◆楊玉蘭

（江蘇聯(lián)合職業(yè)技術(shù)學(xué)院徐州醫(yī)藥分院基礎(chǔ)教學(xué)部 江蘇 221116）

DDoS攻擊行為特征分析及防御方法探究

◆楊玉蘭

（江蘇聯(lián)合職業(yè)技術(shù)學(xué)院徐州醫(yī)藥分院基礎(chǔ)教學(xué)部 江蘇 221116）

DDoS攻擊主要有大流量攻擊型和資源耗盡型兩大類，大流量攻擊型以SYN Flood攻擊和UDP/ICMP Flood攻擊為代表，資源耗盡型以HTTP GET攻擊和DNS Query攻擊為典型代表。每種攻擊行為都有其各自的特征和攻擊原理，深入分析其行為特征和攻擊原理，有針對(duì)性地采取正確有效系統(tǒng)的措施進(jìn)行防御。

分布式拒絕服務(wù)攻擊；傀儡計(jì)算機(jī)；遠(yuǎn)程計(jì)算機(jī)；特征分析；防御

0 引言

DDoS攻擊即分布式拒絕服務(wù)攻擊，是黑客通過(guò)遠(yuǎn)程控制大量分散在不同地域的“肉雞”（傀儡計(jì)算機(jī)）同時(shí)向遠(yuǎn)程計(jì)算機(jī)（受害者）發(fā)送大量貌似合法的數(shù)據(jù)包，導(dǎo)致網(wǎng)絡(luò)阻塞或資源耗盡從而拒絕服務(wù)的攻擊行為，阻止了合法的計(jì)算機(jī)用戶正常的網(wǎng)絡(luò)資源的使用，嚴(yán)重威脅著網(wǎng)絡(luò)安全。

1 DDoS攻擊的形式

DDoS攻擊主要有兩種類型，一種是大流量攻擊型，通過(guò)發(fā)送大量攻擊包阻塞網(wǎng)絡(luò)帶寬，正常的用戶數(shù)據(jù)包無(wú)法到達(dá)主機(jī)；另外一種就是資源耗盡攻擊型，通過(guò)發(fā)送大量的攻擊包耗盡主機(jī)的內(nèi)存或CPU等資源，使其無(wú)法響應(yīng)正常的用戶服務(wù)請(qǐng)求。

1.1 大流量攻擊型

大流量攻擊不僅是使基礎(chǔ)網(wǎng)絡(luò)堵塞、帶寬占滿，無(wú)法保證正常的用戶流量通過(guò)，還會(huì)使得基礎(chǔ)網(wǎng)絡(luò)的安全設(shè)備、服務(wù)器主機(jī)等的CPU也因?yàn)槌?fù)荷而掛死，無(wú)法繼續(xù)提供服務(wù)。典型的大流量攻擊型有兩種：一種是有狀態(tài)協(xié)議報(bào)文攻擊型，以SYN Flood為代表；另一種就是無(wú)狀態(tài)協(xié)議報(bào)文攻擊，以UDP/ICMP Flood為代表。

（1）有狀態(tài)協(xié)議報(bào)文攻擊型

SYN Flood攻擊者精通TCP/IP協(xié)議的三次握手機(jī)制。服務(wù)器如果收不到第三次握手信號(hào)，就會(huì)等待一段時(shí)間，過(guò)期才會(huì)放棄。但是每臺(tái)設(shè)備的TCP/IP連接預(yù)留的內(nèi)存緩沖區(qū)有限，等待響應(yīng)的ACK數(shù)量就有限，該內(nèi)存緩沖區(qū)一旦被占滿，就不會(huì)再響應(yīng)后續(xù)的請(qǐng)求，即拒絕服務(wù)。攻擊者通過(guò)控制大量分散的“肉雞”（傀儡計(jì)算機(jī)）同時(shí)向受害機(jī)發(fā)送SYN報(bào)文，但不發(fā)送響應(yīng)確認(rèn)報(bào)文即第三次握手，導(dǎo)致受害機(jī)因收不到響應(yīng)報(bào)文而保持等待，因這種等待太多（FLOOD）而導(dǎo)致服務(wù)器的連接內(nèi)存緩沖區(qū)瞬間爆滿而阻塞，拒絕服務(wù)。

