1、 1分布式拒绝服务攻击与防范杨兴杰(计算机科学技术学院网络工程 12级 1班 35号)摘 要:随着 Internet的不断发展,人们对它的利用和依赖日益增加,而电子商务的不断普及和应用,对互联网的安全性提出了更高的要求。但由于各种网络系统包括有关软件、硬件的缺陷以及系统管理方面的漏洞,导致了许多安全隐患。互联网的攻击手段层出不穷,分布式拒绝服务(DDOS)攻击就是其中最具破坏力的一种。分布式拒绝服务(DDOS)攻击是从拒绝服务攻击(DOS)演变而来的。由于其分布式的特征,使得攻击比传统的 DOS攻击拥有更多的攻击资源,具有更强的破坏力,而且更难以防范。加之结构简单、操作方便使它成为了攻击者最青
2、睐的攻击手段。DDOS 攻击已经对 Internet安全构成了极大的威胁,成为最难解决的网络安全问题之一,也是目前网络安全界研究的热点。对于分布式拒绝服务攻击而言,目前还没有比较完善的解决方案。分布式拒绝服务攻击是与目前使用的网络协议密切相关的,它的彻底解决即使不是不可能的,至少是极为困难的。最近几年,人们针对 DDOS攻击从不同角度提出了不少防范措施。关键词 拒绝服务攻击;分布式拒绝服务攻击;防范1 分布式拒绝服务的由来及原理1.1 分布式拒绝服务的起源分布式拒绝服务,在当今的网络当中用户能够经常听见此类事件的发生,比如说唐山黑客事件中,所利用的黑客技术就是 DDOS攻击。这种攻击方法的可怕
3、之处是会造成用户无法对外进行提供服务,时间一长将会影响到网络流量,造成用户经济上的严重损失。从实际情况来说 DDOS是不可能完全防范的,不过用户必须要从最大程度上做好防范 DDOS攻击的措施,使用户在遭受 DDOS攻击后的损失减至最低。分布式拒绝服务的起源:1999年 7月份左右,微软公司的视窗操作系统的一个 bug被人发现和利用,并且进行了多次攻击,这种新的攻击方式被称为“分布式拒绝服务攻击”即为“DDOS” 。单一的 DOS攻击一般是采用一对一方式的,当攻击目标 CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。这时候分布式的拒绝服务攻击手段(DDOS)就应运而生了。
4、DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源。1.2 分析分布式拒绝服务攻击的原理DOS(拒绝服务)。它的目的就是拒绝你的服务访问,破坏组织的正常运行,最终会使你的部分 Internet连接和网络系统失效。DOS 的攻击方式是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。随着网络的迅猛发展以及电子商务的兴起,DOS 攻击
5、迅速发展成为一种隐蔽性强、破坏性大的黑客攻击手段。拒绝服务攻击分类:常见的 DOS 攻击类型有四种:一 带宽消耗 攻击者消耗掉某个网络的所有可用带宽。二 资源衰竭 攻击者消耗掉诸如 CPU利用率,内存之类的系统资源。三 编程缺陷 是指应用程序或者操作系统在处理异常条件是时的失败。每个程序、操作系统都有缺陷,攻击者利用这个规律,向目标系统发送非正常格式的分组让网络协议栈或系统陷入异常。四 路由和 DNS攻击 操纵路由表项;改变受害者 DNS高速缓存的正确地址信息。图 1.2分布式拒绝服务攻击原理从图中可以看出,DDOS 的攻击分为三层:攻击者、主控端和代理端,三者在攻击中扮演着不同的角色。攻击者
6、 攻击者所用的计算机是攻击主控台。主控端 主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制着大量的代理主机。代理端 代理端同样是攻击者侵入并控制的一批主机,在它们的上面运行攻击器程序,接受和运行主控端发来的命令。代理端主机是攻击的直接执行者。攻击者发起 DDOS攻击的第一步就是在 Internet上寻找有漏洞的主机,获得对系统的直接访问权。第二步是在入侵主机上安装攻击程序,最后在攻击者的调遣下对攻击对象发起攻击。高速广泛连接的网络给大家带来了方便,也为 DDOS攻击创造了极为有利的条件。攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。2 DDOS的表现2.1 DOS以及
7、DDOS的攻击方法对 DOS而言,主要使用的攻击有 3种,分别是 TCP-SYN flood、UDP flood和 ICMP flood。首先是请求服务方发送一个 SYN消息,服务方收到 SYN后,会向请求方回送一个SYN-ACK表示确认,当请求方收到 SYN-ACK后,再次向服务方发送一个 ACK消息,这样,一次 TCP连接建立成功。但是 TCP-SYN flood在实现过程中只进行前 2个步骤:当服务方收到请求方的 SYN-ACK确认消息后,请求方由于采用源地址欺骗等手段使得服务方收不到ACK回应,于是,服务方会在一定时间处于等待接收请求方 ACK消息的状态。可用的 TCP连接是有限的,如
