淺談Web 系統(tǒng)的DDoS 攻擊與防護(hù)

◆楊京

（陜西省網(wǎng)絡(luò)與信息安全測評中心 陜西 710065）

1 引言

最早的Web 系統(tǒng)程序只是單純?yōu)榱藨?yīng)用，只需運(yùn)行程序的這臺計算機(jī)安全，那么整個應(yīng)用程序也是安全的?，F(xiàn)在Web 應(yīng)用程序都運(yùn)行在不同的服務(wù)器，如客戶端服務(wù)器、審計服務(wù)器、Web 應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器和日志服務(wù)器等。并且由于他們能夠讓任何登錄互聯(lián)網(wǎng)的人訪問，所以這些Web 應(yīng)用程序就成為大量黑客攻擊的目標(biāo)。DDoS 攻擊主要是針對Web 系統(tǒng)本身存在的設(shè)計缺點(diǎn)、系統(tǒng)安全漏洞以及系統(tǒng)資源的有限性來進(jìn)行。因為DDoS 攻擊工具是在開源的條件下進(jìn)行開發(fā)與改良的，所以其利用起來也更加容易，門檻也比較低。目前針對DDoS 攻擊的防護(hù)方法也有很多，下面將一一進(jìn)行介紹。

2 何為DDoS 攻擊

舉一個簡單的例子。我開了一家大門面的火鍋店，生意火爆，但街道對面的火鍋店卻生意蕭條。為了對付我，他們找了很多人進(jìn)店搗亂卻不就餐，這樣就使得其他人沒法進(jìn)店就餐。這就是非常經(jīng)典的DDoS 攻擊，全稱是分布式拒絕服務(wù)攻擊。一般來說是指攻擊者借助公共網(wǎng)絡(luò)將大批的計算機(jī)設(shè)備整合起來，對目標(biāo)系統(tǒng)在較短的時間內(nèi)發(fā)起大量請求，使目標(biāo)系統(tǒng)疲于應(yīng)對大量請求，而無法對證長請求進(jìn)行處理，致使Web 系統(tǒng)無法正常服務(wù)。網(wǎng)絡(luò)游戲行業(yè)、電力行業(yè)、金融行業(yè)等都是受DDoS 攻擊的高發(fā)行業(yè)。

3 DDoS 攻擊分類

DDoS 攻擊可以分為兩種。其一是流量攻擊，主要是針對網(wǎng)絡(luò)帶寬的攻擊，攻擊者發(fā)送大量需要回復(fù)的信息，也就是攻擊數(shù)據(jù)，消耗網(wǎng)絡(luò)帶寬，合法請求數(shù)據(jù)被這些攻擊數(shù)據(jù)淹沒而無法抵達(dá)Web 系統(tǒng)，最終導(dǎo)致服務(wù)癱瘓；其二是資源耗盡攻擊，攻擊者利用Web 系統(tǒng)自身的漏洞或者所使用的協(xié)議上的缺陷，快速不停地發(fā)出需要連接的服務(wù)請求，消耗系統(tǒng)資源，使系統(tǒng)的內(nèi)存被耗盡，導(dǎo)致系統(tǒng)癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。下面介紹幾個主要的DDoS 攻擊方式。

（1）SYN 變種攻擊

攻擊者會發(fā)送大量的TCP 包，來造成服務(wù)器TCP 連接數(shù)達(dá)到服務(wù)器的最大限制，從而不能為新的用戶訪問請求建立新的TCP 連接，占用系統(tǒng)資源，從而使系統(tǒng)無法正常提供服務(wù)。

（2）TCP 混亂數(shù)據(jù)包攻擊

攻擊者通過發(fā)送偽造源ⅠP 的TCP 數(shù)據(jù)包，TCP 數(shù)據(jù)包報頭部分是混亂的，可能是SYN，ACK，SYN+ACK，SYN+RST 等等，會造成安全設(shè)備處理錯誤并癱瘓，耗費(fèi)服務(wù)器內(nèi)存的同時還會堵塞帶寬。