（2）無(wú)狀態(tài)協(xié)議報(bào)文攻擊型

UDP是用戶數(shù)據(jù)報(bào)協(xié)議，提供面向事務(wù)的信息傳送服務(wù)，用于處理數(shù)據(jù)，不提供協(xié)調(diào)的握手機(jī)制，無(wú)法保證報(bào)文安全完整到達(dá)，是一種無(wú)連接狀態(tài)不可靠的通道傳輸協(xié)議，主要用來(lái)支持計(jì)算機(jī)間進(jìn)行數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)應(yīng)用，如網(wǎng)絡(luò)游戲、語(yǔ)音視頻聊天、下載工具等。攻擊者只要偽造大量IP地址和小字節(jié)的UDP報(bào)文或控制“肉機(jī)”針對(duì)具體的應(yīng)用服務(wù)器及其端口進(jìn)行發(fā)送沖擊，就會(huì)使得目標(biāo)服務(wù)器一直處于繁忙狀態(tài)，無(wú)法響應(yīng)處理正常的UDP數(shù)據(jù)。

ICMP是網(wǎng)絡(luò)控制消息協(xié)議，用于主機(jī)與路由器間的控制消息傳送，比如Ping命令、Tracert命令等。主機(jī)對(duì)這些命令的處理是要有一定時(shí)間的，而且對(duì)數(shù)據(jù)包的大小也有限制，不能超過(guò)64KB。ICMP攻擊手段多樣，一種是攻擊者向目標(biāo)主機(jī)發(fā)起“ICMP風(fēng)暴”攻擊，即大量連續(xù)長(zhǎng)時(shí)間地向主機(jī)發(fā)送ICMP數(shù)據(jù)報(bào)，主機(jī)的CPU就會(huì)被耗盡癱瘓，無(wú)法響應(yīng)正常的ICMP報(bào)文。第二種是攻擊者向目標(biāo)主機(jī)大量發(fā)送超過(guò)64KB的ICMP報(bào)文，主機(jī)就會(huì)因無(wú)法分配內(nèi)存而導(dǎo)致內(nèi)存緩沖區(qū)崩潰死機(jī)。第三種是攻擊者仿造一個(gè)合法的IP，利用路由器具有向許多計(jì)算機(jī)同時(shí)廣播請(qǐng)求的功能，控制大量的路由器同時(shí)廣播請(qǐng)求受害者主機(jī)作出回答請(qǐng)求，導(dǎo)致網(wǎng)絡(luò)中所有計(jì)算機(jī)都對(duì)此ICMP作出回答而使得網(wǎng)絡(luò)阻塞癱瘓。

1.2 應(yīng)用資源耗盡型攻擊

針對(duì)應(yīng)用層資源的攻擊以HTTP GET攻擊和DNS Query攻擊為典型代表，此類攻擊不依大規(guī)模流量取勝，而是用小流量攻擊來(lái)耗盡受害者主機(jī)的應(yīng)用資源導(dǎo)致拒絕服務(wù)。

1.2.1 HTTP GET攻擊

瀏覽器中HTTP訪問(wèn)服務(wù)器資源默認(rèn)的都是以GET提交，主機(jī)在資源數(shù)據(jù)庫(kù)中查詢信息要有一定的時(shí)間，大型數(shù)據(jù)庫(kù)的查詢時(shí)間就更長(zhǎng)。攻擊者可以很容易地和受害機(jī)服務(wù)器建立正常的連接并不斷向其高頻率發(fā)送合法的HTTP GET請(qǐng)求，進(jìn)行賬戶的注冊(cè)、數(shù)據(jù)的查詢、刷新等合法操作來(lái)消耗服務(wù)器的資源，導(dǎo)致服務(wù)器忙于響應(yīng)這些請(qǐng)求而消耗100%的CPU，無(wú)法響應(yīng)其它的服務(wù)請(qǐng)求?；蛘哂么矸?wù)器以低慢連接形式如“slow header”、“slow post”等占用大量服務(wù)器資源導(dǎo)致資源耗盡。

