)發(fā)展道路如何，這都會(huì)是一項(xiàng)比較復(fù)雜的系統(tǒng)工程，需要IT界的許多友人關(guān)注。

參考文獻(xiàn)

[1]范斌.一種基于數(shù)據(jù)融合的DDoS入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與分析[J].科技信息（學(xué)術(shù)研究），2007（28）.

[2]范斌，胡志剛，張健.一種基于數(shù)據(jù)融合的DDoS入侵檢測(cè)系統(tǒng)的設(shè)計(jì)[J].科技信息（學(xué)術(shù)研究），2007（32）.

[3]張乾，桑軍.Linux環(huán)境下基于正則表達(dá)式的DDoS防御研究[J].軟件導(dǎo)刊，2010（02）.

[4]石景山.利用路由器防御DoS攻擊[J].福建電腦，2010 （10）.

作者簡(jiǎn)介：胡勃，男，現(xiàn)供職于中石油烏魯木齊分公司，研究方向：網(wǎng)絡(luò)安全。