DDoS拒絕服務(wù)攻擊和安全防范技術(shù)

一、DDoS拒絕服務(wù)攻擊簡介

“拒絕服務(wù)（Denial-Of-Service）攻擊就是消耗目標(biāo)主機(jī)或者網(wǎng)絡(luò)的資源，從而干擾或者癱瘓其為合法用戶提供的服務(wù)。”國際權(quán)威機(jī)構(gòu)“Security FAQ”給出的定義。

DDOS則是利用多臺計(jì)算機(jī)機(jī)，采用了分布式對單個(gè)或者多個(gè)目標(biāo)同時(shí)發(fā)起DoS攻擊。其特點(diǎn)是：目標(biāo)是“癱瘓敵人”，而不是傳統(tǒng)的破壞和竊密；利用國際互聯(lián)網(wǎng)遍布全球的計(jì)算機(jī)發(fā)起攻擊，難于追蹤。

目前DDoS攻擊方式已經(jīng)發(fā)展成為一個(gè)非常嚴(yán)峻的公共安全問題，被稱為“黑客終極武器”。但是不幸的是，目前對付拒絕服務(wù)攻擊的技術(shù)卻沒有以相同的速度發(fā)展，TCP/IP互聯(lián)網(wǎng)協(xié)議的缺陷和無國界性，導(dǎo)致目前的國家機(jī)制和法律都很難追查和懲罰DDoS攻擊者。DDoS攻擊也逐漸與蠕蟲、 Botnet相結(jié)合，發(fā)展成為自動化播、集中受控、分布式攻擊的網(wǎng)絡(luò)訛詐工具。據(jù)方正信息安全技術(shù)有限公司的有關(guān)專家介紹，DOS從防御到追蹤，已經(jīng)有了非常多的辦法和理論。比如SynCookie，HIP(History-based IP filtering)、ACC控制等,另外在追蹤方面也提出許多理論方法，比如IP Traceback、ICMP Traceback、Hash-Based IP traceback、Marking等。但目前這些技術(shù)僅能起到緩解攻擊、保護(hù)主機(jī)的作用，要徹底杜絕DDoS攻擊將是一個(gè)浩大的工程技術(shù)問題。

二、攻擊原理

目前DDoS攻擊主要分為兩類：帶寬耗盡型和資源耗盡型。

帶寬耗盡型主要是堵塞目標(biāo)網(wǎng)絡(luò)的出口，導(dǎo)致帶寬消耗不能提供正常的上網(wǎng)服務(wù)。例如常見的Smurf攻擊、UDP Flood攻擊、MStream Flood攻擊等。針對此類攻擊一般采取的措施就是QoS，在路由器或防火墻上針對此類數(shù)據(jù)流限制流量，從而保證正常帶寬的使用。單純帶寬耗盡型攻擊較易被識別，并被丟棄。

資源耗盡型是攻擊者利用服務(wù)器處理缺陷，消耗目標(biāo)服務(wù)器的關(guān)鍵資源，例如CPU、內(nèi)存等，導(dǎo)致無法提供正常服務(wù)。例如常見的Syn Flood攻擊、NAPTHA攻擊等。資源耗盡型攻擊利用系統(tǒng)對正常網(wǎng)絡(luò)協(xié)議處理的缺陷，使系統(tǒng)難于分辨正常流和攻擊流，導(dǎo)致防范難度較大，是目前業(yè)界最關(guān)注的焦點(diǎn)問題，例如方正SynGate產(chǎn)品就是專門防范此類的產(chǎn)品。

針對DDoS的攻擊原理，對DDoS攻擊的防范主要分為三層：Source-end攻擊源端防范、Router-based路由器防范、 Target-end目標(biāo)端防范。其中攻擊端防護(hù)技術(shù)有DDoS工具分析和清除、基于攻擊源的防范技術(shù)；骨干網(wǎng)防護(hù)技術(shù)有會推技術(shù)、IP追蹤技術(shù)；目標(biāo)端防護(hù)措施有DDoS攻擊探測、路由器防范、網(wǎng)關(guān)防范、主機(jī)設(shè)置等方法。

據(jù)方正安全工程師的多次實(shí)踐分析，目標(biāo)端防護(hù)技術(shù)得到最廣泛應(yīng)用。由于目標(biāo)端使被攻擊者，愿意為防護(hù)付出相應(yīng)代價(jià)，并且實(shí)施難度也較低。而骨干網(wǎng)防范、攻擊端防范都難于實(shí)施，合作意愿和難度上都有一定程度的問題

三、綜合防范方法綜述

目前基于目標(biāo)計(jì)算機(jī)系統(tǒng)的防范方法主要三類：網(wǎng)關(guān)防范、路由器防范、主機(jī)防范。

1.網(wǎng)關(guān)防范

網(wǎng)關(guān)防范就是利用專門技術(shù)和設(shè)備在網(wǎng)關(guān)上防范DDoS攻擊，例如用透明橋接入網(wǎng)絡(luò)的方正防火墻或方正黑鯊等硬件產(chǎn)品。網(wǎng)關(guān)防范主要采用的技術(shù)有SynCookie方法、基于IP訪問記錄的HIP方法、客戶計(jì)算瓶頸方法等。