8、果恶意攻击方快速连续地发送此类连接请求,网络可用带宽迅速缩小,长此下去,网络将无法向用户提供正常的服务。由于 UDP(用户数据包协议)在网络中的应用比较广泛,基于 UDP攻击种类也较多。2.2 被 DDOS攻击时的现象1.被攻击主机上有大量等待的 TCP连接。 2.网络中充斥着大量的无用的数据包,源地址为假 。3.制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯 。4.利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求 。5. .系统服务器 CPU利用率极高,处理速度缓慢,甚至宕机。6. 被 DDOS攻击后,服务器出现木马、
9、溢出等异常现象。当对一个 Web站点执行 DDOS 攻击时,这个站点的一个或多个 Web服务会接到非常多的请求,最终使它无法再正常使用。在一个 DDOS攻击期间,如果有一个不知情的用户发出了正常的页面请求,这个请求会完全失败,或者是页面下载速度变得极其缓慢,看起来就是站点无法使用。典型的 DDOS攻击利用许多计算机同时对目标站点发出成千上万个请求。图 2-1DDOS攻击演示图2.3 DDOS的表现形式 DDOS的表现形式主要有两种,一种为流量攻击;另一种为资源耗尽攻击。我们该如何对付随时出现的黑客攻击呢?3 DDOS攻击的防御策略3.1 几种常用的安全措施:由于 DDOS的攻击具有隐蔽性,到目
10、前为止我们还没有发现防备攻击的行之有效的方法。为了提高网络系统的安全性,还可以采取下面几种安全措施:用足够的机器承受黑客攻击。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿。和你的 ISP协调工作,让他们帮助你实施正确的路由访问控制策略保护带宽和内部网络。在网络管理方面,充分利用路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。关闭不必要的服务,限制同时打开的 Syn半连接数目,缩短 Syn半连接的 time out 时间,及早发现系统存在的攻击漏洞,及时安装系统补丁程序。当你发现计算机被攻
11、击者用做主控端或代理端时。要及时清除系统中存在的 DDOS攻击的工具软件。当你发现自己正遭受 DDOS攻击时,应立即关闭系统,或至少切断与网络的连接。3.2 防火墙 防火墙就是一个位于计算机和它所连接的网络之间的软件。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。而且它还能禁止特定端口的流出通信它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。只要防火墙本身做的足够强壮,就可以抵抗相当强度的 SYN Flood攻击。3.3 路由器 例如 Cisco路由器 我们可以首先在路由器上打开 CEF 功能、使用 Unicast RPF,然后利用访问控
12、制列表(ACL)过滤并设置 SYN数据包流量速率或通过升级版本过低的 ISO、为路由器建立 log server等措施来建立安全防范。具体的使用方法是:1、使用 ip verfy unicast reverse-path 网络接口命令这个功能检查每一个经过路由器的数据包。在路由器的 CEF表该数据包所到达网络接口的所有路由项中,如果没有该数据包源 IP地址的路由,路由器将丢弃该数据包。1.路由器打开了 CEF功能,所有独立的网络接口都可以配置为其它交换(switching)模式。RPF(反向传输路径转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。2、使用访问控制列表
13、(ACL)过滤 RFC 1918中列出的所有地址如:interface xyip access-group 111 inaccess-list 111 deny ip 10.0.0.0 0.255.255.255 anyaccess-list 111 deny ip 192.168.0.0 0.0.255.255 anyaccess-list 111 deny ip 172.16.0.0 0.15.255.255 anyaccess-list 111 permit ip any any3、参照 rfc 2267,使用访问控制列表过滤进出报文 如:ISP中心 - ISP 端边界路由器 - 客户端
