DDoS攻击原理与防御对策

DDoS攻击原理与防御对策摘要：分布式拒绝服务攻击（DDoS）是互联网面临的最严峻的威胁之一。本文介绍了DDoS的攻击原理，对现有的DDoS防御对策进行了分类并作了简单描述。关键词：DDoS,攻击，防御，分类PrincipleandSomeCountermeasuresofAttackofDDoSAbstract:DistributedDenialofService（DDoS）isoneofthemostserverthreatstoInternet.ThispaperintroducestheprincipleofDDoSandclassifiesthecurrentapproachesofDDoSdefenseanddescribesthembriefly.KeyWords:DDoS,Attack,Defense,Classification1引言网络在为人们提供便利、带来效益的同时，也使人们面临着信息安全方面的巨大挑战。近年来，在已公布的网络攻击事件中，分布式拒绝服务攻击DDoS）危害最大且最难防御。这类攻击通过发送大量伪造IP数据包来耗尽受害者有限的资源，使其不能为用户提供正常服务。2002年10月21日，全球互联网的核心基础设施----位于美国等不同国家和地区的13个根域名服务器，遭受了规模巨大的DDoS攻击，其中的9台陷入瘫痪，使得服务中断了一个多小时，影响范围横跨全世界，造成的损失无法计算［31由此可见，DDoS攻击会给互联网安全带来重大挑战，防御DDoS攻击在网络安全维护中至关重要。2DDoS攻击原理DDoS攻击原理如图1所示：攻击者首先渗透到无保护的主机（包括主控机和傀儡机）中，进而植入攻击程序。发动攻击时，攻击者向主控机发出攻击指令，由主控机向傀儡机发布攻击命令，傀儡机上的攻击程序从休眠状态启动，开始向受害者发送特殊的数据分组，这些分组不能被受害者正常处理，从而浪费了受害者大量的系统资源，严重威胁到了网络安全。图1DDoS攻击原理Fig.1DDoSAttacksDDoS攻击根据其目的基本可以分为两种类型：资源耗尽型和带宽耗尽型8］。2.1资源耗尽型资源耗尽型DDoS攻击是攻击者利用服务器处理缺陷，消耗目标服务器的关键资源，例如CPU、内存等，导致其无法提供正常服务。部分资源耗尽型攻击利用系统对正常网络协议处理的缺陷，使系统难于分辨正常流和攻击流，导致防范难度较大，是目前业界最关注的焦点问题凶。常见的资源耗尽型攻击是SYN洪泛攻击。SYN洪泛攻击的原理是：在TCP的连接建立过程中，需要连接双方完成3次握手，只有当3次握手都顺利完成，一个TCP连接才告建立。在3次握手进行的过程中，服务器需要保持所有未完成的握手信息（称为半开连接，即收到TCP-SYN并发送了SYN-ACK，但第3次握手信息直到握手完成或超时以后才丢弃该信息）。由于半开连接的数量是有限的，如果攻击者不停地向受害者发送连接请求，而又不按协议规定完成握手过程，则服务器的半开连接栈可能会用完，从而不再接受其它的连接请求。这种类型的攻击如图2所示。115KTSynET<T$yn.什M堂部m■TCPS.yn.ACIC仍TCTAuk— —►.HTSymACK 分忙黄海TCPSYN攻击客IIK为嚣iE常TCP诂求耳P 型界祢图2TCP洪泛攻击原理Fig.2TCPFlood除了上述常见的SYN洪泛攻击，还有针对UDP协议攻击、TCP混乱数据包攻击、针对WebServer的多连接攻击以及畸形分组攻击。针对UDP协议攻击：很多聊天室，视频音频软件，都是通过UDP数据包传输的，攻击者通过分析受害者的网络协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防火墙通过检测攻击数据包的特征码来进行防护，但是这样会造成正常的数据包也会被拦截，同样造成DDoS攻击效果口。TCP混乱数据包攻击：发送伪造源IP的TCP数据包，TCP头的TCPFlags部分是混乱的，可能是syn，ack，syn+ack，syn+rst等等，会造成一些防火墙处理错误导致锁死，消耗服务器CPU内存的同时还会堵塞带宽。针对WebServer的多连接攻击：通过控制大量网络僵尸同时访问网站，造成网站无法处理而瘫痪。这种攻击类似于正常的访问网站，只是瞬间访问量增加几十倍甚至上百倍。有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封。这种攻击非常难防护。畸形分组攻击：是指任何利用非标准的分组引起拒绝服务的攻击。这些类型的分组一般在这个受害系统的TCP/IP堆栈中，发送非典型格式的分组来攻击。如果这个系统对这个特定的畸形分组是易受攻击的，它可能终止网络通信或使操作系统崩溃。在这种类型的攻击中，攻击者发送大分组、不能被组合的分组片断，或是带有不常用端口的哄骗分组或面向一个打开端口发送垃圾编码。畸形分组攻击的例子包括PingofDeath，TearDrop，NewTear，Bonk，SynDrop，Chargen，WinNuke，Land和Jolt2。2.2带宽耗尽型带宽耗尽型DDoS攻击的目的主要是堵塞目标网络的出口，导致带宽消耗，不能提供正常的上网服务。例如Smurf攻击。