SynCookie方法是在建立TCP連接時(shí)，要求客戶端響應(yīng)一個(gè)數(shù)字回執(zhí)，來證明自己的真實(shí)性。SynCookie方法解決了目標(biāo)計(jì)算機(jī)系統(tǒng)的半開連接隊(duì)列的有限資源問題，從而成為目前被最廣泛采用的DDoS防范方法，新的SCTP協(xié)議和DCCP協(xié)議也采用了類似的技術(shù)。SynCookie 方法的局限性在于，對于建立連接的每一個(gè)握手包，都要回應(yīng)一個(gè)響應(yīng)包，即該方法會產(chǎn)生1:1的響應(yīng)流，會將攻擊流倍增，極大的浪費(fèi)帶寬資源；此外，當(dāng)分布式拒絕服務(wù)攻擊的發(fā)起者采用隨機(jī)源地址時(shí)，SynCookie方法產(chǎn)生的回應(yīng)流的目標(biāo)地址非常發(fā)散，從而會導(dǎo)致目標(biāo)計(jì)算機(jī)系統(tǒng)及其周邊的路由設(shè)備的路由緩沖資源被耗盡，從而形成新的被攻擊點(diǎn)，在實(shí)際的網(wǎng)絡(luò)對抗中也產(chǎn)生了真實(shí)的路由雪崩事件。

HIP方法采用行為統(tǒng)計(jì)方法區(qū)分攻擊包和正常包，對所有訪問IP建立信任級別。當(dāng)發(fā)生DDoS攻擊時(shí)，信任級別高的IP有優(yōu)先訪問權(quán)，從而解決了識別問題。

客戶計(jì)算瓶頸方法則將訪問時(shí)的資源瓶頸從服務(wù)器端轉(zhuǎn)移到客戶端，從而大大提升分布式拒絕服務(wù)攻擊的代價(jià)，例如資源訪問定價(jià)方法。客戶計(jì)算瓶頸方法協(xié)議復(fù)雜，需要對現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行很大的變動，這也在很大程度上影響了該方法的可操作性。

綜上所述，網(wǎng)關(guān)防范DDoS技術(shù)能夠有效緩解攻擊壓力，適合被攻擊者的自身防護(hù)。

2.路由器防范

基于骨干路由的防范方法主要有pushback和SIFF方法。但由于骨干路由器一般都有電信運(yùn)營商管理，較難按照用戶要求進(jìn)行調(diào)整；另外，由于骨干路由的負(fù)載過大，其上的認(rèn)證和授權(quán)問題難以解決，很難成為有效的獨(dú)立解決方案。因此，基于骨干路由的方法一般都作為輔助性的追蹤方案，配合其他方法進(jìn)行防范。

基于路由器的ACL和限流是比較有效的防范措施，例如對特征攻擊包進(jìn)行訪問限制，發(fā)現(xiàn)攻擊者IP的包就丟棄；或者對異常流量進(jìn)行限制等。也可以打開Intercept模式，由路由器代替服務(wù)器響應(yīng)Syn包，并代表客戶機(jī)建立與服務(wù)器的連接。類似一種SynProxy技術(shù)，當(dāng)兩個(gè)連接都成功實(shí)現(xiàn)后，路由器再將兩個(gè)連接透明合并。應(yīng)用實(shí)例請參見www.icst.pku.edu.cn網(wǎng)站

四、防范技術(shù)發(fā)展和趨勢

DDoS攻擊的發(fā)展非常快，為增加攻擊威力，目前已經(jīng)采用了許多新攻擊技術(shù)：偽造數(shù)據(jù)，消除攻擊包特征；綜合利用協(xié)議缺陷和系統(tǒng)處理缺陷；使用多種攻擊包混合攻擊；采用攻擊包預(yù)產(chǎn)生法，提高攻擊速率。目前已經(jīng)出現(xiàn)的攻擊工具在單點(diǎn)情況下能發(fā)起6－7萬個(gè)/秒攻擊包，足以堵塞一個(gè)百兆帶寬的大中型網(wǎng)站。

DDoS防范技術(shù)主要向攻擊追蹤、網(wǎng)關(guān)防范發(fā)展。利用ICMP數(shù)據(jù)包追蹤、或是Burch 和 Cheswick提出的通過標(biāo)志數(shù)據(jù)包來追蹤的方法，都是目前研究的熱點(diǎn)。在骨干網(wǎng)上攻擊追蹤研究的目標(biāo)就是，在攻擊者剛開始發(fā)起攻擊時(shí)就能定位攻擊源，從而阻擋攻擊擴(kuò)散和減輕目標(biāo)損失。而網(wǎng)關(guān)DDoS防范技術(shù)將是未來產(chǎn)品發(fā)展的重點(diǎn)，將成為各類網(wǎng)站的DDoS防護(hù)盾牌，目前研究熱點(diǎn)的也是利用行為統(tǒng)計(jì)等方法區(qū)分攻擊包，例如方正黑鯊采用的CIP技術(shù)等。隨著技術(shù)的發(fā)展，網(wǎng)關(guān)DDoS防范產(chǎn)品將得到廣泛的應(yīng)用。
 如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]