引言:

最近，網絡遭遇DDOS攻擊的事件時有發生，比如最近的韓國網站遭受的攻擊就屬于DDOS攻擊，后果非常嚴重，引起了全球網民的高度關注。但是，如何發現并檢測到DDOS攻擊呢？傳統的網絡安全類工具并不湊效，在此，筆者簡單介紹一下網絡遭遇DDOS攻擊的癥狀以及如何借助網絡分析技術定位DDOS攻擊。

一、什么是DDOS攻擊

DDOS（Distributed Denial of Service），即分布式拒絕服務攻擊，這是當今流行的網絡攻擊方式之一，利用合法的服務請求來占用過多的資源或帶寬，從而使服務器不能對正常、合法的用戶提供服務。更通俗的說，只要導致合法用戶不能夠訪問正常網絡服務的行為都算是拒絕服務攻擊。這也就說明拒絕服務攻擊的目的非常明確，就是要阻止合法用戶對正常網絡資源的訪問，從而達到其攻擊目的。

DDOS的攻擊通過眾多的“僵尸主機”（被攻擊者入侵過或可間接利用的主機）向受害主機發送大量看似合法的網絡包， 從而造成網絡阻塞或服務器資源耗盡而導致不能提供正常的服務（拒絕服務）。在分布式拒絕服務攻擊的實施中，大量攻擊主機發送的網絡數據包就會猶如洪水般涌向受害主機，從而把合法用戶的網絡包淹沒，導致合法用戶無法正常訪問服務器的網絡資源，因此，拒絕服務攻擊又被稱之為“洪水攻擊”，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、、Script Flood、Proxy Flood等多種方式。 下面我們將介紹如何通過網絡分析技術手段來檢測DDOS攻擊。

二、遭遇攻擊的癥狀

DDOS的目的非常明確，表現形式主要有兩種，一種主要是針對網絡帶寬的攻擊，即大量攻擊包占用網絡帶寬，導致網絡被阻塞，從而無法完成正常、合法響應；另一種則為資源耗盡攻擊，主要是針對服務器的攻擊，即通過大量攻擊包導致服務器的內存或CPU資源被耗盡，從而造成服務器當機或無法提供正常的網絡服務。

三、如何檢測DDOS攻擊

由于對DDOS攻擊的防御較為困難，目前沒有任何一種產品或方法能夠防御DDOS攻擊入侵，因此，對于如何檢測DDOS攻擊就顯得至關重要。本文，我們將介紹通過網絡分析的手段來檢測DDOS攻擊（此處用到的產品為科來網絡通訊分析系統技術交流版6.9）。

利用網絡分析技術的檢測手段，通過對網絡通訊數據包進行實時的捕獲，能夠快速的分析和檢測到網絡中是否發生了DDOS攻擊。如果網絡中已經發生了此類攻擊，那么，我們借助網絡分析技術就可以快速的查找和解決問題。下面我們通過一個實例來講解用科來網絡通訊分析系統查找DDOS攻擊的方法。

首先，打開概要統計視圖，查看網絡中的TCP的連接信息，如圖1所示：

（圖1 概要統計視圖）

從上圖中我們看到，網絡中存在大量的TCP同步數據包（2,249,352個），而成功建立TCP連接數太少，根據TCP三次握手的原理，我們知道，這是一種不正常的現象，網絡肯定存在問題。我們再通過矩陣視圖來查看具體的網絡通信情況，如圖2： 

（圖2 矩陣連接視圖）

在矩陣連接視圖中，大量的主機同時與125.91.13.124連接通訊，并且向其發送大量的數據包，我們怎樣來確定這些數據包的類型呢？為了進一步確定發送了怎樣的數據包，我們再查看數據包解碼就能夠看到，如圖3所示：

（圖3 數據包解碼視圖）

從上圖中我們看到，當前的通訊全是使用了TCP進行通訊，查看TCP的標志，發送所有的數據包均為SYN置1，即TCP同步請求數據包，這些數據包全都向125.91.13.124請求同步，至此我們可以判斷125.91.13.124這臺主機進行遭受DDOS攻擊， 而攻擊的方式為SYN Flood攻擊。

SYN Flood攻擊是一種經典和常用的DDOS方法，主要是通過向受害主機發送大量的SYN或ACK包，導致主機的緩存資源被耗盡或忙于發送回應包而造成拒絕服務，對各種系統的網絡服務、網絡資源等都會造成巨大的影響。

檢測DDOS攻擊還可以用到一些常規方法，如Ping命令、NETSTAT命令等，但是，這些方法相對簡單并且較為繁瑣，通過網絡分析技術進行分析，能起到事半功倍的效果，極大節約了故障查找的時間，提高了日常網絡管理的效率。