ＤＤｏＳ攻擊防御新思考

ＤＤｏＳ攻擊防御新思考

[摘要]隨著Internet互聯(lián)網(wǎng)絡(luò)帶寬的增加和多種DDoS工具的不斷發(fā)布，DDoS拒絕服務(wù)攻擊的實施越來越容易，DDoS攻擊隨處可見，人們?yōu)榭朔﨑DoS攻擊進行了大量研究，提出了多種解決方案。本文系統(tǒng)分析了DDoS攻擊的原理和攻擊思路，從管理和技術(shù)兩個方面提出一些關(guān)于減少DDoS攻擊方法。

[關(guān)鍵詞]DDoS拒絕服務(wù)網(wǎng)絡(luò)攻擊

隨著Internet互聯(lián)網(wǎng)絡(luò)帶寬的增加和多種DDoS工具的不斷發(fā)布，DDoS拒絕服務(wù)攻擊的實施越來越容易，DDoS攻擊事件正在呈上升趨勢。出于商業(yè)競爭、打擊報復(fù)和網(wǎng)絡(luò)敲詐等多種因素，導(dǎo)致很多IDC托管機房、商業(yè)站點、游戲服務(wù)器、聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長期以來一直被DDoS攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業(yè)損失等一系列問題，因此，解決DDoS攻擊問題成為網(wǎng)絡(luò)服務(wù)商必須要考慮的頭等大事。

在探討DDoS之前我們首先要對DoS有所了解，DoS即DenialOfService，拒絕服務(wù)的縮寫。DoS是指故意的攻擊網(wǎng)絡(luò)協(xié)議實現(xiàn)的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源，目的是讓目標(biāo)計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問，使目標(biāo)系統(tǒng)服務(wù)系統(tǒng)停止響應(yīng)甚至崩潰，而在此攻擊中并不包括侵入目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)設(shè)備。通常而言，DoS的網(wǎng)絡(luò)數(shù)據(jù)包是利用TCP/IP協(xié)議在Internet傳輸，這些數(shù)據(jù)包本身一般是無害的，但是如果數(shù)據(jù)包異常過多，就會造成網(wǎng)絡(luò)設(shè)備或者服務(wù)器過載，迅速消耗了系統(tǒng)資源，造成服務(wù)拒絕，這就是DoS攻擊的基本工作原理。

DoS攻擊之所以難于防護，其關(guān)鍵之處就在于非法流量和合法流量相互混雜，防護過程中無法有效的檢測到DoS攻擊。加之許多DoS攻擊都采用了偽造源地址IP的技術(shù)，從而成功的躲避了基于統(tǒng)計模式工具的識別。

具體DoS攻擊實現(xiàn)有如下幾種方法：

1.SYNFLOOD

利用服務(wù)器的連接緩沖區(qū)，設(shè)置特殊的TCP包頭，向服務(wù)器端不斷地發(fā)送大量只有SYN標(biāo)志的TCP連接請求。當(dāng)服務(wù)器接收的時候，認(rèn)為是沒有建立起來的連接請求，于是這些請求建立會話，排到緩沖區(qū)隊列中。如果發(fā)送的SYN請求超過了服務(wù)器能容納的限度，緩沖區(qū)隊列占滿，那么服務(wù)器就不再接收新的請求了，因此其他合法用戶的連接都會被拒絕掉。如下圖所示：本來正常的TCP連接是需要三次握手協(xié)議完成的，攻擊者先向目的主機發(fā)出一個SYN請求，由于目的主機不能判斷對方是否惡意，所以會回復(fù)一個SYN/ACK，這樣在目的主機就需要維護一個這樣的半連接，等待對方回復(fù)ACK后，完成整個連接的建立。攻擊者正是利用了這一點，他只發(fā)送大量的SYN報文，并不回復(fù)ACK，這樣在目的主機中就維護了大量的半連接隊列，由于主機