DDoS攻击原理及防护研究

DDoS攻击原理及防护研究

随着网络时代的到来，网络安全变得越来越重要。在互联网安全领域，DDoS(Distributed denial of Service，分布式拒绝服务)攻击技术以其隐蔽性和高效性成为网络攻击者最常用的攻击方式，严重威胁着互联网的安全。

一、DDoS攻击的工作原理

1.1分布式拒绝服务的定义

DDos的前身DoS (DenialofService)攻击，意为拒绝服务攻击。这种攻击使网站服务器充斥大量需要回复的信息，消耗网络带宽或系统资源，导致网络或系统过载，停止提供正常的网络服务。而DDoS分布式拒绝服务则主要利用互联网上现有机器和系统的漏洞，捕获大量联网主机，使其成为攻击者的代理。当受控机器的数量达到一定程度时，攻击者发送命令操纵这些攻击平面，对目标主机或网络发起DoS攻击，消耗大量的网络带宽和系统资源，导致网络或系统瘫痪或停止提供正常的网络服务。由于DDos的分布式特性，它具有远比Dos更强大的攻击能力和破坏性。

1.2 DDOS攻击原理

一个相对完整的DDos攻击系统分为四个部分，分别是攻击者(也称主人)、控制傀儡(处理者)、攻击傀儡(恶魔，也称代理)和受害者(受害者)。第二和第三部分分别用于控制和实际发动攻击。第二部分，控制机只发布命令，不参与实际攻击。第三部分，DDoS的实际攻击包是从攻击傀儡机发出的。攻击者对第二部分和第三部分中的计算机拥有控制权或部分控制权，并将相应的DDoS程序上传到这些平台。这些程序像正常程序一样运行，并等待攻击者的指令。通常，它会使用各种手段来隐藏自己。在平时，这些傀儡机并没有什么异常，但是一旦攻击者连接到它们进行控制并发出指令，攻击的傀儡机就变成了攻击者发动攻击。

DDoS攻击原理及防护研究

采用这种结构的一个重要目的是隔离网络连接，保护攻击者在攻击过程中不被监控系统跟踪。同时可以更好的协调攻击，因为攻击执行者太多，同时一个系统发出命令会造成控制系统的网络拥塞，影响攻击的突然性和协调性。而且流量的突然增加很容易暴露攻击者的位置和意图。整个过程可以分为:

1)扫描大量主机，寻找可以入侵主机的目标；

2)具有安全漏洞和增益控制的主机；

3)在入侵主机中安装攻击程序；

4)用入侵的主机继续扫描入侵。

当受控攻击代理的数量达到攻击者满意时，攻击者可以通过攻击主控机器随时发出攻击指令。因为攻击主控制器的位置非常灵活，发出命令的时间很短，所以定位起来非常隐蔽。攻击命令一旦传到攻击控制机，主控机就可以关机或离开网络以避免跟踪，攻击控制机会将命令下发到各个攻击代理机。收到攻击命令后，攻击代理开始向目标主机发送大量服务请求包。这些数据包经过伪装，使得攻击者无法识别其来源，这些数据包请求的服务往往会消耗大量的系统资源，如CP或网络带宽。如果数百甚至数千个攻击代理同时攻击一个目标，目标主机的网络和系统资源就会被耗尽，服务也会停止。有时，它甚至会导致系统崩溃。

此外，这会阻塞目标网络的防火墙和路由器等网络设备，进一步加剧网络拥塞。因此，目标主机根本无法为用户提供任何服务。攻击者使用的协议是一些非常常见的协议和服务。这样，系统管理员很难区分恶意请求和主动连接请求，从而无法有效地分离攻击包。

二、DDoS攻击识别

DDoS(分布式拒绝服务)攻击(Distributed Denial of Service，分布式拒绝服务)攻击，其主要目的是使指定目标在没有通知的情况下提供正常服务，甚至从互联网上消失，是目前最强大、最难的攻击手段之一。

