淺析DDoS攻擊及其防護(hù)手段

陳 明 張曉勇

（河北省張家口卷煙廠有限責(zé)任公司信息中心 河北 075000）

0 前言

互聯(lián)網(wǎng)以驚人的速度改變著人們的生活方式和工作效率，給社會(huì)、企業(yè)、個(gè)人帶來了便利，但由于互聯(lián)網(wǎng)的開放性和匿名性特性不可避免的存在信息系統(tǒng)安全隱患。近年來黑客行為的不斷增多，攻擊成本的降低，越來越多的企業(yè)網(wǎng)站開始受到黑客的攻擊。以我公司為例，2012年10月19日20時(shí)，公司運(yùn)維管理系統(tǒng)發(fā)出網(wǎng)絡(luò)故障告警，提示網(wǎng)絡(luò)管理員，互聯(lián)網(wǎng)絡(luò)防火墻出現(xiàn)故障，互聯(lián)網(wǎng)絡(luò)服務(wù)無法運(yùn)行。網(wǎng)絡(luò)管理員對(duì)防火墻設(shè)備進(jìn)行重點(diǎn)排查，從防火墻日志中看到有大量地址對(duì)公司公網(wǎng)地址進(jìn)行DDoS攻擊。網(wǎng)絡(luò)管理員啟動(dòng)應(yīng)急方案，用備用公網(wǎng)地址在防火墻進(jìn)行替換，并恢復(fù)線路連接，互聯(lián)網(wǎng)絡(luò)恢復(fù)正常。

1 DDoS攻擊的定義和原理

DDoS（Distributed Denial of Service）又稱“分布式拒絕服務(wù)”，是指導(dǎo)致合法用戶不能正常訪問網(wǎng)絡(luò)服務(wù)的行為。拒絕服務(wù)攻擊的最終目的就是阻止合法用戶對(duì)正常網(wǎng)絡(luò)資源進(jìn)行訪問，從而實(shí)現(xiàn)攻擊者的目標(biāo)。DDoS攻擊手段是在傳統(tǒng)的DOS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。DDoS的原理是通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。它利用更多的傀儡機(jī)來發(fā)起進(jìn)攻，以更大的規(guī)模來進(jìn)攻受害者。

2 DDoS攻擊的表現(xiàn)形式和主要攻擊類型

2.1 DDoS攻擊主要有兩種表現(xiàn)形式

（1）流量攻擊，即利用大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，而合法網(wǎng)絡(luò)包卻被虛假的攻擊包淹沒無法到達(dá)主機(jī)。這種攻擊主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊；（2）資源耗盡攻擊，即利用大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完，造成無法提供網(wǎng)絡(luò)服務(wù)，這種攻擊主要是針對(duì)服務(wù)器主機(jī)的攻擊。

2.2 DDoS攻擊主要攻擊類型

2.2.1 SYN/ACK Flood攻擊

是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK包，導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)。由于源都是偽造的故追蹤起來比較困難。少量的這種攻擊會(huì)導(dǎo)致主機(jī)服務(wù)器無法訪問，但卻可以Ping的通，在服務(wù)器上用Netstat -na命令會(huì)觀察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會(huì)導(dǎo)致Ping失敗、TCP/IP棧失效，并會(huì)出現(xiàn)系統(tǒng)凝固現(xiàn)象。這種攻擊方法是最有效的DDoS方法，普通防火墻大多無法抵御此種攻擊。

2.2.2 TCP全連接攻擊

是通過許多僵尸主機(jī)不斷地與被攻擊的服務(wù)器建立大量的TCP連接，直到服務(wù)器的內(nèi)存等資源被耗盡，從而導(dǎo)致拒絕服務(wù)。一般情況下，常規(guī)防火墻大多具備過濾DOS攻擊的能力，對(duì)于正常的TCP連接是放過的。但是，很多網(wǎng)絡(luò)服務(wù)程序能接受的TCP連接數(shù)是有限的。即便是大量正常的TCP連接，也會(huì)導(dǎo)致網(wǎng)站訪問非常緩慢甚至無法訪問。這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計(jì)的。

2.2.3 刷Script腳本攻擊

是針對(duì)存在JSP、ASP、CGI等腳本程序，并調(diào)用MSSQL Server、Oracle等數(shù)據(jù)庫(kù)的網(wǎng)站系統(tǒng)來設(shè)計(jì)的，它通過和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫(kù)資源的調(diào)用。這種攻擊是典型的以小博大的攻擊方法。