14、边界路由器 - 客户端网络ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。打开了 CEF功能,能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能。4、使用 CAR(Control Access Rate)限制 ICMP数据包流量速率如:interface xyrate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action dropaccess-list 2020 permit icmp any a
15、ny echo-reply5、设置 SYN数据包流量速率 如:interface int rate-limit output access-group 153 45000000 100000 100000 conform-action transmit exceed-action drop rate-limit output access-group 152 1000000 100000 100000 conform-action transmit exceed-action drop access-list 152 permit tcp any host eq www access-list
16、 153 permit tcp any host eq www established6、搜集证据并联系网络安全部门或机构如果可能,捕获攻击数据包用于分析。为了防止利用 IP Spoofing手段假冒源地址进行的 DOS攻击对整个网络造成的冲击。主要配置在边缘路由设备上,根据用户网段规划添加源路由检查。针对不同 DDOS攻击的端口进行过滤,在实施时必须探测到 DDOS攻击的端口。3.4 使用专业 DDOS防御设备选择一款优秀的防黑安全产品。无论是从网上下载公开源代码的监测工具,还是购买网络监测工具,都要实时监测别人是否在扫描自己的端口。譬如:万网使用的绿盟黑洞系统。黑洞主要作用:a. 能够对
17、SYN Flood、UDP Flood、ICMP Flood、HTTP GET Flood和(M)Stream Flood等各类 DOS攻击进行防护。b. 可以有效防止连接耗尽,主动清除服务器上的残余连接,提高网络服务的品质;可以抑制网络蠕虫的扩散。c. 可以防护 DNS Query Flood,保护 DNS服务器正常运行。d. 可以给各种端口扫描软件反馈迷惑性信息,因此也可以对其它类型的攻击起到防护作用。3.5 ISP / ICP管理员ISP / ICP为很多中小型企业提供了各种规模的主机托管业务,所以在防 DDOS时,除了与企业网管理员一样的手段外,还要特别注意自己管理范围内的客户托管主机
18、不要成为傀儡机。而做为 ISP的管理员,对托管主机是没有直接管理的权力的,只能通知让客户来处理。在实际情况时,有很多客户与自己的托管主机服务商配合得不是很好,造成 ISP管理员明知自己负责的一台托管主机成为了傀儡机,却没有什么办法的局面。3.6 骨干网络运营商他们提供了互联网存在的物理基础。如果骨干网络运营商可以很好地合作的话,DDOS攻击可以很好地被预防。每家运营商在自己的出口路由器上进行源 IP地址的验证,如果在自己的路由表中没有到这个数据包源 IP的路由,就丢掉这个包。这种方法可以阻止黑客利用伪造的源 IP来进行 DDOS攻击。参考文献1 刘 昕,吴秋峰-.分布式拒绝服务研究与探讨J -
19、计算机工程与应用-2008 年 06期2李德全-.拒绝服务攻击对策及网络追踪的研究C(学位论文) -北京:中国科学院软件研究所 2008 年 02期3吴 虎,云 超-对 DDOS攻击防范策略的研究及若干实现J -计算机应用研究-,2007年 08期4陈连波,百里梅-.分布式拒绝服务攻击研究J -福建电脑 2009 年 02期5徐图,何大可,邓子健-分布式拒绝服务攻击特征分析与检测J -计算机工程与应用 2007年 29期6吴伟娇-分布式拒绝服务攻击与防范策略详探J -中国科技信息 2008 年 01期7王耀武,杨亚红-分布式拒绝服务攻击的软防御系统J -计算机工程与设计 2008年03期8庄心妍-分布式拒绝服务攻击原理及防范J -内蒙古科技与经济 2009 年 06期9盖凌云,黄树来-分布式拒绝服务攻击与防御机制研究J -通信技术 2008年 06期