1.2.2 DNS Query攻擊

DNS子服務(wù)器和DNS根服務(wù)器中建立了域名和IP地址的映射表，并負(fù)責(zé)解析查詢（Query）。一次簡(jiǎn)單的DNS Query只需在本地域名子服務(wù)器上就能完成，復(fù)雜或陌生的域名查詢，則會(huì)在本地域名子服務(wù)器、根服務(wù)器、其它域名服務(wù)器不斷地進(jìn)行遞歸查詢，會(huì)消耗大量的CPU 資源。DNS Query攻擊就是仿制大量的IP地址或控制大量的肉機(jī)發(fā)起大量的DNS Query請(qǐng)求，使DNS服務(wù)器的資源被100%消耗，無(wú)法響應(yīng)正常的域名查詢?；蛘甙l(fā)送非法的DNS Query報(bào)文，引起域名服務(wù)器不斷進(jìn)行遞歸查查詢導(dǎo)致DNS服務(wù)器系統(tǒng)癱瘓，用小流量達(dá)到攻擊的目的。

2 DDoS攻擊的防御

掌握了常見(jiàn)DDoS攻擊行為的原理及特征，就可以針對(duì)不同的入侵行為，采取正確有效系統(tǒng)的措施進(jìn)行針對(duì)性的防御。

2.1 有狀態(tài)協(xié)議報(bào)文攻擊的防御

防火墻處于服務(wù)器和客戶機(jī)之間，起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用，可以防御SYN Flood攻擊。根據(jù)對(duì)防火墻的不同設(shè)置，可分為SYN網(wǎng)關(guān)、被動(dòng)式SYN網(wǎng)關(guān)和SYN中繼三種防護(hù)方式。

SYN網(wǎng)關(guān)式是讓防火墻起到SYN網(wǎng)關(guān)的作用。防火墻不僅向服務(wù)器轉(zhuǎn)發(fā)客戶端的SYN包，向客戶端轉(zhuǎn)發(fā)服務(wù)器的ACK包，還要向服務(wù)器返回一個(gè)以客戶端身份發(fā)出的ACK包，即替客戶機(jī)完成TCP協(xié)議的第三次握手，使半連接變?yōu)檫B接。若客戶端真的發(fā)回有數(shù)據(jù)的ACK包，防火墻就轉(zhuǎn)發(fā)給服務(wù)器，反之就丟棄。

被動(dòng)式SYN網(wǎng)關(guān)式是讓防火墻起到SYN網(wǎng)關(guān)作用的同時(shí)，大大減小防火墻的SYN請(qǐng)求超時(shí)時(shí)間參數(shù)，讓防火墻提前判定客戶端ACK超時(shí)，給服務(wù)器發(fā)送RST包，刪除等候隊(duì)列中的半連接，釋放緩存空間。

SYN中繼式是讓防火墻不向服務(wù)器轉(zhuǎn)發(fā)客戶端的SYN包，而是做登記后代替服務(wù)器給客戶端返回ACK包完成二次握手，如果收到客戶端返回的第三次握手ACK包，防火墻才向服務(wù)器發(fā)送連接SYN。防火墻在客戶端和服務(wù)器端起到中繼器的作用，過(guò)濾掉半連接，預(yù)防攻擊。

2.2 無(wú)狀態(tài)協(xié)議報(bào)文攻擊的防御

UDP協(xié)議是無(wú)連接的，無(wú)法探測(cè)來(lái)源。最簡(jiǎn)單的防御方法就是用防火墻的限流，限制UDP報(bào)文在一定的帶寬范圍。基本做法有：基于目的IP地址的限流、基于目的安全區(qū)域的限流和 基于會(huì)話的限流。限流方式以簡(jiǎn)單的超量就丟棄的粗暴方法可以緩解帶寬的壓力，但對(duì)正常的需求也直接拋棄了。黑客的攻擊包內(nèi)容大都相同或相似，專業(yè)的防火墻具有指紋學(xué)習(xí)功能，可以對(duì)相同或相似的攻擊包進(jìn)行判定過(guò)濾。