（3）針對用UDP 協(xié)議的攻擊

攻擊者通過發(fā)送偽造源ⅠP 的UDP 數(shù)據(jù)包，只要用戶系統(tǒng)開放了一個UDP 端口并提供相關(guān)服務(wù)，就可以針對該服務(wù)進(jìn)行攻擊。這種攻擊通常的解決辦法是在安全設(shè)備配置策略，通過匹配UDP 數(shù)據(jù)包中的特征碼，對經(jīng)過的數(shù)據(jù)包進(jìn)行過濾、攔截。

（4）針對Web server 的多連接攻擊

攻擊者控制大量計算機(jī)設(shè)備，通過技術(shù)手段同時連接Web 系統(tǒng)，大量的連接會占據(jù)系統(tǒng)資源，造成系統(tǒng)無法處理并癱瘓。這種攻擊方式的特點(diǎn)就在于這種連接和我們正常用戶的訪問連接是一樣的，不過在同一時間段內(nèi)，訪問鏈接的數(shù)量是以萬計的，有些安全設(shè)備能夠通過限制ⅠP 連接數(shù)來進(jìn)行預(yù)防，但是作為正常用戶，多訪問幾次系統(tǒng)也會被攔截。

（5）針對Web server 的變種攻擊

攻擊者控制一些計算機(jī)設(shè)備同時連接Web 系統(tǒng)，并不斷地向系統(tǒng)程序提交帶有GET 訪問請求的調(diào)用，耗費(fèi)大量的系統(tǒng)資源。這種攻擊方式的特點(diǎn)是不需要與Web 系統(tǒng)建立大量的連接，卻能大量消耗系統(tǒng)資源，達(dá)到攻擊目的。

4 DDoS 攻擊防護(hù)

因為DDoS 攻擊的實(shí)施并不困難，往往是黑客常用的攻擊手段，下面列出幾點(diǎn)常見的防護(hù)手段。

（1）高防服務(wù)器

高防服務(wù)器主要是指能獨(dú)立防御50Gbps 以上的服務(wù)器，能夠?qū)YN、UDP、ⅠCMP、HTTP GET 等各類DDoS 攻擊進(jìn)行防護(hù)，并且定期對服務(wù)器進(jìn)行安全掃描與安全加固。

（2）添加黑名單

在安全設(shè)備上添加ⅠP 黑名單，將發(fā)現(xiàn)有攻擊行為的ⅠP 添加至黑名單中，使系統(tǒng)免受來自該ⅠP 的DDoS 攻擊。

（3）DDoS 清洗

DDoS 清洗就是對用戶的訪問請求數(shù)據(jù)進(jìn)行實(shí)時監(jiān)測，及時發(fā)現(xiàn)DDoS 攻擊等異常流量，在不影響正常業(yè)務(wù)開展的情況下清洗掉這些異常流量。

5 CDN 加速

CDN 加速就是將網(wǎng)站訪問流量分配到了各個節(jié)點(diǎn)中，這樣一方面隱藏服務(wù)器的真實(shí)ⅠP，另一方面即使遭遇DDoS 攻擊，也能夠?qū)⒘髁糠稚⒌礁鱾€節(jié)點(diǎn)中，避免系統(tǒng)崩潰。

6 結(jié)束語

本文主要是基于信息安全從業(yè)者日常工作中的總結(jié)，簡要的介紹了何為DDoS 攻擊、DDoS 攻擊分類及DDoS 攻擊防護(hù)。面對DDoS攻擊，并不是無計可施，需要多注意維護(hù)Web 系統(tǒng)的安全，發(fā)現(xiàn)異常及時采取措施，就算無法徹底解決DDoS 攻擊，也能夠大大減少損失。沒有絕對的安全，只有不斷加強(qiáng)安全防護(hù)。