分布式拒绝服务攻击浅析

摘要:网络安全领域日益受到重视,DDoS攻击事件正在成上升趋势,本文介绍了DDoS攻击的主要技术原理,并提出相应的检测及防范方法。

关键词:网络安全;DDoS

中图分类号:TP751文献标识码:A文章编号:1009-3044(2010)10-2373-02

Distributed Denial of Service Analysis

LI Zhong-long1, SI Jin2

(1. Jilin Communitations Administration, Changchun 130022, China; 2. Computer Office, Aviation University of Air Force, Changchun 130022, China)

Abstract: The network security domain receives day by day takes seriously, the DDoS attack was becoming the trend of escalation, this article introduced the DDoS attack's major technique principle, and proposed the corresponding examination and the guard method.

Key words: network security;DDoS

1 概述

随着计算机网络的日益普及,针对网络的攻击也越来越多。分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)作为一种新型的、分布式、大规模的网络攻击手段,对网络的安全已经构成了极大的威胁。DDoS愈演愈烈,形势十分严峻,大流量攻击流量频频出现。DDoS攻击由于破坏性大,而且难于防御,因此它已经引起了全世界的广泛关注。

2 DDoS攻击原理

一个完整的DDoS攻击体系由攻击者、主控端、端和攻击目标四部分组成。主控端和端分别用于控制和实际发起攻击,其中主控端只命令而不参与实际的攻击,端发出DDoS的实际攻击包。对于主控端和端的计算机,攻击者有控制权或者部分控制权,它在攻击过程中会利用各种手段隐藏自己不被别人发现。真正的攻击者一旦将攻击的命令传送到主控端,攻击者就可以关闭或离开网络,而由主控端将命令到各个主机上,这样攻击者可以逃避追踪。每一个攻击主机都会向目标主机发送大量的服务请求数据包,这些数据包经过伪装,无法识别它的来源,而且这些数据包所请求的服务往往要消耗大量的系统资源,造成目标主机无法为用户提供正常服务,甚至导致系统崩溃。DDoS攻击示意如右图1。

3 DDoS攻击常用的攻击方法

3.1 SYN Flood攻击

SYN Flood攻击是当前网络上最为常见的DDoS攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。

3.2 UDP Flood攻击

UDP Flood是日渐猖厥的流量型DDoS攻击,原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。由于UDP协议是一种无连接的服务,在UDP Flood攻击中,攻击者可发送大量伪造源IP地址的小UDP包。

3.3 ICMP Flood攻击

ICMP Flood 攻击属于流量型的攻击方式,是利用大的流量给服务器带来较大的负载,影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文,因此ICMP Flood出现的频度较低。

3.4 Connection Flood攻击

Connection Flood是典型的利用小流量冲击大带宽网络服务的攻击方式,这种攻击的原理是利用真实的IP地址向服务器发起大量的连接,并且建立连接之后很长时间不释放,占用服务器的资源,造成服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应其他客户所发起的连接。

3.5 HTTP Get攻击

这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用。这种攻击的特点是可以绕过普通的防火墙防护,可通过Proxy实施攻击,缺点是攻击静态页面的网站效果不佳,会暴露攻击者的IP地址。

3.6 UDP DNS Query Flood攻击

UDP DNS Query Flood攻击采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名,域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

4 DDoS攻击检测及防范

DDoS通过发送海量数据包淹没目标主机,耗尽目标主机的带宽与资源。DDoS攻击在手段上更为隐蔽,成功率也更高,使得对其的检测十分困难,也更难以防范。

4.1 DDoS攻击的检测

当网络的通讯量突然急剧增长,及时检测网络的通讯状况;当发现大量TCP和UDP数据包通过或内容可疑时都要留神。及时分析情况,防患于未然,做好系统漏洞安装,通过扫描工具发现并删除可疑程序。

4.2 DDoS攻击的防范

针对于DDoS攻击具有隐蔽性,我们要加强安全防范意识,提高网络系统的安全性。可采取的安全防御措施有以下几种:

1) 确保服务器的系统文件是最新的版本,并及时更新系统补丁,关闭不必要的服务。

2) 限制同时打开的SYN半连接数目,缩短SYN半连接的time out 时间。

3) 正确设置防火墙,认真检查网络设备和主机/服务器系统的日志。

预防和控制DDoS不是某一方面的力量单独可以完成的,需要ISP、用户及中间各环节的通力合作。虽然目前没有办法从根本上解决DDoS攻击问题,但是我们可以尽量减少DDoS攻击的发生,或者将DDoS所产生的危害尽量减至最小。

参考文献:

[1] 杨学良, 张占军. 分布式多媒体计算机系统教程[M]. 电子工业出版社,2006.

[2] 刘利, 苏德富. 基于路由器的DDoS攻击防御系统的设计[J]. 计算机应用, 2008(8).

[3] 曹爱娟, 刘宝旭, 许榕生. 抵御攻击的陷阱系统DDoS[J]. 计算机工程, 2007(1).