對(duì)于ICMP協(xié)議攻擊的防御，一種方法是限定ICMP數(shù)據(jù)包占用帶寬，即使發(fā)生攻擊，對(duì)網(wǎng)絡(luò)的影響也有限。第二種方法是在系統(tǒng)中設(shè)置ICMP數(shù)據(jù)包的過(guò)濾，一般是拒絕所有的ICMP包。第三種方法是設(shè)置防火墻，啟動(dòng)“ICMP過(guò)濾”功能，防止被“PING”。

2.3 HTTP GET攻擊的防御

對(duì)于頻繁發(fā)送合法的用于查詢獲取資源信息的HTTP GET攻擊，有主動(dòng)防御和被動(dòng)防御兩種方式。主動(dòng)防御式是根據(jù)實(shí)際情況，限定每個(gè)IP可以建立的最大連接數(shù)和每秒可以建立的連接數(shù)。被動(dòng)防御式一是在發(fā)現(xiàn)攻擊時(shí)通過(guò)腳本列舉所有的連接，篩選出其中連接數(shù)最大的IP地址，將其封殺，禁止其訪問(wèn)。采取、屏蔽請(qǐng)求等方法。二是根據(jù)攻擊發(fā)起時(shí)的請(qǐng)求包基本相同而且有異于正常，所以在發(fā)生攻擊時(shí)可以快速查看日志、分析其請(qǐng)求的特征，對(duì)于特征相同的連接將其屏蔽，拒絕訪問(wèn)。

而對(duì)于“l(fā)ow and slow”式的攻擊，其連接數(shù)量少、特征正常，則可以對(duì)Apache 進(jìn)行優(yōu)化處理，一方面通過(guò)mod_reqtimeout為header 和 body設(shè)置合適的發(fā)送頻率和發(fā)送時(shí)間，另一方面通過(guò)設(shè)置mod_qos的多個(gè)參數(shù)來(lái)控制客戶端最大的IP數(shù)以及每個(gè)IP的最大連接數(shù)等，還可以通過(guò) MaxClients增加最大的連接數(shù)。當(dāng)然，也可以額外安裝mod_security模塊，給網(wǎng)頁(yè)應(yīng)用再提供一個(gè)外部安全層，如檢測(cè)某個(gè)IP每分鐘的連接數(shù)，超過(guò)則全部丟棄等，可以有效的抵御攻擊。

2.4 DNS Query攻擊的防御

DNS Query攻擊首先是一種UDP攻擊，故可以采取限流，但最佳的辦法就是利用防火墻的指紋學(xué)習(xí)功能，根據(jù)域名IP的指紋學(xué)習(xí)結(jié)果主動(dòng)回應(yīng)，既減輕服務(wù)器的查詢負(fù)擔(dān)，又提高查詢速度。對(duì)于驟然發(fā)生的巨量低頻度的域名解析請(qǐng)求，可以果斷封殺此IP地址，同時(shí)降低發(fā)起域名解析請(qǐng)求較低的IP地址的響應(yīng)優(yōu)先級(jí)。也可以設(shè)置防火墻限定每個(gè)IP地址每秒鐘域名解析請(qǐng)求的次數(shù)。

3 結(jié)語(yǔ)

每種DDoS攻擊都有其獨(dú)特的特征和攻擊原理，只要深入分析把握，破解和防御DDoS攻擊并非難事。但是，道高一尺，魔高一丈，不斷涌現(xiàn)的新的DDoS攻擊或變種，還需要專業(yè)技術(shù)人員繼續(xù)分析，不斷提供新的軟件、硬件及方法來(lái)防御或破解。

[1]杜曄，張大偉．網(wǎng)絡(luò)攻防技術(shù)教程(第2版) [M]．武漢：武漢大學(xué)出版社，2012．

[2]張婭婷．DDoS防御技術(shù)綜述[J]．長(zhǎng)沙鐵道學(xué)院學(xué)報(bào)（社會(huì)科學(xué)版），2007．

[3]池水明．DDoS攻擊防御技術(shù)研究[J]．信息網(wǎng)絡(luò)安全，2012．