Smurf利用IP欺骗和ICMP回复进行攻击。攻击者向一个具有大量主机和网络连接的网络广播地址发送一个欺骗性Ping分组(echo请求)，这个网络被称为反弹站点，而欺骗性Ping分组的源地址就是攻击者希望攻击的系统。这种攻击能够成功的前提是，路由器接收到这个IP广播分组后，会把以太网广播地址映射过来，并对本地网段的所有主机进行广播，因此这些主机会同时向受害者发送应答包，将其吞没，达到拒绝服务的攻击目。除了Smurf攻击外，此类型的攻击还有Fraggle攻击、Trinoo、TribeFloodNetwork(TFN)以及TFN2k等冏。3DDoS防御机制由于DDoS攻击会给网络安全带来重大危害，最近几年出现了大量的DDoS攻击防御机制，这些防御机制有一些是专门针对具体的攻击种类设计的，有一些则试图从整体上解DDoS攻击防御问题。这些攻击防御机制可分为攻击预防，攻击检测，攻击源追踪，攻击响应四类［刀。3.1预防防范DDoS攻击的第一道防线就是攻击预防。预防的目的是在攻击尚未发生时采取措施，阻止攻击者发起DDoS攻击进而危害网络。这类技术一般假定攻击流的源地址是伪造的，所以预防机制通常包含数据过滤机制，配置了这些机制的路由器可以确保只有有效的数据包才能被转发。一种预防的方法是通过配置路由器来阻止源地址不合法的数据包，当每一级的ISP在转发数据包时，考察数据包的源地址并禁止伪造地址的数据包，但这种方法对于高速路由器产生的负载较重，而且此方法的有效性取决于它的广泛布置，就算从客户到ISP都布置，攻击者仍然可以在一个有效的客户网络中伪造成百上千的源IP地址。另一种预防的方法称为路由报文过滤RPF，它的原则是每一条核心因特网的链路上的数据流只能来自于有限的地址集合，且不需要大面积布置。实验表明，大约覆盖18%的Internet的AS拓扑，大量的欺骗IP数据包都会被提前过滤掉。那些不被过滤的数据包，也可以被定位到一个小范围的数量有限站点，这便为IP回溯减轻了负担。第三种预防方式是“源地址仲裁协议”它运行于每个IP路由器处，用于验证一个IP数据包是否具有真实的源地址。其他的预防方式还有提高TCP/IP协议的质量，如延长缓冲队列的长度和减少超时时间等等刀。3.2检测为了尽快响应攻击，就需要尽快地检测出攻击的存在。依据检测模式可以将检测机制分为三类。一是基于模式检测。不同的攻击方式具有不同的特征，当在网络中捕获到这些特征时，即可认定为DDoS攻击。模式检测技术大多建立在一个或多个的假设前提条件上面，而这些假定大多数很容易受到影响，所以攻击者可以改变他们的攻击模式来逃避相应的检测机制。二是基于异常检测。这种机制先建立正常的数据流模型，一旦发现异常就报警。由于DoS攻击固有的异常特性，这些方法是有效的，但是很难抵御分布式反射拒绝服务攻击。三是混合模式检测。将基于模式和基于异常的DDoS攻击检测方式混合使用。通常使用数据挖掘的方法，由异常检测发现攻击，从发现的攻击中摘录特征放入模式特征库中，再利用模式检测的方法来检测DDoS攻击。3.3源追踪当DDoS攻击发生时，最理想的应对措施就是从攻击源阻止攻击流，所以攻击源的追踪是很必要的。目前拒绝服务攻击IP追踪定位技术可以从多种不同的角度进行分类。按照追踪定位的方式，可分为两大类：构造攻击路径然后定位到攻击源和直接定位到攻击源；按照追踪的时间可分为在拒绝服务攻击进行时进行追踪和在拒绝服务攻击完成后追踪;根据追踪到的拒绝服务攻击网络结构的准确度的逐渐提高，可分为定位到发起攻击的网络、网络的边界路由器、攻击者、主控机、傀儡机。3.4响应根据响应机制部署的位置距离被保护目标的远近，可分为三类：受害端响应，中间网络响应，攻击源端响应［4。攻击源端响应的最终目标是能在攻击源端就可以区分并过滤掉攻击流。中间网络响应是在中间网络中对具有某些特征的攻击包进行访问限制，发现攻击者IP的包就丢弃，或者对异常流量进行限制等。受害端响应的方法是受害段区分合法IP与非法IP。例如建立一个IP地址库用来记录经常访问服务器的IP地址，当发生DDoS攻击时，通过提取数据包的IP地址和地址库中的IP地址进行比较，如果该地址和库中IP匹配，则认为是合法IP，否则为非法IP。该方法也可采用行为统计方法来区分攻击包和正常包，对所有访问的IP建立信任级别，当攻击发生时，信任级别高的IP有优先访问权。4结论DDoS攻击是DoS攻击的一种延伸，其具有协同攻击的能力，而且由于互联网用户众多，安全漏洞始终存在且部分用户的安全意识薄弱，这些原因使得DDoS攻击成为危害网络安全的主要因素之一。本文对DDoS攻击的原理进行了综述，根据其目的将其分为两种类型：资源耗尽型和带宽耗尽型。由于DDoS攻击是对互联网安全的巨大挑战，人们提出了大量有效的DDoS攻击防御机制。本文将DDoS防御机制分为预防，检测，追踪，响应四类，并对其具体内容进行了简单描述，对进一步认识DDoS攻击及其防御机制有很大的参考价值。参考文献孙长华，刘斌.分布式拒绝服务攻击研究新进展综述[J].电子学报.2009,37(7):1562-1570.李淼,吴世忠，李斌.DDoS防御技术综述[J].信息安全与通信保密.2005,(10):51-54.李硕，杜玉杰,刘庆卫.DDoS攻击防御机制综述[J].微计算机信息