3 DDoS攻擊的防護(hù)手段

由于DDoS攻擊的惡劣性，難以被偵測(cè)和控制，來勢(shì)迅猛又令人難以防備，單一的網(wǎng)絡(luò)設(shè)備對(duì)攻擊也不具備明顯的防御效果，我們采用組合的策略盡量減少攻擊帶來的危害，常見的防護(hù)手段有如下幾種：

3.1 手工防護(hù)

一般而言手工方式防護(hù)DDoS主要通過兩種形式：

1）系統(tǒng)優(yōu)化——主要通過優(yōu)化被攻擊系統(tǒng)的核心參數(shù)，提高系統(tǒng)本身對(duì)DDoS攻擊的響應(yīng)能力。但是這種做法只能針對(duì)小規(guī)模的DDoS進(jìn)行防護(hù)。

2）網(wǎng)絡(luò)追查——遭受DDoS攻擊的系統(tǒng)的管理人員一般第一反應(yīng)是詢問上一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商，這有可能是ISP、IDC等，目的就是為了弄清楚攻擊源頭。

3.2 采用高性能的網(wǎng)絡(luò)設(shè)備

首先，盡量選用知名度高、口碑好的路由器、交換機(jī)和硬件防火墻等設(shè)備，避免網(wǎng)絡(luò)設(shè)備成為瓶頸。其次，盡量和網(wǎng)絡(luò)提供商建立特殊關(guān)系或協(xié)議，當(dāng)大量攻擊發(fā)生的時(shí)候，向提供商申請(qǐng)?jiān)诰W(wǎng)絡(luò)接點(diǎn)處進(jìn)行流量限制來對(duì)抗某些種類的DDoS攻擊。

3.3 充足的網(wǎng)絡(luò)帶寬保證

網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力。目前，至少要選擇100M的共享帶寬，并且要掛在1000M的主干上了。我們需要弄清楚的是，主機(jī)上的網(wǎng)卡是1000M的并不代表它的網(wǎng)絡(luò)帶寬就是千兆的，如果把它接在100M的交換機(jī)上，那么它的實(shí)際帶寬不會(huì)超過100M，即使是接在100M的帶寬上也不等于就能擁有百兆的帶寬，因?yàn)榫W(wǎng)絡(luò)服務(wù)商可以在交換機(jī)上限制實(shí)際帶寬為10M。

3.4 升級(jí)主機(jī)服務(wù)器硬件

在網(wǎng)絡(luò)帶寬保證的前提下，盡量提升硬件配置。為了能有效對(duì)抗每秒10萬個(gè)SYN攻擊包，服務(wù)器的配置至少應(yīng)該為：P4 2.4G/DDR512M/SCSI-HD，起關(guān)鍵作用的主要是CPU和內(nèi)存，內(nèi)存一定要選擇DDR的高速內(nèi)存；硬盤要盡量選擇SCSI的；網(wǎng)卡一定要選用3COM或Intel等這些名牌的產(chǎn)品。

3.5 增強(qiáng)操作系統(tǒng)的TCP/IP棧

Win2000和Win2003作為服務(wù)器操作系統(tǒng)，本身就具備一定的抵抗DDoS攻擊的能力，在開啟的狀態(tài)下可抵擋約10000個(gè)SYN攻擊包，默認(rèn)狀態(tài)下沒有開啟僅能抵御數(shù)百個(gè)。

3.6 安裝專業(yè)抗DDoS防火墻

一般的防火墻對(duì)抗單一類型的syn，udp，icmp dos效果很好，但是當(dāng)多種混合時(shí)效果就略差。

總之，信息安全問題涉及到國(guó)家安全和社會(huì)公共安全。隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)滲透到社會(huì)生活的各個(gè)領(lǐng)域，成為信息交換的重要手段。近幾年由于寬帶的普及，很多非法網(wǎng)站利潤(rùn)巨大，同行之間互相攻擊，甚至有一部分人利用網(wǎng)絡(luò)攻擊來敲詐錢財(cái)。我們要充分認(rèn)識(shí)網(wǎng)絡(luò)的脆弱性和潛在威脅，積極采取有力的安全策略，對(duì)于保障網(wǎng)絡(luò)的安全非常重要。