2.1 DDoS表现

DDoS主要有两种形式，一种是流量攻击，主要针对网络带宽，即大量的攻击包导致网络带宽被阻塞，合法的网络包因为被虚假的攻击包充斥而无法到达主机；另一种是资源耗尽攻击，主要是针对服务器主机的政治攻击，即大量攻击包导致主机内存耗尽或CPU核心和应用程序被占用，导致无法提供网络服务。

2.2攻击识别

流量攻击识别主要包括以下两种方法:

1) Ping测试:如果发现Ping超时或丢包严重，可能会被攻击；如果发现同一台交换机上的服务器无法访问，基本可以确定为流量攻击。测试的前提是受害主机与服务器之间的ICMP协议没有被路由器、防火墙等设备屏蔽；

2) Telnet测试:其明显特点是远程终端连接服务器失败，容易判断相对流量攻击和资源耗尽攻击。如果网站访问突然非常慢或者无法访问，但是可以pinged通，很可能是被攻击了。如果用Netstat-na命令在服务器上观察到大量的SYNRECEIVED、TIMEWAIT、FIN WAIT1等状态，但是很少有EASTBLISHED的情况，可以判断为资源耗尽攻击，表现为受害主机无法Ping通或者丢包严重，但是Ping通同一台交换机上的服务器是正常的。原因是系统内核或应用CPU利用率达到100%无法响应ping命令，但是因为还有带宽，可以Ping通同一台交换机上的主机。

第三，DDoS攻击模式

DDoS攻击有很多，种类也很多。就他们的攻击手段而言，最流行的DDoS攻击有三种。

3.1 SYN/ACK泛洪攻击

这种攻击方式是一种经典有效的DDoS攻击方式，可以杀死各种系统网络服务。它主要是向受害主机发送大量伪造源P和源端口的SYN或ACK包，导致主机缓存资源耗尽或忙于发送响应包，造成拒绝服务。很难追踪，因为源头都被破坏了。缺点是实现起来比较困难，需要高带宽僵尸主机的支持。少量此类攻击会导致主机服务器无法访问，但可以Pinged通。在服务器上使用Netstat-na命令时，会观察到大量的SYN接收状态，大量这样的攻击会导致ping失败，TCP/IP栈失败，系统会死机，也就是对键盘鼠标没有反应。大多数普通防火墙都无法抵御这种攻击。

攻击过程如图2所示。正常的TCP连接是三次握手。系统B向系统A发送SYN/ACK包后，停止在SYN RECV状态，等待系统A返回ACK包。此时，系统B已经分配了用于准备建立连接的资源。如果攻击者系统A使用假的源IP，系统B将一直处于半连接等待状态，直到超时，连接将从连接队列中被清除；由于定时器的设置和满连接队列，系统A只要持续高速向系统B发送伪造源IP的连接请求，就可以在短时间内成功攻击系统B，而系统B则无法再响应其他正常的连接请求。

DDoS攻击原理及防护研究

图2 SYN泛洪攻击过程

3.2 TCP全连接攻击

这种攻击旨在绕过传统防火墙的检查。一般来说，大多数常规防火墙都具有过滤诸如TearDrop和Land之类的DOS攻击的能力，但是它们会放过正常的TCP连接。鲜为人知的是，很多网络服务程序(如IIS、Apache等Web服务器)可以接受的TCP连接数是有限的。一旦出现大量TCP连接，即使正常，也会导致网站访问非常缓慢甚至无法访问。TCP全连接攻击是指许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源耗尽而被拖跨，从而导致拒绝服务。这种攻击的特点是绕过一般防火墙的保护，达到攻击目的。缺点是需要找到很多僵尸主机，而且由于僵尸主机的IP是暴露的，这样的DDOs攻击者很容易追踪到。

