网络安全之应对DDoS攻击

[摘 要]分布式拒绝服务攻击（DDoS）是目前攻击者经常采用而难以防范的攻击手段，针对中小企业来说，DDoS很容易造成整个系统瘫痪，本文从概念开始详细介绍了这种攻击方式，描述了攻击者是如何组织并发起的DDoS攻击， 并结合自己的维护经验提供了一些简单实用的处理手段，对中小企业应对DDoS攻击提供了一些思路和方法。

[关键词]DDoS DoS 攻击 中小企业

中图分类号：TM121.1.3 文献标识码：B 文章编号：1009-914X（2015）25-0064-01

DDoS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”， DDoS一直以来是网络安全防范的重头戏。针对中小企业来说，本身硬件设备的性能就不会很强大，DDoS很容易造成整个系统瘫痪。本文对DDoS产生的原因、工作方式以及如何应对DDoS攻击进行了详细的分析，对中小企业防范DDoS会很有帮助。

一、DDoS攻击的产生原因和背景

拒绝服务DoS（Denial of Service）的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

分布式拒绝服务DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时运营商的数据通信网络升级到千兆、万兆级别的网络，个别企业的网络也向千兆和万兆级别迈进，这使得DoS攻击的困难程度加大了。被攻击的目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3，000个攻击包，但我的主机与网络带宽每秒钟可以处理10，000个攻击包，这样一来攻击就不会产生什么效果。

这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。它的原理很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，比从前更大的规模来进攻受害者。

二、DDoS攻击运行流程

一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只命令而不参与实际的攻击。对第2和第3部分计算机，攻击者有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自攻击者的指令，通常这些程序还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦攻击者连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。

在网络攻击发生前，攻击者就会先利用自己的服务器找一个有安全漏洞的服务器，通过各种手段取得该控制傀儡机的控制权，然后在上面做各种网络操作，这样就保护了自己的真实服务器地址不被发现。通过网络扫描获得更多的攻击傀儡机，通过FTP等手段完成DDoS软件的安装。在上述3部分工作完成后，攻击者通过指令控制攻击傀儡机完成对受害者的DDoS攻击。

三、应付DDoS攻击的监控方法和处理方式

到目前为止，进行DDoS攻击的防御还是比较困难的。一位资深的安全专家给了个形象的比喻：DDoS就好象有1，000个人同时给你家里打电话，这时候你的朋友还打得进来吗？不过即使它难于防范，也不是说我们就应该逆来顺受，无法保障企业网络的正常运营，站在企业的维护角度及时发现和处理DDoS攻击并不是绝对不可行的事情。

1、监控方式

利用目前在数据网络中普遍使用的MRTG和FLOW进行监控，就可以及时有效的发现DDoS攻击的发生，并发现被攻击设备和攻击手法，进一步的采取措施来进行处理DDoS攻击，保障企业网络的正常运行，保证企业

2、日常简单的处理方法

以下是处理网络DDoS攻击时可以采用的一些方法：

⑴、切断物理连接

在能够确定异常流量源地址且该源地址设备可知的情况下，切断到该设备的物理连接是最直接有效的解决办法。

⑵、用访问控制列表（ACL）进行地址和端口过滤

采用ACL（Access Control List）过滤能够灵活实现针对源IP地址、目的IP地址、协议类型、端口号等各种形式的过滤，但它是以牺牲设备CPU资源为代价的。

⑶、将异常流量指向NULL

在流量发送出的网络路由器可以采取这种方法，这种方法几乎不消耗路由器系统资源，但同时也限制了正常流量对目标地址的正常访问，配置如下：

ip route 220.110.*.2 255.255.255.255 Null 0

⑷、利用承诺访问速率（CAR）限制突发流量

利用路由器CAR功能，可以将突然爆发的异常流量限定在一定的范围，这种方法也是以消耗路由器CPU资源为代价的，以下是利用CAR 限制tcp 443 端口流量的配置实例：

Router# （config） access-list 150 deny tcp any any eq 443

Router# （config） access-list 150 permit ip any any

Router# （config） interface fastEthernet 0/0

Router# （config-if） rate-limit input access-group rate-limit 150 8000 1500 20000 conform-action drop exceed-action drop

此配置限定tcp 443 端口的流量为8Kbps，超过部分将被丢弃。

利用CAR 限制特定IP 流量的配置的例子：

Router# （config）access-list 2 permit 10.33.34.*

Router# （config） interface fastEthernet 0/0

Router# （config-if） rate-limit input access-group 2 512000 12000 12000 conform-action transmit exceed-action drop

四、总结

本文介绍了DDoS攻击的发生背景和原理，以及在企业网络的日常维护中用到的几种简单易行的处理方法。如果按照本文的方法和思路去防范DDoS的话，是会收到一定的效果的。目前网络安全界对于DDoS的防范还是没有什么好办法的，我们主要靠平时维护和监控来对抗，将攻击带来的损失降低到最小，以保证企业网络的正常运营。

参考文献

[1] 鲍旭华、洪海、曹志华.《破坏之王：DDoS攻击与防范深度剖析》.机械工业出版社；第1版2014-4.

[2] 诸葛建伟.《网络攻防技术与实践》.电子工业出版社；第1版，2011-6.

[3] 宁葵.《访问控制安全技术及应用》.电子工业出版社，2005-10.

[4] 蒋建春.《计算机网络信息安全理论与实践教程 》西安电子科技大学出版社，2005-09.