3.3 TCP刷脚本攻击

这种攻击主要针对存在ASP、JSP、PHP、CGI等脚本并调用MSSQL Server、My SQL Server、Oracle等数据库的网站系统。它的特点是与服务器建立正常的TCP连接，不断向脚本提交查询、列表等消耗数据库资源的调用。典型的攻击方式是小而广。一般来说，向客户端提交GET或POST指令的成本和带宽几乎可以忽略不计，但服务器可能要从数万条记录中找出一条记录才能处理这个请求。这个过程消耗大量资源，普通数据库服务器很少支持上百条查询指令同时执行，这对客户端来说很容易。因此，攻击者只需要通过代理向主机服务器提交大量查询指令，只需要几分钟就可以消耗服务器资源，造成拒绝服务。常见的现象有网站慢如蜗牛，ASP程序失败，PHP连接数据库失败，数据库主程序占用CPU高。这种攻击的特点是可以完全绕过常见的防火墙保护，很容易找到一些Poxy代理来实施攻击。缺点是对付静态页面的网站效果会大打折扣，有些代理会暴露DDOS攻击者的IP地址。

第四，DDoS防护策略

DDoS防护是一个系统工程。依靠某个系统或产品来预防DDoS是不现实的。可以肯定的是，目前完全消除DDoS是不可能的，但是通过采取适当的措施来抵御大部分DDoS攻击是可能的。由于攻击和防御都是有成本的，如果通过采取适当的措施来增强抵御DDoS的能力，就意味着增加了攻击者的攻击成本，那么大多数攻击者就不会继续，放弃，这就相当于成功抵御了DDoS攻击。

4.1采用高性能网络设备。

要抵御DDoS攻击，首先要保证网络设备不能成为瓶颈。所以在选择路由器、交换机、硬件防火墙等设备时，尽量选择知名度高、口碑好的产品。如果与网络提供商有特殊关系或协议，那就更好了。当大量攻击发生时，要求他们限制网络连接处的流量来对抗某种DDoS攻击是非常有效的。

4.2尽量避免使用NAT

无论是路由器还是硬件防护墙设备都要尽量避免使用NAT，除非必须使用NAT，因为采用这种技术会大大降低网络通信能力。原因很简单，因为NAT需要来回转换地址，转换过程中需要计算网络包的校验和，浪费了大量的CPU时间。

4.3足够的网络带宽保证

网络带宽直接决定了抵御攻击的能力。如果只有10M带宽，无论采取什么措施，都难以对抗目前的SYNFlood攻击。目前至少要选择100M的共享带宽，1000M的带宽会更好。但是需要注意的是，主机上的网卡是1000M并不代表它的网络带宽是千兆的。如果连接的是100M的交换机，它的实际带宽不会超过100M，而且即使连接了100M的带宽，也不代表它有100兆的带宽，因为网络服务商很可能在交换机上把实际带宽限制在10M。

4.4升级主机服务器硬件

在保证网络带宽的前提下，尽量提高硬件配置。要有效对抗每秒100，000个SYN攻击包，服务器的配置至少应该是P42.4G/DDR512M/SCSI-HD。CPU和内存起着关键作用。内存一定要选择DDR高速内存，尽量选择SCSI硬盘。否则将保证硬件的高性能和稳定性，或者付出高性能的代价。

4.5把网站做成静态页面。

大量事实证明，把网站做得尽可能的静态页面，不仅可以大大提高抵御攻击的能力，也会给黑客带来很多麻烦。到目前为止，还没有出现HTML的溢出。新浪、搜狐、网易等门户网站主要是静态页面。

另外，在需要调用数据库的脚本中最好拒绝代理访问，因为经验表明，80%的代理访问我们的网站都是恶意的。

动词（verb的缩写）摘要

DDoS攻击在不断发展，变得越来越强大、越来越隐秘、越来越有针对性、越来越复杂，已经成为互联网安全的主要威胁。同时，随着系统的升级，新的系统漏洞不断出现，DDoS攻击技能的提升也加大了保护DDoS的难度。有效应对这种攻击是一个系统工程，不仅需要技术人员探索防护手段，还需要网络用户具备防范网络攻击的基本意识和手段。只能用技术手段。

无忧云推出DDOS高防护IP解决方案

无忧云推出DDOS高保护IP，100T超大保护带宽，1800G超大流量保护，价格低至1000元/月。为您提供超级DDOS攻击防御保障。DDoS防IP服务是面向游戏、金融、电商、网站等用户的付费增值服务。，遭受高流量DDoS攻击，服务不可用。用户可以配置高防IP(无需备案)，将攻击流量引流到高防IP，保证源站的稳定可靠。